Le 4 mai 2023, la Cour européenne de justice (CJE) a rendu un arrêt tant attendu concernant les dommages-intérêts pour les incidents RGPD. La question posée de savoir si un individu a droit à des dommages-intérêts pour violation de la protection des données a reçu une réponse affirmative des juges. Il n’y a pas de seuil de matérialité – cependant, la personne doit avoir subi un préjudice spécifique à la suite de la violation de la protection des données.
procédure depuis l’Autriche
L’une des procédures concernait une violation de la protection des données par la poste autrichienne, qui avait collecté des masses de données sur les résidents en Autriche. Cela comprenait les adresses et les données démographiques, ainsi que les préférences pour les partis politiques qui en découlaient. La Poste Suisse a illégalement offert ces données à des clients annonceurs (y compris des parties autrichiennes). Une sanction imposée par les autorités pour une violation de la protection des données a ensuite été levée en raison d’une erreur formelle.
Cependant, une personne touchée s’est plainte et une comparaison a été faite avec 2 000 autres personnes touchées. Le plaignant réclamait des dommages et intérêts pour le traitement illicite de ses données. Ce procès est allé jusqu’à la Cour suprême autrichienne, qui a alors demandé des éclaircissements à la CJUE sur l’existence d’un « seuil de substantiel » pour les demandes de dommages et intérêts, c’est-à-dire si le préjudice grave devait être prouvé.
(Source : licence Pexels CC0)
L’arrêt de la CJCE
Dans son arrêt du 4 mai 2023 dans l’affaire C‑300/21, les juges de la CJUE ont reconnu qu’il n’y a pas de seuil de matérialité au-delà duquel des dommages-intérêts pour une violation de données peuvent être réclamés. Cependant, une simple violation des dispositions du règlement général sur la protection des données (RGPD) ne suffit pas à justifier une demande de dommages et intérêts. Au contraire, le demandeur doit avoir subi un dommage. Le montant des dommages-intérêts peut être déterminé par les tribunaux nationaux.
je suis au-dessus au-dessus tweeter Dennis Kipker est tombé sur cette décision de la CEJ – qui est détaillée plus en détail avec le contexte sur netzpolitik.org dans cet article.
Le communiqué de presse en anglais de la CJUE, où l’arrêt est expliqué, peut être trouvé ici. Selon le communiqué de presse de la CJCE, le citoyen concerné qui n’avait pas consenti au traitement de ses données personnelles a affirmé qu’il ressentait une perte de confiance et un sentiment d’humiliation du fait qu’une affinité particulière s’était établie entre lui et le parti Dans la question. Dans le cadre de la réparation du préjudice moral qu’il prétend avoir subi, il demande aux juridictions autrichiennes le paiement d’une somme de 1 000 EUR.
La Cour suprême autrichienne a exprimé ses doutes quant à la portée de la demande de dommages-intérêts que le GDPR prévoit pour les dommages matériels ou immatériels résultant de violations de ce règlement. La Cour demande à la CJUE si la simple violation du RGPD suffit à justifier cette demande et si une indemnisation n’est possible que si le préjudice moral subi atteint un certain niveau de gravité.
Dans l’arrêt, la CJUE précise que les dommages dépendent de trois conditions cumulatives : violation du règlement général sur la protection des données, préjudice matériel ou immatériel résultant de cette violation, et lien de causalité entre le dommage et la violation. Par conséquent, toutes les violations du règlement général sur la protection des données ne justifient pas en elles-mêmes un droit à indemnisation. Toute autre interprétation irait à l’encontre du libellé clair du règlement général sur la protection des données, selon les juges.
De plus, les considérants du RGPD qui se rapportent spécifiquement au droit à réparation précisent qu’une violation du RGPD n’entraîne pas nécessairement un préjudice. Il doit exister un lien de causalité entre le manquement en cause et le préjudice subi pour fonder un droit à réparation.
L’arrêt peut être grossièrement résumé comme suit : Les juges de la CJUE ont rejeté les seuils de minimis en dessous desquels il n’y a pas d’indemnisation. Cependant, une simple violation du GDPR n’entraîne aucune indemnisation pour les dommages – un plaignant doit prouver qu’il a subi un dommage matériel ou immatériel. Étant donné que le RGPD ne contient aucune règle concernant le montant des dommages, il appartient aux tribunaux des États membres de déterminer ces montants.
Dans ce communiqué de presse, Max Schrems de noyb s’est félicité du fait qu’il n’y a pas de seuil de dommages-intérêts en cas de violation du RGPD. Comme pour toute action en dommages et intérêts, la CJCE exige qu’il y ait illégalité, dommage et causalité. Sans surprise, la CJCE déclare que sans dommage réel, il n’y a pas de droit à indemnisation, selon Schrems. Max Schrems dit : « Nous saluons les éclaircissements de la CJCE. Tout un groupe d’avocats a tenté de réinterpréter le RGPD afin d’éviter de payer des dommages et intérêts aux utilisateurs. La CJUE a maintenant mis fin à cela. Nous sommes très satisfaits du résultat. »
Schrems souligne l’équivalence avec d’autres prétentions immatérielles. La CJCE a également souligné que les procédures nationales du RGPD ne doivent pas être plus compliquées que les autres demandes nationales de dommages et intérêts. « Nous avons mis en place des lois et des procédures appropriées pour traiter les dommages non pécuniaires dans d’autres domaines du droit. Les tribunaux nationaux ne peuvent pas maintenant développer un système plus compliqué pour les réclamations GDPR. »
La question passionnante reste maintenant de savoir comment les tribunaux allemands ou d’autres pays européens statuent dans des cas individuels en cas de « dommage immatériel ». Cela me rappelle les faits des avertissements avec demandes de dommages-intérêts à cause de Google Fonts, où ceux-ci ont été affirmés sur la base d’une « violation présumée de la protection des données » déterminée par des bots (voir liens à la fin de l’article). Les plaignants sont susceptibles de repartir les mains vides ici. Le sujet va nous occuper.
Articles similaires :
Connaissance : polices Google sur les sites Web, avertissements, tests de pièges
Injonction provisoire contre les avertissements Google Font du LG Baden-Baden
Attention : nouvelle vague d’avertissements Google Fonts (octobre 2022)
Actualités sur les avertissements de Google Fonts : Google publie une déclaration
Nouvelles sur les avertissements de Google Fonts : Raid sur l’avocat d’avertissement de Berlin
Mesures contre Google Fonts avertissant Dikigoros Nikolaos Kairis par le barreau de Düsseldorf
Google Fonts : les avertissements gênent, statut en Allemagne et en Autriche