La Cour de justice, gardienne vigilante du droit à la protection des données à caractère personnel : À propos de la notion de dommage réparable et sur les conditions de son évaluation dans l’arrêt CJUE, 4 mai 2023, UI c/Österreichische Post AG
Ninon Forster, professeure de droit public, université Polytechnique des Hauts-de-France
« À défaut de conséquence de droit attachée à la violation de la règle, l’efficacité et même la validité de celle-ci peuvent être mises en cause »[1]. Pour s’assurer de la protection effective du droit à la protection des données à caractère personnel, reconnu à l’article 1er, alinéa 2 du Règlement général sur la protection des données à caractère personnel (RGPD) qui concrétise l’article 8 de la Charte des droits fondamentaux de l’Union européenne (CDFUE), le RGPD prévoit à son chapitre VIII intitulé « Voies de recours, responsabilité et sanctions »[2], un système de protection composé de plusieurs droits et procédures. Mais, l’élaboration de ce dernier ne se suffit pas à elle-même et ; comme dans de nombreux cas, il appartient à la Cour de justice de garantir que les droits prévus par le droit de l’Union sont effectivement protégés, notamment par les juridictions nationales, en particulier lorsqu’il s’agit de les faire appliquer contre une personne privée[3].
Tel était le cas dans l’affaire qui a donné lieu à l’arrêt du 4 mai 2023, UI c/Österreichische Post AG[4], à l’occasion duquel la Cour de justice s’est prononcée sur les règles de mise en œuvre, par les juridictions nationales autrichiennes, du droit à réparation prévu à l’article 82 du RGPD. Plus particulièrement, le cœur de cette affaire portait sur l’interprétation de la notion de dommage réparable dont la preuve est nécessaire pour engager la responsabilité du responsable de traitement ou du sous-traitant de données à caractère personnel.
En l’espèce, l’Österreichische Post, une société éditrice d’adresses, collectait des informations sur les affinités partisanes d’un grand nombre de citoyens autrichiens. À l’aide d’un algorithme et par le biais de croisement, elle avait créé des profils relatifs à des affinités politiques aux fins de la constitution de catalogues d’adresses de groupes cibles pour la publicité électorale et pour plusieurs partis politiques. Il ressortait de ce traitement des données que le requérant présentait une forte affinité avec un parti d’extrême droite. Le requérant n’avait pas consenti au traitement de ses données et bien que ces dernières n’eussent pas été transmises à des tiers, il a demandé au tribunal régional statuant en matière civile de Vienne (Landesgericht für Zivilrechtssachen Wien) que l’entreprise en cause lui verse une indemnité de 1000 euros de dommages-intérêts en raison du préjudice moral qu’il prétend avoir subi du seul fait que ses prétendues opinions politiques ont été conservées par elle. En outre, il remet en cause le traitement des données et fait notamment valoir « que l’affinité politique qui lui est attribuée est une insulte et une honte, et qu’elle est en outre diffamante »[5]. Il ajoute que « le comportement de l’Österreichische Post a suscité chez lui une grave contrariété et une perte de confiance, ainsi qu’un sentiment d’humiliation »[6]. Dans le cadre de cette même requête, le requérant demande la cessation du traitement des données en question.
Si le juge de première instance, d’appel puis par la Cour suprême (Oberster Gerichtshof) ont fait droit à la demande de cessation du traitement illicite, tel n’a pas été le cas pour la demande d’indemnisation. Cette dernière a été rejetée dès la première instance, décision qui a ensuite été confirmée en appel par le Tribunal régional supérieur de Vienne (l’Oberlandesgericht Wien) lequel affirme que conformément au principe sous-tendu par le droit autrichien selon lequel « chacun doit supporter une simple gêne ou un simple désagrément, puisqu’ils sont sans conséquence en matière d’indemnisation »[7]. En d’autres termes, « le droit à réparation exige que le préjudice allégé revête une certaine gravité »[8], ce que le juge autrichien écartait s’agissant des sentiments négatifs que le requérant au principal évoquait[9]. La décision des juridictions autrichiennes excluait ainsi l’indemnisation des « dommages émotionnels », parmi lesquels le préjudice d’anxiété en dessous d’un certain seuil de gravité. Cette dernière position n’est pas isolée puisqu’elle a été soutenue dans par certaines juridictions allemandes à l’occasion de recours formés devant elles[10].
Le requérant arguait quant à lui que ces décisions n’étaient pas compatibles avec le droit de l’Union. Il soutenait que le RGPD a instauré un régime propre de responsabilité en matière de protection des données à caractère personnel qui a supplanté les régimes en vigueur dans les États membres et que, dès lors, la notion de dommage devait être interprétée indépendamment des références au droit national.
