Droit à réparation et violation du RGPD

Propriété intellectuelle, IT, Protection des données

En réponse à une question préjudicielle posée par la Cour Suprême autrichienne, la CJUE a précisé, le 04 mai 2023, que la simple violation du RGPD ne suffit pas pour conférer un droit à réparation : il faut également démontrer un préjudice et un lien de causalité entre ce préjudice et la violation alléguée.

En l’espèce, un citoyen autrichien avait assigné une société traitant des données personnelles à des fins de publicité ciblée ; elle collectait les affinités politiques sur la population autrichienne, sans autorisation. Le citoyen affirmait alors que cette manœuvre aurait suscité chez lui une grave contrariété, une perte de confiance et un sentiment d’humiliation, tout en sachant que le fait de ne pas demander son consentement violerait le règlement 2016-679 du 27/04/2016 sur la protection des données personnelles (RGPD).

Saisie de plusieurs questions préjudicielles, la CJUE apporte les réponses suivantes.

D’abord, la CJUE précise que pour obtenir réparation, sur le fondement de l’article 82 du RGPD, il est nécessaire de justifier d’un préjudice – matériel ou moral et d’un lien de causalité entre ce préjudice et un traitement illicite de données personnelles. La simple violation des dispositions du RGPD ne suffit donc pas à conférer à la victime un droit à réparation.

Ensuite, la Cour rappelle que l’article 82 du RGPD, consacrant des notions autonomes du droit de l’Union, ne subordonne pas la réparation d’un dommage moral à la condition que le préjudice subi ait atteint un certain degré de gravité.

Enfin, il revient aux juges nationaux de fixer le montant des dommages et intérêts, en appliquant les règles internes de chaque Etat membre, aussi longtemps que les principes d’équivalence et d’effectivité du droit de l’Union sont respectés ; la réparation devant en tout état de cause être intégrale.

Aussi, le régime ouvrant droit à réparation en cas de violation des dispositions du RGPD est strict : un simple manquement ne suffit pas.

Référence : CJUE 4 mai 2023, aff. C-300/21, UI c./ Österreichische Post AG

Un sujet porté par l'équipe Propriété intellectuelle, IT, Protection des données

Clémence Arnaud

Associée

Marie Briswalder

Associée

Laurène Brun

Avocat

Loriane Catil-Terrat

Juriste Senior PI

Dany Davoulbeyukian

Equipe support – assistant judiciaire

Delphine Proton

Avocat

Laetitia Raffin

Avocat

Sarah Saber

Avocat

}

En savoir plus sur notre expertise

Propriété intellectuelle, IT, Protection des données

Cookie	Durée	Description
cookielawinfo-checkbox-functional	11 months	Le cookie est défini par GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-non-necessaire	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Non nécessaire".
cookielawinfo-checkbox-others	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autre.
cookielawinfo-checkbox-performance	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.