Le 15 juillet 2019, les médias bulgares rapportaient une importante cyberattaque dont a été victime l’Agence Nationale des recette publiques (NAP). Cette attaque résulte en la publication sur Internet des données de millions de personnes.

Plusieurs de ces victimes ont assigné la NAP en réparation du préjudice moral que leur aurait causé cette violation de données. L’affaire remonte jusqu’à la cour suprême administrative bulgare ; cette dernière saisit la Cour de Justice de l’Union Européenne (CJUE) de plusieurs questions préjudicielles liées à l’interprétation du RGPD.

Dans son arrêt n°C-340/21 du 14 décembre 2023, la Cour tranche ces questions.

Elle rappelle, dans un premier temps, que la survenance d’une violation de données personnelles, matérialisée ici par une cyberattaque, n’est pas suffisante à établir que les mesures de protection mises en œuvre par le responsable de traitement en application des articles 24 et 32 du RGPD étaient insuffisantes.

Partant, le juge du fond appréciant ces mesures techniques et organisationnelles doit le faire de manière concrète et casuistique, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques. Il s’agit là d’une application directe des critères de l’article 32 du RGPD.

Surtout, la Cour délivre des clés d’interprétation intéressantes quant à l’appréciation, par les juridictions nationales, des actions en réparation fondées sur l’article 82 du RGPD.

Rappelons que cet article, encore sous-utilisé, créé un recours direct contre le responsable de traitement pour « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement », afin d’obtenir la réparation intégrale du préjudice subi.

Dans le cadre d’une telle action, et dans le cas spécifique d’une violation des données, la Cour établit qu’il revient au responsable de traitement d’apporter la preuve du caractère approprié des mesures de sécurité qu’il avait mis en place. Le simple fait que la violation émane d’une divulgation non autorisée, en l’occurrence d’une cyberattaque, ne suffit pas à exonérer le responsable. Il doit prouver que le fait générateur du dommage ne lui est nullement imputable.

La Cour précise par ailleurs qu’une expertise judiciaire n’est pas un moyen de preuve systématiquement nécessaire et suffisant à cet effet ; les tribunaux nationaux restent ainsi libres de l’appréciation des moyens de preuve fournis par le responsable de traitement.

L’intérêt majeur de l’arrêt réside toutefois dans la dernière réponse apportée par la Cour. Cette dernière rappelle que, classiquement, l’exercice de l’action en réparation suppose la démonstration par le demandeur d’un dommage subi. Comme elle en avait jugé le 4 mai 2023, il n’est pas nécessaire que ce dommage satisfasse à un quelconque degré de gravité.

Sur cette base, la Cour établit donc que la seule crainte du potentiel usage abusif des données à caractère personnel par des tiers, suite à une violation du RGPD, est susceptible de constituer un préjudice moral devant être réparé. Elle base sa décision notamment sur le considérant 146 du Règlement, selon lequel « « la notion de dommage devrait être interprétée au sens large ».

Il restera donc aux tribunaux nationaux à confirmer le bien-fondé du dommage revendiqué, « dans les circonstances spécifiques en cause et au regard de la personne concernée. »

Cet arrêt devrait donc faciliter la réparation de tels préjudices, en ôtant tout doute ou ambiguïté sur la recevabilité de telles demandes.

Il s’agit là d’un rappel et d’un élargissement de la potentielle double peine qui attend le responsable de traitement en cas de négligence. La violation de données peut non seulement être sanctionnée par une amende de l’autorité de contrôle, mais également être la source d’actions en réparation devant les tribunaux civils.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité.

Pour toute question, n’hésitez pas à nous contacter.