Face à cette divergence d’interprétation, la Cour suprême autrichienne a décidé de poser trois questions préjudicielles. Parmi elles, la troisième question portait sur le fait de savoir si la notion de dommage devait être comprise comme permettant d’exclure les dommages ne dépassant pas un certain seuil de gravité. Cependant, le juge national va au-delà de la question au cœur de l’affaire au principal et interroge la Cour de justice sur le fait de savoir si la simple violation du RGPD suffit pour engager la responsabilité du responsable de traitement ou du sous-traitant et, si dommage il y a, quelles sont les règles juridiques qui peuvent régir la question de l’évaluation des dommages.
L’affaire sous commentaire à l’intérêt, à partir d’une question technique relative aux conditions d’engagement de la responsabilité de s’inscrire dans une réflexion plus générale sur la conciliation entre, d’une part, la protection du droit à réparation et par là même du droit fondamental à la protection des données à caractère personnel ; d’autre part, le soutien à la liberté de circulation des données à caractère personnel qui est un élément central de nos sociétés et nos économies contemporaines.
La Cour de justice affine sa conception de la protection juridictionnelle effective du droit à la protection des données à caractère personnel en précisant ce qu’elle considère comme étant un dommage réparable, c’est-à-dire qui mérite l’attention du juge. Ces précisions sont les bienvenues dans une société où les dommages causés par le numérique se diversifient, sont de plus en plus récurrents et dont on peine parfois à saisir la gravité et les impacts sur la vie personnelle, tout du moins jusqu’au jour où l’on y est directement confronté. Pour ne prendre que quelques exemples, la connaissance que des informations personnelles sont utilisées sans autorisation peut conduire les personnes à se sentir constamment surveillées ou menacées. Les atteintes à la vie privée qui peuvent résulter des traitements illicites peuvent aussi conduire les personnes à se sentir exposées et vulnérables ou encore à se sentir trahies par les organisations ou les personnes qui ont collecté ou divulgué leurs données personnelles en particulier si elles avaient fait confiance à ces entités. Plus encore, lorsque des informations personnelles sensibles, telles que des photos intimes ou des détails médicaux sont divulgués sans consentement, les personnes concernées peuvent ressentir de la honte et de l’embarras voire conduire au développement ou à l’accentuation de difficultés relationnelles, notamment avec leur famille, leurs amis ou leurs collègues. Enfin, elles peuvent conduire à modifier certains de leur comportement, notamment à éviter d’utiliser certains services en ligne ou de partager des informations personnelles par peur de voir leurs données utilisées de manière illicite, ce qui peut les priver d’opportunités et d’expériences en ligne.
Néanmoins, il arrive également que ces dommages n’aient pas d’impact sérieux sur la vie quotidienne du plaignant[11]. Dans ce dernier cas, le préjudice doit-il réellement être indemnisé et dans l’affirmative sur quel fondement ? Plus encore quel est le « juste prix » des souffrances morales causées par le traitement illicite des données à caractère personnel ?
Pour répondre à ces questions, la Cour de justice rend une décision qui nous semble équilibrée et aller dans le sens de sa jurisprudence en matière de protection des données à caractère personnel. En effet, tout en affirmant que la preuve d’un préjudice est une condition incontournable de l’engagement de la responsabilité civile (I), elle propose un raisonnement conciliant s’agissant de la réparation des préjudices émotionnels en retenant une interprétation large de la notion de dommage réparable tout en laissant aux États membres une marge de manœuvre importante concernant l’évaluation de ce dommage (II).
I- Une décision ferme sur le caractère incontournable de la condition du préjudice
Ce n’est pas la première fois que l’Union consacre un régime spécial de responsabilité civile. Elle l’a fait dans le cadre de plusieurs directives chacune visant à apporter une protection équivalente à tous les consommateurs, opérateurs ou citoyens européens. Peuvent être citées, par exemple, la directive établissant un régime de responsabilité du fait des produits défectueux[12] ou encore celle établissant un régime de responsabilité du fait des dommages causés à l’environnement[13]. Les régimes spéciaux de responsabilité civile sont ainsi instaurés par la voie de directives, laissant par là même le soin aux États membres de créer de nouveaux régimes de responsabilité ou de modifier des régimes existants et leur octroyant une marge de manœuvre, si ce n’est absolue, tout du moins importante.
