RGPD : quand peut-on réclamer un préjudice moral pour violation de données ?
Violation de données à caractère personnelle et RGPD : La Cour de justice européenne tranche sur la possibilité pour une personne concernée de solliciter l'indemnisation des préjudices moraux subis.
Dans la récente affaire UI contre Österreichische Post AG, il était question de savoir si l'octroi d'une indemnisation au titre de l'article 82 du règlement (UE) 2016/679 1 (du RGPD) était applicable. Il s'agissait de savoir si une personne pouvait demander une indemnisation au titre du RGPD au seul motif que ses droits avaient été violés, ou si elle devait explicitement démontrer qu'elle avait subi un préjudice du fait de la violation.
Il a été conclu qu'une indemnisation ne pouvait être demandée que dans les cas de violation de données où le défendeur a violé le RGPD et où la violation a directement causé un préjudice matériel ou moral à la personne concernée.
Détails de l'affaire UI contre Österreichische Post AG
Dans cette affaire, la société postale autrichienne, Österreichische Post, a recueilli des informations sur les affinités politiques de la population autrichienne. Pour ce faire, elle a utilisé un algorithme basé sur divers critères sociaux et démographiques. Les données ainsi générées ont ensuite été vendues à des organisations tierces pour leur permettre à diffuser des publicités ciblées.
Österreichische Post a traité les données relatives à un citoyen autrichien et a fait des constatations qui l'ont amené à penser que ce citoyen avait des affinités particulièrement élevées pour un certain parti politique. Bien que cette information n'ait pas été transmise à un tiers, ce citoyen autrichien a porté plainte contre la société postale pour avoir traité ses données à caractère personnel sans son consentement et s'est senti offensé par le fait qu’une affinité avec le parti politique en question lui ait été attribuée.
Dans cette affaire, la personne concernée a déclaré que "le fait que des données relatives à ses supposées opinions politiques aient été conservées au sein de cette société aurait suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation". À ce titre, elle a demandé à la Cour de justice de l'Union européenne (la "Cour") d'imposer une injonction à Österreichische Post pour qu'elle cesse de traiter ses données à caractère personnel et une indemnisation de 1 000 euros pour le préjudice moral qu'elle prétend avoir subi.
Interprétation de l'article 82
La Cour a dû interpréter l'article 82 du RGPD qui stipule que "toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi".
Les questions clés suivantes ont été examinées par la Cour (au paragraphe 19) :
"L'octroi d'une indemnisation en vertu de l'article 82 (du RGPD) exige-t-il également que le requérant ait subi un préjudice, ou la violation des dispositions du RGPD suffit-elle en soi pour l'octroi d'une indemnisation ?
D'autres exigences du droit communautaire doivent-elles être prises en compte lors de l'évaluation de l'indemnisation ?
Est-il compatible avec le droit de l'Union européenne que la réparation du préjudice moral ne soit accordée que lorsqu'il y a une conséquence (ou un effet) de la violation au-delà du simple fait d'être contrarié par la violation ? »
Points essentiels à retenir
Le préjudice moral se réfère à la douleur et à la souffrance plutôt qu'à la perte financière. Le considérant 146 du RGPD précise qu'une interprétation large de la notion de "préjudice" devrait être adoptée en vertu de l'article 82.
Cette affaire a confirmé que le préjudice moral doit être réparé "s’il est tangible, quand bien même il serait faible". En revanche, un tel préjudice ne devrait pas être réparé "s’il apparaît totalement négligeable", c'est-à-dire insignifiant ou minime. Dans ce cas, il a été constaté que le simple fait de se sentir affligé ou contrarié n'équivaut pas à un préjudice moral pouvant faire l'objet d'une indemnisation.
"Ce qui est intéressant dans cette affaire, c'est qu'elle crée un précédent pour les autres États membres qui interpréteront les dispositions du RGPD en fonction de leurs propres standards. En vertu de l'article 82, il n'y a pas de seuil minimum pour ce qui est considéré comme un préjudice moral, et il appartient donc à chaque pays d'évaluer la gravité de la perte. Cette affaire clarifie le fait qu'il n'y a pas de droit automatique à l'indemnisation du seul fait de la violation de données".
Conclusion
Les entreprises peuvent se réjouir de ce résultat, car il protège les organisations qui collectent et traitent des données à caractère personnel contre les demandes d'indemnisation dans les cas où le préjudice subi est insignifiant. Elle empêche les particuliers d'intenter des actions et de gagner de l'argent pour une détresse ou une contrariété qui peut être difficile à évaluer, en particulier du fait que chaque personne réagit différemment.