Le 4 mai 2023, la Cour de justice de l’Union européenne (« CJUE ») a rendu un arrêt dans l’affaire Poste autrichienne (C-300/21). Dans la décision, la CJUE a précisé qu’une simple violation du règlement général de l’UE sur la protection des données (« RGPD ») n’est pas suffisante pour donner aux personnes concernées le droit de recevoir une indemnisation en vertu de l’article 82 du RGPD. L’article 82 dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une infraction au présent règlement a le droit d’obtenir réparation du responsable du traitement ou du sous-traitant pour le préjudice subi.
Arrière-plan
L’affaire remonte à 2017 lorsque la poste autrichienne (« Österreichische Post ») a collecté des données relatives aux affinités politiques des résidents autrichiens. En particulier, la poste autrichienne a utilisé un algorithme pour définir des « adresses de groupe cible » sur la base de caractéristiques sociodémographiques sélectionnées et a classé les individus en groupes cibles. Les données ont ensuite été vendues à diverses organisations pour leur permettre d’envoyer des publicités ciblées en relation avec les élections politiques.
Un particulier a porté plainte pour cette pratique et réclamé 1 000 € de préjudice moral.
La décision de la CJUE
Selon la CJUE, une interprétation large de la disposition du RGPD concernant le droit à indemnisation serait contraire au texte de loi. La CJUE a souligné qu’une indemnisation n’est requise que lorsque trois conditions sont remplies : (1) les données à caractère personnel sont traitées d’une manière qui enfreint le RGPD ; (2) la personne concernée a subi un dommage ; et (3) il existe un lien de causalité entre le traitement illicite et le préjudice subi.
La CJUE a également rejeté la proposition d’un seuil minimum requis pour accorder une indemnisation pour les dommages immatériels en vertu du RGPD. Au lieu de cela, la CJUE a estimé que le RGPD exige « une indemnisation complète et effective du dommage » et que l’établissement d’un seuil minimal risquerait de compromettre l’application cohérente du RGPD.
Enfin, la CJUE a confirmé qu’en l’absence de règles dans le RGPD sur l’évaluation des dommages, la question devrait être réglée au niveau des États membres de l’UE, y compris, en particulier, « les critères de détermination de l’étendue de l’indemnisation due en ce contexte, sous réserve du respect des [the] principes d’équivalence et d’effectivité.