Or, la situation du RGPD est quelque peu différente. L’article 82 du RGPD constitue un fondement direct de responsabilité civile qui dispose d’un certain degré de précision s’agissant du régime de responsabilité établi. Malgré cela, l’article 82 du RGPD ne se suffit pas à lui-même. La Cour de justice doit donc préciser le régime de cette responsabilité ce qui a pu laisser penser aux juridictions nationales qu’elles disposaient d’une marge de manœuvre quant à l’appréciation des conditions nécessaires à l’engagement de la responsabilité. C’est la raison qui a poussé la juridiction de renvoi à s’interroger sur la nécessité de la preuve d’un préjudice en cas de violation des dispositions du RGPD.
Après avoir affirmé le caractère autonome de ce régime de responsabilité « en l’absence de renvoi exprès au droit des États membres »[14], la Cour de justice présente une conception classique des conditions nécessaires à l’engagement de la responsabilité civile, d’une part en rejetant l’interprétation selon laquelle la condition du préjudice pourrait être écartée (A), et en excluant une lecture possible de la question préjudicielle mise en valeur par l’Avocat général selon laquelle le RGPD pouvait être interprété comme établissant une présomption de préjudice (B).
A- Le rejet des interprétations écartant la condition du dommage
La juridiction de renvoi demandait si l’article 82 du RGPD pouvait être interprété comme n’imposant pas la condition de l’existence d’un préjudice. En se fondant sur une interprétation littérale et exégétique, la Cour de justice met en lumière, de manière quelque peu redondante, l’omniprésence du terme de « préjudice » et de « dommage » au sein du RGPD en citant la lettre de l’article 82 et des considérants 75, 85 et 146[15]. La Cour de justice rappelle qu’« il ressort clairement du libellé de cette disposition que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation »[16]. Dès lors, « il ne saurait être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, droit à réparation »[17]. Ces termes montrent que le législateur européen n’a en aucun cas voulu établir un régime objectif de responsabilité par lequel la simple violation des dispositions du RGPD suffirait pour engager la responsabilité du responsable de traitement ou du sous-traitant sans qu’il soit nécessaire d’apporter la preuve de l’existence d’un dommage[18].
Mais, la volonté du législateur n’est pas le seul élément qui permet à la Cour de justice de fonder sa conviction. Elle propose une approche systémique des différents mécanismes de protection et de contrôle prévus par le RGPD. La Cour de justice insiste sur le fait que la fonction sanctionnatrice ou « punitive » est assurée par d’autres dispositions du RGPD comme le droit d’introduire une réclamation auprès d’une autorité de contrôle[19], le droit à un recours effectif contre une autorité de contrôle[20], la possibilité pour les autorités de contrôle d’imposer des amendes administratives aux responsables de traitement ayant participé aux traitements responsables d’un dommage[21], ainsi que la mise en place d’un régime de sanction par les États membres pour les violations du RGPD[22]. Or, l’on peut douter de l’efficacité de ces voies de droit pour assurer la protection des droits des particuliers[23].
Néanmoins, si les voies de contrôle et de sanction des traitements illicites des données à caractère personnel peuvent présenter des défaillances, cela ne justifiait pas selon nous que la Cour de justice s’écarte du but pour lequel ce régime de responsabilité a été établi. Il aurait été trop audacieux de la part de la Cour de justice d’ouvrir largement le droit à réparation en faisant disparaître la condition du préjudice. Sans s’engager dans un argumentaire trop long sur les fonctions de la responsabilité, il ressort en filigrane de la décision de la Cour de justice que la réparation des dommages est la fonction principale de la responsabilité. La poursuite de cet objectif serait dévoyée en l’absence de dommage.
Cela n’empêche d’ailleurs pas la Cour de justice de rappeler que l’indemnisation des préjudices, particulièrement lorsqu’ils sont moraux, reste souvent rattachée aux autres fonctions que l’on reconnaît habituellement à la responsabilité civile que sont la répression et la prévention de dommages[24] « étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites »[25]. Néanmoins, cela ne justifie pas de détourner cette procédure de sa finalité principale.
B – L’absence de développement sur l’existence d’une présomption de préjudice
La Cour de justice ne fait pas référence à une autre lecture de la question préjudicielle présentée par l’Avocat général. Ce dernier soutenait que l’article 82 du RGPD pourrait être interprété comme établissant une présomption de préjudice[26] reposant sur le fait qu’une atteinte illicite ouvre, de par ce seul fait, un droit à réparation au profit de leurs titulaires.
