2023-05-22 09:43:39
La demande de dommages-intérêts en vertu du RGPD a toujours été contestée en termes d’exigences et de conséquences juridiques, car le règlement utilise des termes juridiques vagues dans les dispositions pertinentes au lieu de critères spécifiques. Aujourd’hui, pour la première fois, la CJUE a pris position sur les conditions d’une action en justice et a également décidé si le préjudice non pécuniaire indemnisable doit atteindre un certain seuil. Cet article montre ce qui, selon la CJUE, doit être rempli pour des dommages-intérêts RGPD justifiés.
I. Le cas initial
Les procédures judiciaires autrichiennes ont précédé les questions juridiques abstraites sur lesquelles la CJCE devait se prononcer.
En 2017, la poste autrichienne a tenté d’utiliser un algorithme pour déterminer les affinités politiques de la population en fonction de caractéristiques sociales et démographiques et, à partir des informations générées, a formé des groupes cibles dans lesquels la sympathie avec les partis politiques était suspectée.
Un citoyen qui s’est vu attribuer la proximité idéologique avec une certaine partie après le traitement des données a considéré cela comme un traitement illégal de ses données personnelles et a poursuivi en dommages-intérêts en vertu de l’article 82 du RGPD.
La suggestion qu’il était proche du parti en question l’a beaucoup irrité et a entraîné une perte de confiance et un sentiment d’embarras.
Le pouvoir judiciaire autrichien a déterminé sans équivoque que l’agrégation d’informations sur les circonstances démographiques et sociales et son évaluation basée sur un algorithme pour déterminer un spectre politique violaient la loi sur la protection des données parce qu’elles étaient effectuées sans consentement.
Cependant, la Cour suprême, qui était la dernière instance à connaître de la demande d’indemnisation, a considéré comme problématique l’interprétation de l’article 82 du RGPD comme fondement d’une demande de dommages-intérêts.
Les paragraphes 1 et 2 de la disposition énoncent ce qui suit :
1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a droit à une indemnisation de la part du responsable du traitement ou du sous-traitant.
2. Tout responsable du traitement impliqué dans le traitement est responsable des dommages causés par un traitement non conforme au présent règlement. Un sous-traitant n’est responsable des dommages causés par le traitement que s’il n’a pas respecté ses obligations en vertu du présent règlement spécifiquement imposées aux sous-traitants ou a agi en non-respect ou à l’encontre des instructions données par la loi par le responsable du traitement.
Il suspendit donc la procédure et posa les questions préjudicielles à la CJUE, entre autres sur la question de savoir si
- La condition préalable à une demande de dommages-intérêts GDPR est uniquement une violation des dispositions GDPR ou des dommages spécifiques que la personne concernée doit avoir subis à la suite de la violation
- La condition préalable à un préjudice immatériel indemnisable est que la conséquence de la violation de la loi ait une certaine importance et aille au-delà de la simple gêne causée par la violation de la protection des données
II. La décision de la CJCE
Par arrêt du 4 mai 2023 (Az. C-300/21), la CJCE s’est prononcée sur la soumission de la Cour suprême autrichienne sur les conditions d’éligibilité des dommages-intérêts du RGPD et sur la notion de dommage immatériel.
1.) Cas spécifique de dommage requis
En réponse à la première question, la Cour a précisé que la justification des dommages ne peut résulter d’une simple violation des dispositions du RGPD.
Au contraire, une violation de données doit également entraîner des dommages réels.
De plus, un lien de causalité entre la violation de données et le dommage est requis, de sorte que la violation doit être la cause directe du dommage.
Le libellé de l’article 82, paragraphe 2, du RGPD et des considérants 75 et 85 montre déjà que la violation d’une disposition du RGPD d’une part et les dommages d’autre part sont des exigences de réclamation différentes.
2.) (Probablement) pas de seuil pour les dommages immatériels
S’agissant de la question juridique de savoir dans quelle mesure la reconnaissance d’un dommage immatériel au sens du RGPD dépend d’un certain degré de pertinence, la CJCE a adopté une position moins claire.
Étant donné que la notion de dommage n’est pas définie dans le RGPD, mais que le législateur de l’Union a voulu une interprétation large, l’exigence d’un certain poids pour une capacité de substitution ne peut être présumée.
Dans le cas contraire, il y aurait un risque que les demandes d’indemnisation soient traitées différemment dans les différents Etats membres car les juridictions saisies apprécieraient différemment les critères de pertinence et donc la reconnaissance ou le refus de l’indemnisation.
Cependant, les juges ont dépassé le cœur même de la question de savoir si une nuisance ressentie simplement en raison de la violation de la protection des données pouvait justifier un dommage moral.
La CJUE ne s’est pas prononcée sur la question de savoir si un préjudice immatériel devait déjà être présumé en cas d’émotions faibles et passagères liées à des violations de la réglementation sur le traitement des données.
Cela est particulièrement problématique car, dans le même jugement, il a déclaré que la contrefaçon et le dommage étaient deux conditions de droit différentes.
Cependant, si les sentiments de simple agacement, qui sont inhérents à une violation de la protection des données et sont susceptibles d’être causés par celle-ci, étaient également considérés comme un dommage moral, la dualité des conditions d’admissibilité serait à nouveau édulcorée, voire supprimée.
cet égard, l’avocat général de la CJCE s’est exprimé dans son Avis du 6 octobre 2022 de ne pas considérer de simples sentiments subjectifs d’insatisfaction à la suite d’une violation de données comme un dommage moral suffisant.
Il est également reconnu par la jurisprudence allemande qu’il n’existe de préjudice immatériel que si la personne concernée a subi un préjudice notable résultant d’une atteinte objectivement compréhensible d’intérêts liés à la personnalité d’un certain poids.
Il reste à voir dans quelle mesure cela peut encore être maintenu à la lumière de la décision de la CJUE.
Enfin, la CJCE ne s’est pas prononcée du tout sur ce qui devait être reconnu comme un “dommage immatériel”, mais a seulement statué que la capacité à réparer un dommage – une fois accepté – ne dépend pas de son importance.
III. Conclusion
Dans son arrêt du 4 mai 2023 (Az. C-300/21), la CJUE s’est prononcée sur les conditions d’éligibilité à l’action en dommages et intérêts RGPD et sur la capacité à indemniser les dommages immatériels.
Alors que le tribunal a clairement établi qu’une simple violation de la protection des données ne donne pas déjà droit à réparation, mais qu’un préjudice concret et causal doit également être survenu du fait de la violation, il a esquivé la question cruciale de savoir ce qui doit être reconnu comme un préjudice immatériel .
La CJCE a jugé à cet égard que la capacité à réparer un préjudice moral ne dépendait pas d’un certain degré de pertinence, et est restée muette sur la question de savoir dans quelle mesure un simple sentiment de mécontentement face à une violation de la protection des données subie pouvait justifier l’hypothèse d’un dommage.
Astuce: Avez-vous des questions sur la contribution ? N’hésitez pas à en discuter avec nous dans le
Groupe d’entrepreneurs du cabinet d’avocats IT sur Facebook.
#CJUE #sur #les #dommages #RGPD #Conditions #préalables #louverture #droit #matérialité #dommage
1684793145
