Pour notre chroniqueur Eric Barbry, l’année 2024 commence par un « coup de gueule » concernant un arrêt rendu par la Cour de justice de l’Union Européenne, qui stipule que la simple « crainte d’un potentiel usage abusif des données personnelles » ouvre droit à réparation d’un préjudice. Explications.
L’année 2024 commence par un coup de gueule concernant un arrêt rendu par la CJUE le 14 décembre 2023 dont nul ne mesure encore la portée. La simple « crainte d’un potentiel usage abusif des données personnelles » ouvre droit à réparation d’un préjudice ! Mais jusqu’où ira la CJUE ? Pour ceux qui ne l’auraient pas compris, le non-respect du RGPD peut être sanctionné de deux manières cumulatives :
- une amende administrative prononcée par une ou plusieurs autorités de contrôle (la CNIL en France) – article 83 du RGPD ;
- mais également la réparation du préjudice subi par la personne concernée – Article 82 du RGPD.
Si l’amende administrative est plafonnée (2 ou 4% du CA ou 10/20M€), la réparation du préjudice ne l’est pas et la procédure peut être engagée à moindre frais pour les victimes dans le cadre d’une action de groupe. Ce préjudice peut être supporté aussi bien par le responsable de traitement que par le sous-traitant.
L’article 82 du RGPD précise que « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
A lire aussi : Accès des salariés à leurs données personnelles : un résultat désastreux pour le dernier avis de la Cnil
Quel préjudice exactement ?
Cette notion de préjudice matériel et moral est détaillée dans le considérant 75 du RGPD qui évoque un dommage physique, un dommage matériel ou un dommage moral et identifié, une kyrielle de dommages possibles : risque de discrimination, vol ou usurpation d’identité, perte financière, atteinte à la réputation, perte de confidentialité de données protégées par le secret professionnel, origine raciale ou ethnique, opinions politiques, religion ou convictions philosophiques, appartenance syndicale, données concernant la santé ou des données concernant la vie sexuelle, rendement au travail, situation économique… Il s’agit là de situations où la personne concernée subit un préjudice avéré.
Mais dans son arrêt du 14 décembre 2023, la CJUE va beaucoup plus loin en fixant comme règle que la seule « crainte » d’un potentiel usage abusif de données personnelles ouvre droit à réparation du préjudice. Les faits se déroulent en Bulgarie en juillet 2019 où la NAP (institution bulgare chargée d’identifier et de sécuriser le recouvrement des créances publiques) a fait l’objet d’une cyberattaque engendrant la divulgation des données personnelles de plus de 6 millions d’individus.
De ce fait, une centaine de personnes a assigné en justice la NAP, dont une plus particulièrement sur le terrain de la réparation du préjudice moral consistant en la crainte que ses données personnelles soient utilisées abusivement dans le futur, ou qu’elle-même fasse l’objet d’un chantage, voire d’une agression. C’est dans ce contexte que la Cour administrative en charge de l’affaire a interrogé la CJUE par le biais d’une question préjudicielle afin de savoir si « la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un ‘dommage moral’ au sens de l’article 82 du RGPD.
Franchir le Rubicon
La CJUE a répondu par l’affirmative en considérant que « la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée. »
Le raisonnement de la CJUE repose en partie sur le considérant 146 qui précise que « Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. »
La notion de préjudice moral n’est pas en cause. Il est évident que la divulgation de données à caractère personnel peut être source de dommages pour les personnes concernées. Mais de là à franchir le Rubicon en retenant la simple « peur » d’une hypothétique utilisation de ses données personnelles me semble totalement disproportionné.
Savoir dire stop
Même si nous sommes proches de la notion de préjudice d’anxiété reconnu notamment dans le cadre des contentieux sur l’amiante, les victimes de ce poison avaient effectivement de quoi s’angoisser sur leur état de santé voire leur espérance de vie. La protection des données personnelles et le RGPD sont des avancées considérables, mais il faut aussi savoir dire stop.
Telle n’est pas la voie empruntée par la CJUE et il faut sans doute s’en inquiéter. Concernant la responsabilité du responsable de traitement, la CJUE prévoit dans le considérant 71 que celui-ci peut s’exonérer de sa responsabilité en cas de cyberattaque. En effet, cette violation ne saurait lui être imputée du fait des tiers, sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD, notamment l’obligation de protection des données à laquelle il est tenu.
Quid de la charge de la preuve ? La CJUE répond à cette question en prévoyant dans le considérant 74 que le responsable doit prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.