ARRÊT DE LA COUR (troisième chambre)
25 janvier 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Interprétation des articles 5, 24, 32 et 82 – Appréciation de la validité de l’article 82 – Irrecevabilité de la demande en appréciation de validité – Droit à réparation du dommage causé par le traitement de telles données effectué en violation de ce règlement – Transmission de données à un tiers non autorisé en raison d’une erreur commise par des employés
du responsable du traitement – Appréciation du caractère approprié des mesures de protection mises en œuvre par le responsable du traitement – Fonction compensatoire remplie par le droit à réparation – Incidence de la gravité de la violation – Nécessité d’établir l’existence d’un dommage causé par ladite violation – Notion de “dommage moral” »
Dans l’affaire C‑687/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Amtsgericht Hagen (tribunal de district de Hagen, Allemagne), par décision du 11 octobre 2021, parvenue à la Cour le 16 novembre 2021, dans la procédure
BL
contre
MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) et M. Gavalec, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour BL, par Me D. Pudelko, Rechtsanwalt,
– pour MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen, par Me B. Hackl, Rechtsanwalt,
– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce et Mme M. Lane, en qualité d’agents, assistés de M. D. Fennelly, BL,
– pour le Parlement européen, par Mme O. Hrstková Šolcová et M. J.‑C. Puffer, en qualité d’agents,
– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,
vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 2, paragraphe 1, de l’article 4, point 7, de l’article 5, paragraphe 1, sous f), de l’article 6, paragraphe 1, de l’article 24, de l’article 32, paragraphe 1, sous b), et paragraphe 2, ainsi que de l’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation
de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), et sur l’appréciation de la validité de cet article 82.
2 Cette demande a été présentée dans le cadre d’un litige opposant BL, une personne physique, à MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen (ci-après « Saturn »), au sujet de la réparation du préjudice moral que ladite personne affirme avoir subi en raison de la transmission à un tiers de certaines de ses données à caractère personnel due à une erreur commise par des employés de cette société.
Le cadre juridique
3 Les considérants 11, 74, 76, 83, 85 et 146 du RGPD sont libellés comme suit :
« (11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union [européenne] exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de
la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[...]
(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.
[...]
(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des
données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles
d’entraîner des dommages physiques, matériels ou un préjudice moral.
[...]
(85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une
perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]
[...]
(146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs
du présent règlement. Cela est sans préjudice de toute action en dommages‑intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation
complète et effective pour le dommage subi. [...] »
4 Figurant sous le chapitre I de ce règlement, relatif aux « [d]ispositions générales », l’article 2 de celui-ci, lui-même intitulé « Champ d’application matériel », prévoit, à son paragraphe 1 :
« Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »
5 L’article 4 dudit règlement, intitulé « Définitions », dispose :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]
[...]
10) “tiers”, une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;
[...]
12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
[...] »
6 Le chapitre II du RGPD, intitulé « Principes », comprend les articles 5 à 11 de celui-ci.
7 L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
[...]
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
8 L’article 6 dudit règlement, intitulé « Licéité du traitement », définit, à son paragraphe 1, les conditions qui doivent être remplies pour qu’un traitement soit licite.
9 Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous‑traitant », comporte les articles 24 à 43 de celui-ci.
10 Figurant sous la section 1 de ce chapitre IV, intitulée « Obligations générales », cet article 24, lui-même intitulé « Responsabilité du responsable du traitement », énonce, à ses paragraphes 1 et 2 :
« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement. »
11 Figurant sous la section 2 dudit chapitre IV, intitulée « Sécurité des données à caractère personnel », l’article 32 du RGPD, lui-même intitulé « Sécurité du traitement », dispose, à ses paragraphe 1, sous b), et paragraphe 2 :
« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
[...]
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
[...]
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. »
12 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », contient les articles 77 à 84 de celui-ci.
13 Aux termes de l’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité » :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...]
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
[...] »
14 L’article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », prévoit :
« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
[...]
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;
[...]
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
[...] »
15 L’article 84 de ce règlement, intitulé « Sanctions », dispose, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
Le litige au principal et les questions préjudicielles
16 Le requérant au principal s’est rendu dans les locaux commerciaux de Saturn, où il a acquis un appareil électroménager. Un contrat de vente et de crédit a été établi, à cet effet, par un employé de cette société. À cette occasion, celui-ci a introduit dans le système informatique de Saturn plusieurs données à caractère personnel de ce client, à savoir ses nom et prénom, son adresse, son lieu de résidence, le nom de son employeur, ses revenus ainsi que ses coordonnées bancaires.