Ce type de présomption existe en droit de l’Union. Certains régimes d’indemnisation prévus par le droit dérivé ont été établis dans le but de renforcer la protection des consommateurs. Tel est le cas s’agissant de l’indemnisation des passagers aériens en cas de refus d’embarquement et d’annulation ou de report important d’un vol prévu[27] ou des passagers voyageant par mer ou par voie de navigation intérieure[28]. En outre, des présomptions de préjudice existent dans certains droits nationaux en cas de violation des droits fondamentaux et signifient que toute atteinte à un droit fondamental ouvre un droit à réparation indépendamment de la preuve de tout dommage effectivement subi par la personne dont le droit a été violé[29], « son existence étant inhérente à la violation d’un droit fondamental »[30].
L’intérêt d’une présomption de préjudice est double : techniquement, elle permet d’assouplir la charge de la preuve du préjudice, ce qui peut être intéressant pour les victimes, notamment pour le préjudice d’anxiété qui peut s’avérer particulièrement difficile à prouver. Plus généralement, elle permet « de renforcer l’efficacité de l’application d’une règle socialement importante [puisqu’elle] repose sur l’idée que faciliter l’indemnisation de la victime d’une telle atteinte est de nature à inciter les acteurs concernés à respecter les droits en question »[31]. Le considérant 146 aurait d’ailleurs pu soutenir une telle interprétation téléologique, ce dernier précisant que « la notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne compte des objectifs du présent règlement », parmi lesquels la protection des libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel[32]. Néanmoins, l’interprétation littérale adoptée par la Cour de justice ne pouvait aller dans le sens de la reconnaissance d’une telle présomption.
Son existence en cas de violation d’un droit fondamental ne trouve pas non plus de fondement dans la jurisprudence de la Cour de justice relative aux différents régimes de responsabilité prévus par le droit de l’Union[33]. Tout d’abord, il faut préciser qu’il n’existe pas un régime spécifique de responsabilité pour violation des droits fondamentaux. Il faut donc étudier cette question à partir de la jurisprudence relative à responsabilité de l’Union ou des États membres pour violation du droit de l’Union, qui sont les deux sources principales d’arrêts en matière de responsabilité. Or, il résulte des principes de responsabilité pour violation du droit de l’Union, qu’il s’agisse de la responsabilité des institutions, organes et organismes de l’Union[34] ou des États membres, que son engagement[35] impose toujours la preuve de trois conditions cumulatives que sont le fait générateur, le lien de causalité et le préjudice, cela même lorsqu’est en cause la violation d’un droit fondamental. Les États membres peuvent certes prévoir une protection accrue et établir des présomptions de préjudice en cas de violation de droits fondamentaux par les autorités publiques ou par les personnes privées se trouvant sous leur juridiction[36], néanmoins cela ne découle pas directement d’exigences prévues par le droit de l’Union, qui en ce sens offre une protection minimale.
Certains arrêts pourraient interroger sur le développement d’une jurisprudence spécifique à la responsabilité du fait de la violation des droits fondamentaux, par exemple, dans l’arrêt VG c/ Commission européenne, relatif à l’engagement de la responsabilité de l’Union du fait du refus de la Commission de communiquer des documents en violation de l’article 13 du règlement relatif à l’accès du public aux documents du Parlement européen[37], la Cour de justice reconnaît que le sentiment d’injustice et les tourments qu’occasionnent le fait, pour une personne, de devoir mener une procédure contentieuse afin de voir se droits reconnus constitue un préjudice qui peut être déduit du seul fait que l’administration a commis des illégalités. Ces préjudices sont réparables lorsqu’ils ne sont pas compensés par la satisfaction résultant de l’annulation de l’acte illégal[38]. Cependant, on ne saurait déduire une présomption de préjudice générale pour la violation de règles mettant en œuvre le droit à la protection des données à caractère personnel et encore moins pour tous les droits fondamentaux.
Si la preuve d’un préjudice s’impose au titre de l’article 82 du RGPD, la notion de dommage réparable doit encore être précisée, notamment s’agissant de la marge de manœuvre dont disposent les juridictions nationales pour définir et évaluer l’indemnisation de ce dernier. Sur ce point, la Cour de justice propose une solution conciliante permettant une réparation appropriée des préjudices émotionnels.
II- Une solution conciliante sur la réparation des préjudices émotionnels
Le problème sous-tendu par la deuxième et la troisième question préjudicielle était de savoir dans quelle mesure l’article 82 du RGPD harmonise le droit de la responsabilité pour violation du RGPD. Plus précisément, la question se posait de savoir s’il était possible de considérer cet article comme une clause d’ouverture prévoyant simplement des exigences minimales et laissant aux États membres le soin de définir le sens donner à la notion de dommage et les règles d’évaluation de ces derniers.
