La Cour de justice de l’Union européenne a affirmé que toute violation du RGPD n’ouvre pas automatiquement droit à réparation mais précise en revanche l’inexistence d’un seuil de gravité du dommage moral subi pour octroyer un tel droit.
La Cour de justice de l’Union européenne (CJUE) a été saisie d’une question préjudicielle dans le cadre d’un litige relatif à l’indemnisation d’un préjudice moral résultant d’une violation des normes de protection des données à caractère personnel.
En l’espèce, la Cour suprême autrichienne a transmis une question préjudicielle auprès de la CJUE quant à l’interprétation de l’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données (RGPD)). Ledit article prévoit notamment à son paragraphe 1 que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
La Cour autrichienne s’interroge principalement sur la question de savoir si une simple violation du RGPD suffit, en soi, pour allouer des dommages-intérêts ou si le requérant doit prouver l’existence d’un préjudice résultant d’une telle violation. Elle se questionne par ailleurs sur l’existence d’autres exigences que les principes d’effectivité et d’équivalence du droit de l’Union européenne quant à l’évaluation des dommages-intérêts. Enfin, la Cour autrichienne interroge la CJUE sur l’existence d’un seuil exigé au sein du droit de l’Union aux fins d’obtenir réparation d’un préjudice moral résultant de la violation du RGPD.
La CJUE, dans un arrêt du 4 mai 2023, a précisé les conditions cumulatives permettant d’obtenir réparation pour violation du RGPD :
- l’existence d’un dommage ou d’un préjudice subi,
- une violation du RGPD,
- un lien de causalité entre ces derniers, ce qui est corroboré par le paragraphe 2 de l’article susvisé prévoyant que « [t]out responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. ».
Dès lors, la Cour répond que toute violation du RGPD ne peut, à elle seule, ouvrir droit à réparation. Elle précise dans un second temps que subordonner la réparation d’un dommage moral résultant de la violation du RGPD à un seuil de gravité minimal nuirait à la cohérence du régime instauré par ce même règlement.
Enfin, la CJUE affirme qu’il appartient aux État membres de fixer les critères relatifs à l’étendue de la réparation octroyée en cas de violation du RGPD, sous réserve de respecter les principes d’équivalence et d’effectivité du droit de l’Union européenne.