17 Les documents contractuels contenant ces données à caractère personnel ont été imprimés et signés par les deux parties. Le requérant au principal les a ensuite apportés aux employés de Saturn travaillant au lieu de sortie des marchandises. Un autre client, qui s’était subrepticement faufilé devant le requérant au principal, a alors reçu, par erreur, tant l’appareil commandé par ce dernier que les documents concernés et a emporté le tout.
18 L’erreur ayant été rapidement découverte, un employé de Saturn a obtenu la restitution de l’appareil et des documents, puis les a rendus au requérant au principal, dans la demi-heure qui a suivi leur remise à l’autre client. L’entreprise a souhaité indemniser le requérant au principal pour cette erreur en lui livrant gratuitement l’appareil concerné à son domicile, mais l’intéressé a estimé que cette indemnisation était insuffisante.
19 Le requérant au principal a saisi l’Amtsgericht Hagen (tribunal de district de Hagen, Allemagne), qui est la juridiction de renvoi dans la présente affaire, d’une action tendant à obtenir, notamment sur le fondement des dispositions du RGPD, la réparation du préjudice moral qu’il affirme avoir subi à cause de l’erreur commise par les employés de Saturn et des risques de perte de contrôle en découlant pour ses données à caractère personnel.
20 En défense, Saturn objecte, d’une part, qu’il n’y a pas eu de violation du RGPD et que cette dernière ne pourrait être constituée que si elle dépassait un certain seuil de gravité, non atteint en l’occurrence. D’autre part, cette société fait valoir que le requérant au principal n’a subi aucun dommage, puisqu’il n’a été ni constaté ni même invoqué que le tiers impliqué aurait fait un usage abusif des données à caractère personnel de l’intéressé.
21 La juridiction de renvoi s’interroge, premièrement, sur la validité de l’article 82 du RGPD, en raison du fait que cet article lui paraît dépourvu de précision quant à ses effets juridiques en cas de réparation d’un préjudice moral.
22 Deuxièmement, dans l’hypothèse où cet article 82 ne serait pas déclaré invalide par la Cour, elle se demande si l’exercice du droit à réparation prévu à celui-ci suppose d’établir l’existence non seulement d’une violation du RGPD, mais aussi d’un dommage, en particulier moral, subi par la personne demandant réparation.
23 Troisièmement, la juridiction de renvoi cherche à déterminer si le seul fait que des documents imprimés contenant des données à caractère personnel ont été transmis sans autorisation à un tiers, en raison d’une erreur commise par des employés du responsable du traitement, permet ou non de caractériser une violation du RGPD.
24 Quatrièmement, tout en estimant que « l’entreprise [défenderesse] doit supporter la charge de la preuve de son innocence », cette juridiction souhaite savoir s’il suffit de constater qu’une telle remise de documents par négligence a eu lieu, pour considérer qu’une violation du RGPD est constituée, spécialement au regard de l’obligation qui pèserait sur le responsable du traitement de mettre en œuvre des mesures appropriées pour assurer la sécurité des données traitées, en vertu des articles 2, 5,
6 et 24 de ce règlement.
25 Cinquièmement, la juridiction de renvoi se demande si, même lorsqu’il semble que le tiers non autorisé n’a pas pris connaissance des données à caractère personnel concernées avant de restituer les documents où elles figuraient, l’existence d’un « dommage moral », au sens de l’article 82 du RGPD, peut être établie du seul fait que la personne dont les données ont ainsi été transmises ressent une peur face au risque, qui ne saurait être exclu selon cette juridiction, que celles-ci soient
communiquées à d’autres individus par ce tiers, voire soient utilisées de manière abusive, dans le futur.
26 Sixièmement, ladite juridiction s’interroge sur l’incidence éventuelle, dans le cadre d’une action en réparation d’un préjudice moral fondée sur cet article 82, du degré de gravité présenté par une violation commise dans des circonstances telles que celles au principal, compte tenu de ce que des mesures de sécurité plus efficaces auraient, à son avis, pu être adoptées par le responsable du traitement.
27 Enfin, septièmement, elle souhaite connaître la finalité de la réparation d’un préjudice moral due au titre du RGPD, en suggérant que cette dernière pourrait revêtir un caractère de sanction équivalent à celui d’une pénalité contractuelle.
28 Dans ces conditions, l’Amtsgericht Hagen (tribunal de district de Hagen) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) La disposition du [RGPD] prévoyant une réparation du dommage (à savoir l’article 82 de ce règlement) est-elle invalide, faute de précision sur les conséquences juridiques qui s’imposent au titre de l’indemnisation d’un préjudice moral ?
2) Est-il nécessaire, pour une action en réparation d’un dommage, que puisse être constatée – outre la communication non autorisée à un tiers non habilité de données à protéger – l’existence d’un dommage devant être prouvé par le demandeur ?
3) Est-il suffisant, pour que soit constituée une violation du [RGPD], que les données personnelles de la personne concernée (nom, adresse, profession, revenus, employeur) soient transmises à un tiers, sous une forme imprimée sur un document papier, du fait d’une erreur des employés de l’entreprise impliquée ?
4) Y a-t-il traitement ultérieur illégal par transmission (divulgation) involontaire à un tiers, lorsque l’entreprise a, à travers ses employés, transmis par erreur à un tiers sous une forme imprimée sur un document papier les données qui sont par ailleurs introduites dans le système informatique [article 2, paragraphe 1, article 5, paragraphe 1, sous f), article 6, paragraphe 1, et article 24 du [RGPD]] ?
5) Existe-t-il déjà un dommage moral au sens de l’article 82 du [RGPD], lorsque le tiers qui a reçu le document comportant les données personnelles n’a pas pris connaissance de ces données avant de restituer ledit document, ou encore la gêne de la personne dont les données personnelles ont été transmises illégalement suffit-elle pour caractériser un dommage moral au sens de l’article 82 du [RGPD] au motif que, dans chaque cas de divulgation non autorisée, il subsiste toujours un risque ne pouvant
être exclu que les données puissent tout de même être diffusées à un nombre inconnu de personnes, voire que ces données puissent faire l’objet d’un abus ?
6) Quelle gravité convient-il de reconnaître à la violation, dès lors que la transmission par erreur au tiers peut être prévenue grâce à un meilleur contrôle des auxiliaires travaillant auprès de l’entreprise et/ou grâce à une meilleure organisation de la sécurité des données, par exemple en séparant la remise des marchandises de la gestion des documents relatifs au contrat et surtout au financement, au moyen d’un bon de sortie distinct, ou au moyen d’une transmission aux collaborateurs chargés
de la sortie des marchandises en utilisant une voie interne à l’entreprise – et donc sans faire intervenir le client auquel ont été remis en l’espèce les documents imprimés, y compris le bon de retrait [article 32, paragraphe 1, sous b), et paragraphe 2, et article 4, point 7, du [RGPD]] ?
7) La réparation du préjudice moral s’entend-elle de l’application d’une sanction, comme dans le cas d’une pénalité contractuelle ? »
Sur les questions préjudicielles
Sur la première question
29 Par sa première question, la juridiction de renvoi demande si l’article 82 du RGPD est invalide en ce qu’il ne comporterait pas de précision quant aux conséquences juridiques qui s’imposent au titre de l’indemnisation d’un préjudice moral.
30 Le Parlement européen soutient que cette question est irrecevable, car la juridiction de renvoi n’a pas satisfait aux exigences de l’article 94, sous c), du règlement de procédure de la Cour, alors même que cette juridiction soulève là une problématique particulièrement complexe, à savoir l’appréciation de la validité d’une disposition du droit de l’Union.
31 Conformément à l’article 94, sous c), du règlement de procédure, la demande de décision préjudicielle doit notamment contenir, outre le texte des questions posées à la Cour à titre préjudiciel, un exposé des raisons qui ont conduit la juridiction de renvoi à s’interroger sur l’interprétation ou la validité de certaines dispositions du droit de l’Union.