La Cour de justice considère que le règlement harmonise la matière s’agissant de l’appréciation du caractère réparable du dommage (A) tout en laissant aux États membres une marge de manœuvre importante pour déterminer les règles d’évaluation de ces derniers (B).
A- L’exclusion d’un seuil de gravité dans l’interprétation de la notion de dommage réparable
La Cour suprême autrichienne demandait à la Cour de justice de confirmer la possibilité pour les juridictions nationales d’imposer la preuve d’un seuil minimal de gravité du préjudice d’anxiété. Le problème de fond était de savoir si, une fois que l’existence de la violation et du lien de causalité est établie, un droit à réparation peut exister du fait de simples inquiétudes et de craintes ressenties par la personne concernée quant à une éventuelle utilisation abusive future de ses données à caractère personnel, lorsqu’aucune utilisation abusive n’a été constatée et/ou que la personne concernée n’a subi aucun autre préjudice.
L’enjeu de cette discussion n’est pas moindre tant sur le plan technique que sur le plan de la politique juridique. Tout d’abord, elle implique de réfléchir à l’effectivité du droit à réparation. La question se pose de savoir si la Cour de justice peut accepter qu’un État membre limite le champ d’application de la notion de dommage en excluant certains dommages moraux, notamment les préjudices d’anxiété qui ne dépassent pas un certain seuil de gravité. Plus la notion de dommage est interprétée largement, plus le justiciable sera en mesure de l’invoquer et d’obtenir réparation des préjudices que lui cause la violation du RGPD. En outre, sur le plan de la politique juridique, une interprétation large de la notion de dommage pourrait renforcer l’effet incitatif du droit de la responsabilité poussant à la réalisation du processus de mise en conformité aux prescriptions du RGPD.
La Cour de justice pouvait-elle laisser les États membres définir la notion de dommage réparable[39] ? Pour l’Avocat général, la réponse devait être positive[40], néanmoins la Cour de justice ne suit pas ses conclusions et se fonde de nouveau pour ce faire sur le caractère autonome du régime de responsabilité et notamment de l’interprétation de la notion de dommage réparable[41]. La Cour de justice utilise une méthode d’interprétation littérale de l’article 82 en précisant qu’aucune mention n’est faite d’un seuil de gravité nécessaire pour qualifier le dommage[42]. Qu’en outre le considérant 146 du RGPD énonce que « la notion de dommage devrait être interprétée au sens large » ce qui serait contredit « si ladite notion était circonscrite aux seuls dommages ou aux seuls préjudices d’une certaine gravité »[43].
La consécration d’une notion autonome s’explique par la volonté d’éviter que la protection des droits issue du RGPD varie selon les États membres ce qui pourrait être préjudiciable à certaines victimes dans la mesure où selon le droit de l’État dans lequel il dépose sa requête, la protection de son droit pourrait être moindre. Ce risque est prégnant s’agissant du contentieux RGPD dans la mesure où il se singularise par la place importante des préjudices extra-patrimoniaux, notamment des préjudices moraux qui peuvent varier d’un sentiment d’inconfort à une intrusion gravissime dans la vie privée d’un particulier. Or, comme le fait remarquer Jonas Knesch : « s’agissant de la réparation de ce type de préjudices, les droits nationaux retiennent des approches très différentes »[44]. En outre, il y a un risque que se développe un phénomène de forum shopping par lequel des affaires seraient volontairement portées devant les juridictions appliquant une législation où la notion de dommage réparable serait appréciée largement. Si ce phénomène ne porte pas préjudice à la victime, il risque en revanche d’encombrer les juridictions d’un État membre. Face à la diversité des réglementations nationales, l’interprétation autonome du régime de responsabilité semble la voie la plus appropriée pour assurer la protection la plus effective et la plus cohérente du droit à réparation sur tout le territoire de l’Union.
Il faut se réjouir du rejet d’un seuil de minimis pour apprécier le dommage réparable au vu de la difficulté qui pourrait résulter de la définition de ce seuil. La frontière entre « une simple contrariété » et un dommage moral est poreuse. Certes, l’appartenance à l’une ou l’autre de cette catégorie relèverait de l’appréciation souveraine du juge au vu des circonstances d’une espèce, néanmoins cela aurait pour conséquence d’accroître l’incertitude des victimes quant à l’interprétation du champ d’application de leur droit à réparation, tout du moins en l’absence de définition de ce seuil au niveau de l’Union. Cela n’irait pas dans le sens « d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union », ce qui comme le rappelle la Cour de justice est un objectif du RGPD[45] qu’elle prend soin de manière constante de poursuivre par sa jurisprudence.
