[04.05.2023]
La simple violation du RGPD ne fonde pas un droit à réparation.
L’atteinte d’un certain seuil de gravité par le dommage moral subi n’est en revanche pas requise pour conférer un droit à réparation.
Aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
La Cour de justice de l’Union européenne (CJUE) a été interrogée par une juridiction autrichienne sur la portée du droit à réparation que le règlement général sur la protection des données (RGPD) prévoit en cas d’un dommage matériel ou moral du fait d’une violation de ce règlement. Précisément, il était demandé aux juges européens de se prononcer sur le point de savoir si la simple violation du RGPD suffit pour conférer ce droit. La juridiction autrichienne souhaitait par ailleurs savoir si la réparation n’est possible qu’au-delà d’un certain degré de gravité du dommage moral subi. Elle souhaitait aussi savoir quelles sont les exigences du droit de l’Union quant à la fixation du montant des dommages-intérêts.
Dans son arrêt, la Cour de justice énonce, en premier lieu, que le droit à réparation prévu par le RGPD est subordonné de manière univoque à 3 conditions cumulatives : une violation de ce dernier, un dommage matériel ou moral résultant de cette violation et un lien de causalité entre le dommage et la violation. Partant, toute violation du RGPD n’ouvre pas, à elle seule, le droit à réparation. De plus, aux termes des considérants du RGPD portant spécifiquement sur le droit à réparation, sa violation n’entraîne pas nécessairement un dommage et, pour fonder un droit à réparation, un lien de causalité doit exister entre la violation en cause et le dommage subi. Ainsi, « l’action en réparation se distingue d’autres voies de recours prévues par le RGPD, notamment celles permettant d’infliger des amendes administratives, pour lesquelles l’existence d’un dommage individuel n’a pas à être démontrée », précise la Cour dans le communiqué accompagnant sa décision.
En deuxième lieu, la Cour constate que le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité. Le RGPD ne mentionne pas une telle exigence et « une telle restriction contredirait la conception large des notions de dommage ou de préjudice, retenue par le législateur de l’Union ». De plus, « subordonner la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD. En effet, la graduation dont dépendrait la possibilité ou non d’obtenir de la réparation serait susceptible de fluctuer en fonction de l’appréciation des juges saisis ».
S’agissant, en troisième lieu, de règles relatives à l’évaluation des dommages-intérêts, la Cour relève que le RGPD ne contient pas de dispositions ayant un tel objet. Il appartient donc à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent à cet égard du RGPD et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve de respecter les principes d’équivalence et d’effectivité. À cet égard, la Cour souligne la fonction compensatoire du droit à réparation prévu par le RGPD et rappelle que cet instrument tend à assurer une réparation complète et effective pour le dommage subi.