Par deux arrêts rendus le 14 décembre dernier, les juges européens ont apporté des précisions sur les contours du « dommage moral » réparable en cas de violation du RGPD. Pour mémoire, l’article 82 du RGPD prévoit notamment que toute personne ayant subi un dommage moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi.
Première affaire
A la suite d’une cyberattaque, des données à caractère personnel de six millions de personnes physiques, traitées par une agence nationale de recettes publique bulgare (la NAP), ont été rendues publiques sur la toile.
Une centaine des personnes concernées a assigné en justice la NAP. En particulier, Mme X a intenté une action en réparation du préjudice moral consistant en la crainte que (i) ses données personnelles soient utilisées abusivement, dans le futur, (ii) ou qu’elle-même subisse un chantage, une agression, voire un enlèvement. C’est dans ce cadre que la Cour administrative bulgare a interrogé la CJUE notamment sur le point de savoir si « la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral » », au sens de l’article 82 du RGPD.
La CJUE a répondu par l’affirmative et précisé que « la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée. ».
En somme, la simple crainte d’une potentielle utilisation abusive de données personnelles peut constituer un préjudice réparable sur le fondement du RGPD. Toutefois, sa caractérisation est laissée à l’appréciation in concreto des juges du fond.
Deuxième affaire
Une commune allemande a publié, sur la page d’accueil de son site, l’ordre du jour d’une réunion du conseil municipal, mentionnant les noms de personnes physiques, ainsi qu’un jugement contenant également les nom, prénom et adresse du domicile desdites personnes. Cette mise en ligne a duré trois jours. A défaut de consentement donné, les personnes concernées ont assigné en justice la commune en réparation du préjudice moral subi du fait de cette divulgation. La juridiction allemande saisie du litige a considéré que la simple perte de contrôle sur des données à caractère personnel n’est pas suffisante pour caractériser un dommage moral. Il faut, selon cette juridiction, dépasser un « seuil de minimis », or tel n’est pas le cas lorsque les personnes concernées n’ont plus le contrôle sur leurs données pendant une courte période et ce, sans préjudice tangible causé ni atteinte objectivement concevable à leurs intérêts personnels démontrée. La juridiction allemande s’est toutefois tournée vers la CJUE pour valider sa position.
La CJUE a jugé que le RGPD s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. Pour autant, la CJUE a rappelé, conformément à sa jurisprudence précédente – arrêt du 4 mai 2023, que la personne concernée doit démontrer que les conséquences de la violation du RGPD qu’elle prétend avoir subies est constitutive d’un préjudice lequel doit être distinct de la « simple violation » du RGPD en cause.
Un préjudice moral, aussi minime soit-il, consécutif à une violation du RGPD, est donc réparable. Celui-ci doit toutefois être caractérisé indépendamment du manquement au RGPD concerné.
Ces deux nouvelles décisions nous livrent des clés supplémentaires bienvenues pour appréhender davantage la définition du dommage moral au sens du RGPD.