32 À cet égard, l’exposé des motifs du renvoi préjudiciel est indispensable pour permettre non seulement à la Cour de donner des réponses utiles, mais aussi aux gouvernements des États membres ainsi qu’aux autres intéressés de présenter des observations, conformément à l’article 23 du statut de la Cour de justice de l’Union européenne. Plus spécifiquement, c’est au regard des motifs d’invalidité énoncés dans la décision de renvoi que la Cour doit examiner la validité d’une disposition du droit de
l’Union, de sorte que l’absence de toute mention des raisons précises ayant conduit la juridiction de renvoi à s’interroger à ce sujet entraîne l’irrecevabilité des questions relatives à ladite validité (voir, en ce sens, arrêts du 15 juin 2017, T.KUP, C‑349/16, EU:C:2017:469, points 16 à 18, et du 22 juin 2023, Vitol, C‑268/22, EU:C:2023:508, points 52 à 55).
33 Or, en l’occurrence, la juridiction de renvoi n’expose aucun élément précis permettant à la Cour d’examiner la validité de l’article 82 du RGPD.
34 En conséquence, la première question doit être déclarée irrecevable.
Sur les troisième et quatrième questions
35 Par ses troisième et quatrième questions, qu’il convient d’examiner ensemble et en premier lieu, la juridiction de renvoi demande, en substance, si les articles 5, 24, 32 et 82 du RGPD, lus conjointement, doivent être interprétés en ce sens que, dans le cadre d’une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel suffit, à lui seul, pour
considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
36 L’article 24 du RGPD prévoit une obligation générale, pesant sur le responsable du traitement de données à caractère personnel, de mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer que ledit traitement est effectué en conformité avec ce règlement et de pouvoir le démontrer (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 24).
37 L’article 32 du RGPD précise, quant à lui, les obligations du responsable du traitement et d’un éventuel sous-traitant quant à la sécurité de ce traitement. Ainsi, le paragraphe 1 de cet article dispose que ces derniers doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques liés audit traitement, en prenant en compte l’état des connaissances, les coûts de mise œuvre ainsi que la nature, la portée, le contexte et
les finalités du traitement concerné. De même, le paragraphe 2 dudit article énonce que, lors de l’évaluation du niveau de sécurité approprié, il doit être tenu compte, en particulier, des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée des données à caractère personnel, ou de l’accès non autorisé à de telles données de manière accidentelle ou illicite (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna
agentsia za prihodite, C‑340/21, EU:C:2023:986, points 26 et 27).
38 Il ressort ainsi des libellés des articles 24 et 32 du RGPD que le caractère approprié des mesures mises en œuvre par le responsable du traitement doit être évalué de manière concrète, compte tenu des différents critères visés à ces articles et des besoins de protection des données spécifiquement inhérents au traitement concerné ainsi qu’aux risques induits par ce dernier, et cela d’autant plus que ledit responsable doit être en mesure de démontrer la conformité avec ce règlement desdites
mesures, possibilité dont il serait privé si une présomption irréfragable était admise (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 30 à 32).
39 Cette interprétation littérale est corroborée par une lecture combinée desdits articles 24 et 32 avec l’article 5, paragraphe 2, et l’article 82 dudit règlement, lus à la lumière des considérants 74, 76 et 83 de celui‑ci, dont il découle, en particulier, que le responsable du traitement est tenu d’atténuer les risques de violation des données à caractère personnel, et non d’empêcher toute violation de celles-ci (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite,
C‑340/21, EU:C:2023:986, points 33 à 38).
40 Partant, la Cour a interprété les articles 24 et 32 du RGPD en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32 (arrêt du 14 décembre 2023,
Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 39).
41 En l’occurrence, la circonstance que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel est susceptible de révéler que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens desdits articles 24 et 32. En particulier, une telle circonstance peut résulter d’une négligence ou d’un défaut dans l’organisation du responsable du
traitement, qui ne tient pas compte de manière concrète des risques liés au traitement des données en cause.
42 À cet égard, il importe de souligner qu’il résulte d’une lecture combinée des articles 5, 24 et 32 du RGPD, lus à la lumière du considérant 74 de celui-ci, que, dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, la charge de prouver que les données à caractère personnel sont traitées de façon à garantir une sécurité appropriée de ces dernières, au sens de l’article 5, paragraphe 1, sous f), et de l’article 32 dudit règlement, incombe au responsable du traitement
concerné. Une telle répartition de la charge de la preuve est de nature non seulement à inciter les responsables du traitement de ces données à adopter des mesures de sécurité requises par le RGPD, mais aussi à sauvegarder l’effet utile du droit à réparation prévu à l’article 82 de ce règlement et à respecter les intentions du législateur de l’Union mentionnées au considérant 11 de celui-ci (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986,
points 49 à 56).