Il n’en reste pas moins que si le droit à réparation trouve directement son fondement dans le droit de l’Union, c’est dans le cadre du droit national que seront fixées les règles relatives à l’évaluation des dommages. Or, sur ce point, la Cour de justice reconnaît que les États disposent d’une large marge de manœuvre qui devrait leur permettre de moduler l’indemnisation des dommages en raison de leur gravité.
B- L’affirmation d’une marge de manœuvre pour les États quant aux règles d’évaluation des préjudices émotionnels
La Cour de justice souligne qu’il appartient aux juges nationaux de fixer le montant des dommages-intérêts dus au titre du droit à réparation en appliquant les règles internes de leur État relatives à l’étendue de la réparation pécuniaire[46]. Conformément au principe d’autonomie procédurale, les États membres disposent donc d’une marge de manœuvre pour évaluer les dommages[47].
Cette marge de manœuvre découle de ce que les règles d’évaluation des dommages-intérêts ne font pas l’objet d’une harmonisation au niveau européen[48], mais aussi peut-on supposer, du fait que traditionnellement le juge saisit d’une demande en réparation d’un préjudice moral dispose d’une grande latitude dans l’évaluation de l’indemnité, même si dans certains États membres les méthodes d’évaluation ont été rationalisées[49].
Si cette marge de manœuvre est encadrée par les principes d’équivalence et d’effectivité[50], ce que la Cour de justice ne vérifie pas en l’espèce, ce renvoi aux droits des États membres risque de créer des divergences quant au montant de l’indemnisation des dommages selon les États membres. En ce sens, l’élaboration de critères d’évaluation des dommages au niveau européen serait souhaitable, si ce n’est pour harmoniser, au moins pour aider les tribunaux nationaux à établir une jurisprudence cohérence. Le support de lignes directrices sur le modèle de celles adoptées pour le calcul des amendes dans le cadre du RGPD serait un outil efficace pour préciser la méthode de calcul, mais aussi les circonstances dans lesquelles une amende doit être infligée[51]. Pourrait être pris en considération le type de traitement illicite ou d’autres comportements qui ont conduit à une violation – par exemple le suivi, le profilage, la divulgation à des tiers, le transfert à des pays tiers, les violations de données, les demandes ignorées en vertu du chapitre III du RGPD – la finalité du traitement ou la catégorie de données traitées ou encore la portée et le moment de la violation.
Les formes de la réparation pourront également varier. Si l’atteinte illicite à un droit fondamental ouvre droit à réparation, elle n’entraîne pas nécessairement l’indemnisation de la victime. Une seule prescription est prévue par le texte européen : que le droit à réparation assure une réparation « complète et effective » pour le dommage subi conformément au principe de réparation intégrale[52].
Cependant, il est peu probable que l’UE adopte des règles d’évaluation précises, car les écarts entre les niveaux de dommages-intérêts accordés aux plaignants reflètent les différences concernant le coût de la vie et le pouvoir d’achat dans les États membres[53]. Ce renvoi au droit des États membres devrait cependant limiter les inquiétudes quant à la charge indemnisatrice que pourrait faire peser sur les personnes privées et les personnes publiques le droit à réparation tel que prévu à l’article 82 du RGPD qui risquerait de « décourager l’activité de traitement de données ». En effet, les litiges civils ne seront pas encouragés par la perspective d’obtenir réparation, car en pratique, les plaignants n’intentent pas de procès lorsque ces derniers aboutissent au paiement de montants mineurs, les coûts et les effets liés à l’introduction d’une requête dépassant largement ce qu’ils peuvent en retirer n’en déplaise aux avocats généraux Sanchez-Bordona et Pitruzzela[54].
Ainsi, la Cour de justice propose une interprétation équilibrée : elle protège le droit à réparation des particuliers en excluant l’instaurant d’un seuil de minimis dans l’appréciation du dommage réparable d’un côté, tout en parant de l’autre au risque de la multiplication incontrôlée des actions en responsabilité civile en imposant la preuve d’un dommage comme condition d’engagement de la responsabilité et en laissant aux États membres le soin de définir les règles applicables en matière d’évaluation des dommages. Ce faisant, la Cour de justice prend garde à ce que le régime de responsabilité n’entrave pas de manière disproportionnée les activités des responsables de traitement ou des sous-traitants et par là même poursuit l’objectif de facilité la liberté de circulation des données à caractère personnel.
