Focus sur le recours en réparation offert par le RGPD

Si l’article 82 du RGPD permet à toute personne ayant subi un dommage d’exercer une action civile en réparation, allant au-delà de l’action publique appartenant aux autorités de contrôle, sa mise en œuvre n’a pas manqué de questionner la doctrine. La Cour de justice de l’Union européenne (CJUE) vient à notre secours avec un arrêt du 4 mai 2023 dans lequel elle précise le régime autonome de réparation issu du RGPD, et notamment que sa violation ne confère pas de facto un droit à réparation.

Par Cassandre Mariton & Héloïse Hacker, PRD Avocats

L ’arrêt de la CJUE implique la Österreichische Post AG (poste autrichienne) qui collectait des informations sur les affinités politiques de sa population à l’aide d’un algorithme prenant en compte divers critères sociaux et démographiques définissant ainsi des « adresses de groupes cibles ».

Une personne physique ayant fait l’objet de ce traitement sans son consentement s’est sentie offensée par le groupe auquel elle a été rattachée et a fait un recours à l’encontre de cette dernière en demandant, d’une part, la cessation de cette pratique, et d’autre part la réparation de son préjudice moral à hauteur de 1000€. Si la juridiction a fait droit à sa demande de cessation, celle-ci a rejeté en première et deuxième instance sa demande de réparation.

L’Oberster Gerichtshof (la Cour suprême autrichienne), ayant été saisie, a alors sursis à statuer afin de poser à la CJUE les questions préjudicielles suivantes : la seule violation du RGPD suffit-elle pour allouer des dommages et intérêts ? Exiger un certain seuil de gravité du dommage est-il compatible avec le droit de l’Union européenne ?

Premièrement, la CJUE affirme sans détour que trois conditions cumulatives sont nécessaires pour obtenir un droit à réparation, soit (1) un «dommage» ou un «préjudice» ayant été «subi» ;
(2) une violation du RGPD ;
et (3) un lien de causalité entre ce dommage et cette violation.

En effet, elle entend bien rappeler la distinction entre l’action publique devant une autorité de contrôle telle que la Cnil, et celle à titre individuel devant une juridiction.
Si la première a une finalité punitive et permet d’infliger des amendes administratives de montant important pouvant aller jusqu’à 20M€ ou 4% du CA pour la seule violation du RGPD (condamnations récentes de TikTok et Apple à hauteur respective de 5 et 8M€), la seconde action devant les juridictions a une finalité réparatrice pour son demandeur, exigeant ainsi la démonstration du préjudice réel subi.

Deuxièmement, la CJUE refuse l’exigence d’un certain «seuil de gravité» du dommage. Elle considère que le RGPD ayant pour objectif d’assurer un niveau de protection cohérent et élevé des personnes physiques à l’égard du traitement de leurs données à caractère personnel au sein de l’Union, il convient, à cette fin, de s’opposer à une règle ou une pratique nationale qui subordonnerait la réparation d’un dommage moral à un certain seuil.

Ainsi, la CJUE répond par la négative aux deux questions préjudicielles posées et apporte ses lumières au régime du recours en réparation offert par le RGPD.

Par ailleurs, il s’agira de rappeler que cette action peut être diligentée à titre individuel, mais également à titre collectif avec une action de groupe conduite notamment par une association de consommateurs agréée agissant vent debout en réparation collective d’une même atteinte aux données personnelles.

Dès lors, que l’on soit responsable de traitement ou sous-traitant, les recours peuvent arriver des deux côtés de la rive : il faut donc penser à sécuriser sa traversée.

À LIRE AUSSI :

Gouvernance

La CNIL célèbre le 5e anniversaire du RGPD

Thierry Derouet

25 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !