La nouvelle jurisprudence complète les précédents antérieurs de la Cour en la matière (notamment C-741/21 dans C-300/21). Dans l’affaire C-300/21, la Cour a précisé que pour avoir droit à une indemnisation au titre de l’article 82, paragraphe 1, du RGPD, trois conditions doivent être remplies cumulativement. Premièrement, il doit y avoir une violation du RGPD, à savoir un traitement de données personnelles qui ne respecte pas les dispositions du RGPD. Deuxièmement, il faut que l’infraction ait effectivement causé un dommage (matériel ou immatériel) à la personne concernée. Enfin, il faut apporter la preuve d’un lien de causalité entre le dommage et la contrefaçon, ce qui signifie qu’il doit être prouvé que sans la contrefaçon, le dommage n’aurait pas eu lieu (C-300/21 : point 32). Une violation du RGPD en soi ne suffit donc pas. Il y a intangible Toutefois, selon la Cour, les dommages ne doivent pas atteindre un certain degré de gravité (C-300/21 : par. 51). L’application d’une limite inférieure pour le dommage irait à l’encontre du fait que le terme « dommage » au sens du RGPD doit être interprété de manière large (C-300/21 : paragraphe 46). L’affaire C-741/21 précise que les responsables du traitement restent responsables des dommages causés s’ils sont causés par une personne placée sous leur autorité (C-741/21 : paragraphe 54).
Dans les deux nouvelles affaires, la Cour confirme ces principes et apporte des précisions supplémentaires. Dans l’affaire C-590/22 concernant le transfert non autorisé de données, la Cour déclare que «la crainte d’une personne que ses données personnelles aient été transférées à des tiers à la suite d’une violation du présent règlement, sans qu’il soit possible de démontrer que tel a été effectivement le cas, suffit pour ouvrir un droit à indemnisation si cette crainte et ses conséquences négatives sont dûment prouvées» (C-590/22 : paragraphe 36). La Cour confirme ainsi en outre le principe selon lequel tout dommage immatériel (c’est-à-dire sans limite inférieure) peut être pris en compte, pour autant qu’il soit dûment prouvé. Ceci est encore souligné par la déclaration selon laquelle le préjudice moral n’est pas « par nature », c’est-à-dire qu’il a en principe moins de poids que le préjudice personnel (C-182/22 et C-189/22 : par. 39). La Cour rappelle également que l’infraction en elle-même ne suffit pas à causer un dommage (il n’existe donc pas de présomption de dommage). La question principale demeure, conformément aux principes déjà connus : le préjudice spécifique démontrable causé par l’infraction.
Dans les deux cas, la Cour aborde la question de savoir quelle fonction doit remplir l’indemnisation au titre de l’article 82 du RGPD. La question est de savoir si l’indemnisation a une fonction compensatoire ou une fonction réparatrice. Une fonction compensatoire signifie que toutes les conséquences existantes et attendues du dommage sont indemnisées, tandis qu’une fonction de réparation vise à effacer le sentiment d’injustice né de la survenance du dommage et, selon le système juridique, peut avoir un caractère plus punitif/punitif. . et avoir un effet dissuasif (C-182/22 et C-189/22 : paragraphes 10 et 14). La Cour confirme que l’article 82, paragraphe 1, du RGPD a une fonction exclusivement compensatoire et n’a donc aucun caractère dissuasif ou punitif (C-182/22 et C-189/22 : point 23 ; C-590/22 : point 44). .
Il résulte de cette fonction compensatoire que la gravité et l’éventuel caractère intentionnel de la violation du RGPD ne doivent pas être pris en compte pour le calcul des dommages (C-182/22 et C-189/22 : paragraphes 29 et 30). Nous savions également déjà, grâce à l’affaire C-741/21, que les critères d’amendes administratives de l’article 83 du RGPD ne peuvent pas être appliqués pour le calcul des dommages sur la base de l’article 82 du RGPD (C-741/21 : paragraphe 65). Ceci est réaffirmé dans les deux cas. La logique ici est que l’article 83 du RGPD a effectivement un caractère punitif, la gravité de l’infraction étant donc pertinente pour l’amende et/ou d’autres sanctions que l’autorité compétente en matière de protection des données peut imposer. L’indemnisation remplit une fonction différente, et donc une infraction qui est rapidement corrigée et qui ne donne peut-être pas lieu à des amendes ou à d’autres sanctions, peut néanmoins avoir causé un préjudice important, qui devra être entièrement compensé. À l’inverse, une infraction flagrante, voire intentionnelle, peut entraîner des amendes élevées, mais le préjudice causé aux personnes impliquées peut être limité, voire inexistant.
Étant donné que les dommages, y compris les dommages immatériels, n’ont pas de limite inférieure, la question se pose de savoir comment ces dommages doivent être calculés et si des montants très faibles peuvent suffire lorsque le dommage est mineur. Ceci est particulièrement important pour les dommages immatériels, y compris les dommages moraux. En effet, les dommages matériels sont beaucoup plus faciles à prouver, par exemple les dommages financiers résultant d’une usurpation d’identité causée par une violation du RGPD. En principe, les tribunaux nationaux appliquent les règles générales de chaque État membre sur l’étendue des dommages pécuniaires lorsqu’ils déterminent le montant des dommages (C-300/21 : paragraphe 59). Le tribunal précise toutefois que dans le cas où le préjudice constaté n’est pas grave, l’intéressé peut se voir accorder une indemnisation mineure, y compris une indemnisation si faible qu’elle peut être vécue comme symbolique. La condition demeure qu’elle soit en mesure de réparer intégralement le préjudice (C-182/22 et C-189/22 : par. 40 et 46).
Enfin, la Cour précise également que, lors de la détermination du montant des dommages, le fait que la violation du RGPD constitue également une violation de la législation nationale visant à protéger les données à caractère personnel, mais qui ne sert pas à expliquer/préciser davantage les dispositions du RGPD. le RGPD (C-590/22 : paragraphe 50). Par là, la Cour veut dire que sa jurisprudence ne fait que clarifier la portée du droit à indemnisation en vertu de l’article 82 du RGPD, incluant logiquement les lois nationales sur la protection des données qui précisent davantage le RGPD. La Cour ne se prononce donc pas sur d’autres règles nationales qui pourraient être pertinentes et qui incluent également des aspects relatifs à la protection des données. Cela concerne spécifiquement la législation nationale (sectorielle) dans des cas spécifiques, par exemple lorsque la violation du RGPD constituerait également une violation de la législation nationale pour, par exemple, les agents d’assurance ou les conseillers fiscaux, qui fixent certaines règles supplémentaires en matière de protection des données pour ce secteur ou cette profession spécifique. Dans de tels cas, ces règles nationales peuvent prévoir une indemnisation complémentaire pour la personne lésée pour le même fait. L’article 82 du RGPD ne peut donc pas être utilisé pour limiter les dommages en vertu de cette législation. De même, une telle infraction simultanée ne peut pas être utilisée comme argument pour augmenter l’indemnisation au titre de l’article 82 du RGPD. Les deux questions doivent être examinées séparément.