[1] P.-M. Dupuy, « Responsabilité », Dictionnaire de la culture juridique, coll. Quadrige, Paris, PUF, 2023, p. 134.
[2] Comme le met en valeur G. Zanfir-Fortuna ; « il convient de souligner que la possibilité d’intenter une action en justice en cas de violation du RGPD et de demander une indemnisation pour tout dommage subi, matériel ou moral, est également une manifestation du principe de contrôle individuel dans la législation de l’UE sur la protection des données. Une personne qui conteste le traitement de ses données à caractère personnel et qui provoque un examen judiciaire d’une violation de la loi sur la protection des données constitue un moyen de contrôle individuel, au-delà des droits de la personne concernée ou de la possibilité de retirer son consentement à tout moment ». G. Zanfir-Fortuna, « Article 82. Right to compensation and liability », in C. Kuner, L. A. Bygrave, C. Docksey, The Eu Geneneral, Data Protection Regulation (GDPR): A commentary, Oxford University Press, 2020, p. 1164.
[3] Micklitz, « The ECJ between the Individual Citizen and the Member States – A Plea for a Juge-Made European Law on Remedies », EUI Working Paper Law, 2011.
[4] CJUE, 4 mai 2023, UI c/Österreichische Post AG, aff. C‑300/21, EU:C:2023:370, ci-après : l’ « arrêt sous commentaire ».
[5] Conclusions de l’Avocat général M. Campos Sanchez-Bordona, présentées le 6 octobre 2022 sur l’affaire sous commentaire, pt. 1.
[6] Ibid
[7] Ibid., pt. 12.
[8] Ibid.
[9] Arrêt sous commentaire, pt. 14.
[10] J. Knetsch, « Les actions civiles en réparation fondées sur une violation du RGPD, Vers un nouveau contentieux de masse ? », JCP G 2022, doctr. 1062.Cet auteur met dans ce même article en valeur que outre, dans les États membres qui appliquent un seuil de minimis, à savoir l’Autriche, mais aussi l’Allemagne et l’Italie, il existe un débat doctrinal et jurisprudentiel sur sa pertinence s’agissant du droit à réparation fondé sur l’article 82 RGPD.
[11] À notre avis, ce n’était pas le cas de la situation de la victime dans l’affaire au principal. Néanmoins, la question préjudicielle met en avant que telle était la position de la juridiction de renvoi qui demandait que soit confirmées les décisions prises par les juridictions de première instance et d’appel.
[12] Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux, JOUE n° L 210 du 8 aout 1985, pp. 29 à 33.
[13] Directive 2004/35/CE du 21 avril 2004 sur la responsabilité environnementale en ce qui concerne la prévention et la réparation des dommages environnementaux, JOUE. n° L 143 du 30 avril 2004. Voy. P. Thieffry, « La directive sur la responsabilité environnementale enfin adoptée », LPA., 21 mai 2004, p. 5 ; J.-P. Delvigne, « La directive sur la responsabilité environnementale : une application du principe pollueur-payeur », Dr. env., septembre 2004, p. 160.
[14] Pt. 29 de l’arrêt sous commentaire.
[15] Ibid., pts 31 à 37.
[16] Ibid., pt. 32.
[17] Ibid., pt. 33.
[18] Ibid.
[19] Article 77 RGPD.
[20] Article 78 RGPD.
[21] Article 83 RGPD.
[22] Article 84 RGPD.
[23] Sur ce point voy. l’étude développée par l’association None of my Bussiness écrite par Max Schrems, connus pour son implication en matière de protection des droits du numérique au moment du rendu des conclusions de l’Avocat général Campos Sanchez-Bordona (https://noyb.eu/fr/alarmant-la-cour-de-justice-pourrait-limiter-fortement-lapplication-du-droit-la-vie-privee-des).
[24] G. Viney, Introduction à la responsabilité, 3e éd., Paris, LGDJ, 2008, n° 40 et s., n os 72 et s. ; A. Tunc, La responsabilité civile, 2e éd., Paris, Économica, 1989, nos 160 et s.
[25] Pt. 40 de l’arrêt sous commentaire.
[26] Conclusions de l’Avocat général M. Campos Sanchez-Bordona, présentées le 6 octobre 2022 sur l’affaire sous commentaire, op. cit., pts 56 et suiv.
