La CJUE rappelle les conditions d’octroi d’une réparation en cas de violation du RGPD
Dans un arrêt du 4 mai 2023, la Cour de justice de l’Union européenne a apporté des précisions sur les conditions nécessaires à la réparation d’un dommage relevant de la violation du RGPD. Elle souligne notamment que la simple violation du RGPD ne fonde pas un droit à réparation.
En l’espèce, une société autrichienne pratiquant la vente d’adresse a collecté des informations sur les affinités politiques de la population autrichienne et a vendu ces données à différentes organisations. Le requérant au principal a formé devant le tribunal civil régional un recours tendant à faire cesser le traitement des données. Par une décision du 14 juillet 2020, le tribunal a fait droit à sa demande mais a cependant refusé de lui octroyer une indemnité. Cette décision a été confirmée par le tribunal régional supérieur par un arrêt du 9 décembre 2020.
La Cour suprême, saisie d’un recours contre le rejet de demande, demande à la Cour de justice de l’Union européenne si la simple violation du RGPD suffit pour conférer d’un droit à réparation et si la réparation n’est possible qu’au-delà d’un certain degré de gravité du dommage moral subi. Elle formule ainsi trois questions préjudicielles :
– Pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD est-il exigé, que le requérant ait subi un préjudice ?
– Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?
– La position selon laquelle, pour accorder la réparation d’un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ?
La Cour rappelle dans un premier temps que le droit à réparation prévu par le RGPD est subordonné à trois conditions cumulatives :
- Une violation du RGPD
- Un dommage matériel ou moral
- Un lien de causalité entre le dommage et la violation.
Ainsi, cette action se distingue de l’action permettant d’infliger une amende administrative à une entité qui ne nécessite pas la preuve de l’existence d’un dommage individuel.
La Cour énonce ensuite que le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité.
Enfin, elle relève que le RGPD ne contient pas de dispositions ayant pour objet d’évaluer les dommages-intérêts. Il appartient dès lors à l’ordre juridique de chaque Etat membre de fixer ces modalités d’évaluation sous réserve de respecter les principes d’équivalence et d’effectivité.
Pour en savoir plus :
