La seule violation du RGPD suffit-elle à ouvrir automatiquement droit à réparation ?

Illustration. Une société autrichienne traite des données personnelles à des fins de publicité ciblée : elle collecte des informations sur les affinités politiques de la population autrichienne et, avec l’aide d’un algorithme prenant en compte des critères sociaux et démographiques, définit des adresses de groupes cibles. Dans ce cadre, elle déduit les affinités d’un particulier avec un certain parti politique autrichien.

Ces éléments ne sont pas vendus à des tiers mais le particulier s’est senti offensé et contrarié par le fait qu’une affinité avec le parti en question lui ait été attribuée. Soutenant que le traitement a été fait sans son consentement, en violation du RGPD (Règl. 2016-679 du 27‑4‑2016 sur la protection des données personnelles) , il a demandé réparation devant le juge autrichien.

Saisie dans ce contexte de plusieurs questions préjudicielles, la CJUE apporte les précisions suivantes.

En premier lieu, elle juge qu’il faut, pour que la personne concernée obtienne réparation, qu’elle prouve avoir subi un préjudice ; la simple violation des dispositions du RGPD ne suffit ainsi pas à conférer un droit à réparation à la victime de cette violation.

En effet :

• l’article 82 du RGPD prévoit que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » ; il ressort ainsi clairement du libellé de ce texte que l’existence d’un dommage constitue l’une des conditions du droit à réparation qu’il prévoit, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives ;
• cette interprétation littérale est corroborée par le contexte dans lequel s’insère cette disposition ; confortent notamment cette interprétation le considérant 146, relatif au droit à réparation, qui se réfère au dommage subi par une personne du fait d’un traitement, et les considérants 75 et 85, desquels il ressort que la réalisation d’un dommage dans le cadre d’une violation des données personnelles n’est que potentielle ;
• cette interprétation est également corroborée par une comparaison avec d’autres dispositions du RGPD prévoyant des voies de recours en cas de violation du RGPD (par exemple, art. 77 et 78 : recours auprès de ou contre une autorité de contrôle ; art. 83 ou 84 : dispositions permettant d’infliger des amendes administratives et autres sanctions, qui ont une fonction punitive) ; la mise en œuvre de ces voies de recours, qui n’ont pas de fonction réparatrice, n’est pas subordonnée à la preuve d’un dommage, contrairement à ce que prévoit l’article 82.

En second lieu, la CJUE précise que le droit à réparation ne peut pas être subordonné à la condition que le dommage atteigne un certain seuil de gravité, le RGPD se limitant à faire référence au dommage matériel ou moral sans qu’il soit fait mention d’un tel seuil (art. 82) et la notion de dommage devant être interprétée au sens large (considérant 146) .

Cette interprétation ne dispense cependant pas une personne concernée par une violation du RGPD ayant eu des conséquences négatives à son encontre de prouver que ces conséquences sont constitutives d’un dommage moral. Autrement dit, les conséquences négatives liées à toute violation de données ne suffisent pas à caractériser le dommage moral.

Enfin, la Cour de justice précise q u’il revient aux juges nationaux de fixer le montant des dommages-intérêts dus au titre du droit à réparation, dans le respect des principes d’équivalence et d’effectivité du droit de l’Union (CJUE 4‑5‑2023 aff. 300/21) .