Marie Briswalder
Associée
Propriété intellectuelle, IT, RGPD
07/11/2023
En réponse à une question préjudicielle posée par la Cour Suprême autrichienne, la CJUE a précisé, le 04 mai 2023, que la simple violation du RGPD ne suffit pas pour conférer un droit à réparation : il faut également démontrer un préjudice et un lien de causalité entre ce préjudice et la violation alléguée.
En l’espèce, un citoyen autrichien avait assigné une société traitant des données personnelles à des fins de publicité ciblée ; elle collectait les affinités politiques sur la population autrichienne, sans autorisation. Le citoyen affirmait alors que cette manœuvre aurait suscité chez lui une grave contrariété, une perte de confiance et un sentiment d’humiliation, tout en sachant que le fait de ne pas demander son consentement violerait le règlement 2016-679 du 27/04/2016 sur la protection des données personnelles (RGPD).
Saisie de plusieurs questions préjudicielles, la CJUE apporte les réponses suivantes.
D’abord, la CJUE précise que pour obtenir réparation, sur le fondement de l’article 82 du RGPD, il est nécessaire de justifier d’un préjudice – matériel ou moral et d’un lien de causalité entre ce préjudice et un traitement illicite de données personnelles. La simple violation des dispositions du RGPD ne suffit donc pas à conférer à la victime un droit à réparation.
Ensuite, la Cour rappelle que l’article 82 du RGPD, consacrant des notions autonomes du droit de l’Union, ne subordonne pas la réparation d’un dommage moral à la condition que le préjudice subi ait atteint un certain degré de gravité.
Enfin, il revient aux juges nationaux de fixer le montant des dommages et intérêts, en appliquant les règles internes de chaque Etat membre, aussi longtemps que les principes d’équivalence et d’effectivité du droit de l’Union sont respectés ; la réparation devant en tout état de cause être intégrale.
Aussi, le régime ouvrant droit à réparation en cas de violation des dispositions du RGPD est strict : un simple manquement ne suffit pas.
Référence : CJUE 4 mai 2023, aff. C-300/21, UI c./ Österreichische Post AG
Un sujet porté par l'équipe Propriété intellectuelle, IT, Protection des données
En savoir plus sur notre expertise