43 Dès lors, la Cour a interprété le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du RGPD et concrétisé à l’article 24 de celui-ci, en ce sens que, dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement (arrêt du 14 décembre 2023, Natsionalna
agentsia za prihodite, C‑340/21, EU:C:2023:986, point 57).
44 Ainsi, une juridiction saisie d’une telle action en réparation d’un préjudice fondée sur l’article 82 du RGPD ne saurait tenir compte uniquement de la circonstance que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel, pour déterminer s’il existe une violation d’une obligation prévue par ce règlement. En effet, cette juridiction doit également prendre en considération l’ensemble des éléments de preuve que
le responsable du traitement a fournis pour démontrer le caractère approprié des mesures techniques et organisationnelles qu’il a adoptées en vue de se conformer à ses obligations au titre des articles 24 et 32 dudit règlement.
45 Eu égard aux motifs qui précèdent, il y a lieu de répondre aux troisième et quatrième questions que les articles 5, 24, 32 et 82 du RGPD, lus conjointement, doivent être interprétés en ce sens que, dans le cadre d’une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer que les mesures techniques et
organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
Sur la septième question
46 Par sa septième question, la juridiction de renvoi demande, en substance, si l’article 82 du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction punitive.
47 À cet égard, la Cour a jugé que l’article 82 du RGPD revêt une fonction non pas punitive mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits
articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au
traitement de données personnelles), C‑300/21, EU:C:2023:370, points 38 et 40, ainsi que du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 85].
48 La Cour a précisé que, dès lors que le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne remplit pas une fonction dissuasive, voire punitive, mais remplit une fonction compensatoire, la gravité de la violation de ce règlement ayant causé le dommage concerné ne saurait influer sur le montant des dommages-intérêts octroyés au titre de cette disposition, même lorsqu’il s’agit d’un dommage non pas matériel mais moral, de sorte que ce montant ne saurait être fixé à un niveau dépassant
la compensation intégrale de ce préjudice (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, points 86 et 87).
49 Il résulte de ce qui précède qu’il n’est pas nécessaire de se prononcer sur le rapprochement, qui est envisagé par la juridiction de renvoi, entre la finalité visée par le droit à réparation consacré à cet article 82, paragraphe 1, et la fonction punitive d’une pénalité contractuelle.
50 Par conséquent, il y a lieu de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.
Sur la sixième question
51 Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 82 du RGPD doit être interprété en ce sens que cet article requiert que le degré de gravité de la violation de ce règlement commise par le responsable du traitement soit pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
52 À cet égard, il résulte de l’article 82 du RGPD que, d’une part, l’engagement de la responsabilité du responsable du traitement est notamment subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en
réparation d’un préjudice moral sur le fondement de cette disposition (arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 103).
53 S’agissant de l’évaluation des dommages-intérêts éventuellement dus en vertu de l’article 82 du RGPD, puisque ce règlement ne contient pas de disposition ayant un tel objet, les juges nationaux doivent, aux fins de cette évaluation, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung
Nordrhein, C‑667/21, EU:C:2023:1022, points 83 et 101 ainsi que jurisprudence citée).
54 En outre, la Cour a précisé que, eu égard à la fonction compensatoire du droit à réparation prévu à l’article 82 du RGPD, cette disposition ne requiert pas une prise en compte du degré de gravité de la violation de ce règlement, que le responsable du traitement est présumé avoir commise, lors de la fixation du montant des dommages-intérêts alloués en réparation d’un préjudice moral sur le fondement de ladite disposition, mais exige que ce montant soit fixé de manière à compenser intégralement le
préjudice concrètement subi du fait de la violation dudit règlement (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, points 84 à 87 et 102 ainsi que jurisprudence citée).
55 Eu égard aux motifs qui précèdent, il convient de répondre à la sixième question que l’article 82 du RGPD doit être interprété en ce sens que cet article ne requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
Sur la deuxième question
56 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.