[27] Article 7 du règlement (CE) n° 261/2004 du Parlement européen et du Conseil, du 11 février 2004, établissant des règles communes en matière d’indemnisation et d’assistance des passagers en cas de refus d’embarquement et d’annulation ou de retard important d’un vol, et abrogeant le règlement (CEE) n° 295/91, JOUE, 2004, L 46, p. 1.
[28] Article 19 du règlement (UE) n° 1177/2010 du Parlement européen et du Conseil, du 24 novembre 2010, concernant les droits des passagers voyageant par mer ou par voie de navigation intérieure et modifiant le règlement (CE) n° 2006/2004, JOUE 2010, L 334, p. 1.
[29] M. Lasalle, « Toute violation du RGPD n’entraîne pas droit à réparation pour les personnes concernée », JPC G, n° 26, act. 814.
[30] X. Dupré de Boulois, « La présomption de préjudice : un élément du régime juridique des droits fondamentaux », RDLF, 2012, chron. n°10.
[31] Ibid.
[32] Article premier du RGPD.
[33] La jurisprudence de la Cour de justice de l’Union européenne est sur ce point semblable à celle de la Cour européenne des droits des l’Homme. Voy. K. Blay-Grabarczyk, « Convention EDH et présomption de préjudice », RDLF, 2013, chron. n°02.
[34] CJUE, 10 septembre 2019, HTTS/Conseil, aff. C‑123/18 P, EU:C:2019:694, pt 32 et jurisprudence citée.
[35] CJUE, 4 octobre 2018, Kantarev, aff. C-571/16, EU:C:2018:807, pts 92 et 94 ; CJUE, 25 mars 2021, BR c/ Balgarska Narodna Banka, aff. C-501/18, EU:C:2021:249, pt 113.
[36] CJUE, 4 octobre 2018, Kantarev, aff. C‑571/16, EU:C:2018:807, pts 120 et 121 et la jurisprudence citée.
[37] Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission, JOCE L 145, 31.5.2001, p. 43 à 48.
[38] Trib. UE, 27 novembre 2018, VG c/ Commission européenne, aff. jtes T-314/16 et T435/16, EU:T:2018:841, pt 118 ; CJUE, 10 juillet 2014, CG c/ BEI, aff. F‑115/11, EU:F:2014:187, EU:T:2018:841, pt 132.
[39] D’ailleurs, lors des négociations du RGPD, certains États membres s’y était opposés, préférant laisser leurs juridictions nationales apprécier cette notion. voy. Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 2012/0011 (CoD) 16 décembre 2003, note de bas de page 542, cité par K. Rosier, A. Delforge, Le règlement général sur la protection des données (RGPD/GDPR), Bruxelles, Larcier, 2018, p. 687.
[40] Conclusions de l’Avocat général M. Campos Sanchez-Bordona, présentées le 6 octobre 2022 sur l’affaire sous commentaire, op. cit., pts. 99 à 116.
[41] Pt. 44 de l’arrêt sous-commentaire.
[42] Ibid., pts 45 et 46.
[43] Ibid., pts 46.
[44] J. Knetsch, « Les actions civiles en réparation fondées sur une violation du RGPD- Vers un nouveau contentieux de masse ? », JCP G, n° 38, 26 septembre 2022, doctr. 1062 et la doctrine citée note de bas de page 11. Voy. pour une présentation des différentes solutions adoptées par plusieurs juridictions européennes, G. Zanfir-Fortuna, « Article 82. Right to compensation and liability », op. cit. , p. 1173.
[45] Pt. 48 de l’arrêt sous commentaire.
[46] Ibid., pt. 52.
[47] Ibid., pt. 54.
[48] Ibid.
[49] J. Knetch, « Les limites de la réparation du préjudice extra-patrimonial en Europe », in C. Quezel-Ambrunaz (dir.), Des spécificités de l’indemnisation du dommage corporel, Bruxelles, Bruylant, 2017, p. 180.
[50] Pt. 54 de l’arrêt sous commentaire.
[51] Lignes directrices 04/2022 sur le calcul des amendes administratives pour violation du RGPD.
[52] Pts 57 et 58 de l’arrêt sous commentaire
[53] J. Knetsch, « The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases », Eur. J. Privacy L. & Tech, 2020, n° 63.
[54] L’Avocat général Pitruzzela a repris les mêmes arguments que l’Avocat général Sanchez-Bordona à propos de l’appréciation de la notion de dommage réparable dans ses conclusions présentées le 27 avril 2023 sur l’affaire VB c/ Natsionalna agentsia za prihodite, aff. C‑340/21, EU:C:2023:353, pt 72.