L’article 82 du RGPD donne à celui dont les données sont traitées le droit d’obtenir réparation pour les dommages moraux subis en cas de violation du RGDP, y compris si ladite violation du RGPD ne constitue pas une faute au sens du code civil.
Récemment, la CJUE a répondu à trois demandes de décisions préjudicielles concernant la réparation des dommages moraux qui résultent du non-respect du RGPD dans les litiges économiques.
La Cour s’est inscrite dans le principe bien ancré d’effectivité du droit communautaire selon lequel les Etats membres et leurs juridictions ne doivent pas rendre illusoire en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union.
Selon les décisions préjudicielles rendues, le responsable de traitement doit réparer intégralement le préjudice. La gravité ou au contraire non-gravité de la violation ne change rien au montant que la victime doit recevoir : elle doit être indemnisée pour la totalité de son préjudice moral. Pour ça, les juridictions peuvent tenir compte des efforts fournis par celui qui a commis une violation du RGPD pour réparer celle-ci.
Dans un premier arrêt (CJUE, 25 janv.-24, C-687/21), était question d’un commerçant qui avait commis une erreur de livraison consistant à inverser deux commandes. Il avait rectifié immédiatement son erreur et avait fait spontanément un geste commercial en faveur du client lésé.
Dans cette situation, la CJUE a estimé que l’attitude du commerçant pouvait être suffisante à réparer le dommage moral résultant de la violation du RGPD.
Un deuxième arrêt (CJUE, 14 déc.-23, C-340/21) concernait la demande de réparation d’un préjudice moral fondé sur la crainte d’un potentiel – donc incertain – futur usage abusif ou criminel de données volées suite à une cyberattaque.
La CJUE a jugé que la crainte d’un futur usage abusif ou criminel de données est susceptible à elle seule de constituer un préjudice moral indemnisable par le responsable de traitement.
Enfin, une troisième demande de décision préjudicielle (CJUE, 4 mai 23, C-300/21) a permis à la Cour de préciser, de manière prévisible, que conditionner le caractère indemnisable ou non d’un dommage moral au fait qu’il doive revêtir un degré minimum de gravité porterait atteinte au principe d’effectivité des droits conférés par le RGPD.
En l’espèce, le requérant s’était senti offensé du fait qu’une société, lui attribue des opinions politiques qu’il n’avait pas et estimait avoir subi un préjudice moral.
Les trois arrêts de la CJUE sont également très intéressants en ce qui concerne la charge de la preuve de la violation du RGPD.
En droit civil français, c’est à celui qui se prétend victime d’une faute d’apporter la preuve de celle-ci du préjudice subi.
Le RGPD fonctionne différemment.
Lorsqu’une action en réparation est engagée à son encontre du fait d’une violation du RGPD, c’est à celui qui traite ou fait traiter des données d’apporter la preuve qu’il a respecté le RGPD, y compris dans son obligation de réparation spontanée des violations dont il a connaissance. Ce sont les articles 5 et 24 du RGPD.
En revanche, comme en droit civil français, celui qui se prétend victime d’une violation du RGPD doit démontrer avoir subi un dommage moral, et ce du fait de cette violation.
En conclusion, en cas de constatations du non-respect du RGPD à l’occasion des activités économiques, l’entreprise bien avisée devrait accorder immédiatement un geste commercial pour s’éviter le risque de futures procédures judiciaires.
Stéphane Poirot