57 À cet égard, il convient de rappeler que, aux termes de l’article 82, paragraphe 1, du RGPD, « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
58 Il ressort du libellé de cette disposition que la simple violation du RGPD ne suffit pas pour conférer un droit à réparation. En effet, l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cet article 82, paragraphe 1, tout comme l’existence d’une violation de ce règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [voir, en ce sens, arrêts du 4 mai 2023,
Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 32 et 42 ; du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 77 ; du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, point 14, ainsi que du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 82].
59 En ce qui concerne plus particulièrement les dommages moraux, la Cour a aussi jugé que l’article 82, paragraphe 1, du RGPD s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée, telle que définie à l’article 4, point 1, de ce règlement, ait atteint un certain degré de gravité [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au
traitement de données personnelles), C‑300/21, EU:C:2023:370, point 51 ; du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 78, ainsi que du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, point 16].
60 La Cour a précisé qu’une personne concernée par une violation du RGPD qui a produit des conséquences négatives à son encontre est toutefois tenue de démontrer que ces conséquences sont constitutives d’un dommage moral, au sens de l’article 82 de ce règlement, puisque la simple violation des dispositions de celui-ci ne suffit pas pour conférer un droit à réparation [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21,
EU:C:2023:370, points 42 et 50 ; du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 84, ainsi que du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, points 21 et 23].
61 Eu égard aux motifs qui précèdent, il convient de répondre à la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.
Sur la cinquième question
62 Par sa cinquième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, est susceptible d’être constitué par le simple fait que la personne concernée craint que, à la suite de cette
communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.
63 Il importe de préciser que cette juridiction indique que, dans le cas d’espèce, le document où figurait les données concernées a été restitué au requérant au principal dans la demi-heure ayant suivi la remise à un tiers non autorisé et que celui-ci n’a pas pris connaissance de ces données avant de restituer le document, mais ledit requérant fait valoir que cette remise a donné à ce tiers la possibilité de prendre des copies du document avant de le restituer et qu’elle a donc généré pour lui une
crainte liée au risque qu’un usage abusif desdites données survienne à l’avenir.
64 Eu égard à l’absence de toute référence, dans l’article 82, paragraphe 1, du RGPD, au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 30 et 44, ainsi que du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988,
point 15].
65 La Cour a jugé qu’il ressort non seulement du libellé de l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 85 et 146 de ce règlement, lesquels invitent à retenir une conception large de la notion de « dommage moral » au sens de cette première disposition, mais également de l’objectif consistant à assurer un niveauélevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel, qui est visé par ledit règlement, que la crainte d’un potentiel
usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation du même règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cet article 82, paragraphe 1 (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 79 à 86).
66 Par ailleurs, en se fondant aussi sur des considérations d’ordre à la fois littéral, systémique et téléologique, la Cour a considéré que la perte de contrôle sur des données à caractère personnel pendant un court laps de temps peut causer à la personne concernée un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, à condition que ladite personne démontre avoir effectivement subi un tel dommage, aussi minime fût-il, étant rappelé que la simple violation
des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation sur ce fondement (voir, en ce sens, arrêt du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, points 18 à 23).
67 De même, en l’occurrence, il convient de relever qu’il est conforme à la fois au libellé de l’article 82, paragraphe 1, du RGPD et à l’objectif de protection visé par ce règlement que la notion de « dommage moral » englobe une situation dans laquelle la personne concernée éprouve la crainte fondée, ce qu’il appartient à la juridiction nationale saisie de vérifier, que certaines de ses données à caractère personnel fassent l’objet d’une diffusion ou d’un usage abusif par des tiers dans le futur,
en raison du fait qu’un document contenant lesdites données a été remis à un tiers non autorisé qui a été mis en mesure d’en prendre des copies avant de le restituer.
68 Cependant, il n’en demeure pas moins qu’il revient au demandeur à une action en réparation fondée sur l’article 82 du RGPD de démontrer l’existence d’un tel dommage. En particulier, un risque purement hypothétique d’usage abusif par un tiers non autorisé ne saurait donner lieu à réparation. Il en va ainsi lorsqu’aucun tiers n’a pris connaissance des données à caractère personnel en cause.
69 Partant, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la
réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.
Sur les dépens
70 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus conjointement,
doivent être interprétés en ce sens que :
dans le cadre d’une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.
3) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
cet article ne requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la personne demandant réparation au titre de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.
5) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le
futur.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
