ARRÊT DE LA COUR (troisième chambre)
11 avril 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82 – Droit à réparation du dommage causé par un traitement de données effectué en violation de ce règlement – Notion de “dommage moral” – Incidence de la gravité du dommage subi – Responsabilité du responsable du traitement – Exonération éventuelle en cas de défaillance d’une personne agissant sous son autorité au sens de l’article 29 – Évaluation du
montant de la réparation – Inapplicabilité des critères prévus pour les amendes administratives à l’article 83 – Évaluation en cas de violations multiples dudit règlement »
Dans l’affaire C‑741/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Landgericht Saarbrücken (tribunal régional de Sarrebruck, Allemagne), par décision du 22 novembre 2021, parvenue à la Cour le 1er décembre 2021, dans la procédure
GP
contre
juris GmbH,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra et N. Jääskinen (rapporteur), juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour GP, par Me H. Schöning, Rechtsanwalt,
– pour juris GmbH, par Mes E. Brandt et C. Werkmeister, Rechtsanwälte,
– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce et Mme M. Lane, en qualité d’agents, assistés de M. D. Fennelly, BL,
– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,
vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 82, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lu en combinaison avec les articles 29
et 83 de ce règlement ainsi qu’à la lumière des considérants 85 et 146 de celui-ci.
2 Cette demande a été présentée dans le cadre d’un litige opposant GP, une personne physique, à juris GmbH, une société établie en Allemagne, au sujet de la réparation des préjudices que GP prétend avoir subis en raison de divers traitements de ses données à caractère personnel qui ont été réalisés à des fins de prospection, en dépit des oppositions qu’il avait adressées à ladite société.
Le cadre juridique
3 Les considérants 85, 146 et 148 du RGPD sont libellés comme suit :
« (85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation,
une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]
[...]
(146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous‑traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs
du présent règlement. Cela est sans préjudice de toute action en dommages‑intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. [...] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...]
[...]
(148) Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement [...]. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont
l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. [...] »
4 L’article 4 de ce règlement, intitulé « Définitions », énonce :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]
[...]
12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
[...] »
5 L’article 5 dudit règlement énonce une série de principes relatifs au traitement des données à caractère personnel.
6 Figurant sous le chapitre III du RGPD, relatif aux « [d]roits de la personne concernée », l’article 21 de celui-ci, intitulé « Droit d’opposition », prévoit, à son paragraphe 3 :
« Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins. »
7 Le chapitre IV de ce règlement, intitulé « Responsable du traitement et sous‑traitant », comporte les articles 24 à 43 de celui-ci.
8 L’article 24 dudit règlement, intitulé « Responsabilité du responsable du traitement », énonce, à ses paragraphes 1 et 2 :
« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement. »
9 L’article 25 du même règlement, intitulé « Protection des données dès la conception et protection des données par défaut », prévoit, à son paragraphe 1 :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles
que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. »
10 L’article 29 du RGPD, intitulé « Traitement effectué sous l’autorité du responsable du traitement ou du sous‑traitant », dispose :
« Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. »
11 L’article 32 de ce règlement, intitulé « Sécurité du traitement », énonce :
« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
[...]
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
[...]
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
[...]
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre. »
12 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comporte les articles 77 à 84 de celui-ci.
13 L’article 79 de ce règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
14 L’article 82 dudit règlement, intitulé « Droit à réparation et responsabilité », dispose, à ses paragraphes 1 à 3 :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...]
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »
15 L’article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », énonce, à ses paragraphes 2, 3 et 5 :
« 2. [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
[...]
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
[...]
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 [;]
[...] »
16 L’article 84 de ce règlement, intitulé « Sanctions », prévoit, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
Le litige au principal et les questions préjudicielles
17 Le requérant au principal, une personne physique exerçant la profession d’avocat à titre indépendant, était client de juris, une société exploitant une base de données juridique.
18 Le 6 novembre 2018, après avoir appris que ses données à caractère personnel étaient utilisées par juris aussi à des fins de prospection directe, le requérant au principal a révoqué, par écrit, tous ses consentements à recevoir de cette société des informations par courriel ou par téléphone et il s’est opposé à tout traitement de ces données, hormis pour l’envoi de newsletters dont il souhaitait continuer à être destinataire.
19 Malgré cette démarche, le requérant au principal a reçu, au mois de janvier 2019, deux prospectus publicitaires envoyés nominativement à son adresse professionnelle. Par un courrier adressé à juris le 18 avril 2019, il lui a rappelé son opposition antérieure à toute prospection, il lui a indiqué que la création de ces prospectus avait occasionné un traitement illicite de ses données et il lui a demandé une réparation de son préjudice en vertu de l’article 82 du RGPD. Ayant reçu un nouveau
prospectus publicitaire le 3 mai 2019, il a réitéré son opposition, laquelle a cette fois‑ci été signifiée à juris par voie d’huissier.
20 Chacun desdits prospectus contenait un « code personnel d’essai » permettant d’accéder, sur le site Internet de juris, à un formulaire de commande de produits de cette société qui comportait des mentions relatives au requérant au principal, comme cela a été constaté, à la demande de ce dernier, par un notaire, le 7 juin 2019.
21 Le requérant au principal a saisi le Landgericht Saarbrücken (tribunal régional de Sarrebruck, Allemagne), qui est la juridiction de renvoi dans la présente affaire, d’un recours tendant à obtenir, sur le fondement de l’article 82, paragraphe 1, du RGPD, la réparation de son préjudice matériel, lié aux frais d’huissier et de notaire qu’il a exposés, ainsi que de son préjudice moral. Il soutient, notamment, qu’il a subi une perte de contrôle sur ses données à caractère personnel, en raison des
traitements de celles-ci réalisés par juris en dépit de ses oppositions, et qu’il peut obtenir une réparation à ce titre, sans devoir démontrer les effets ou la gravité de l’atteinte portée à ses droits, garantis par l’article 8 de la charte des droits fondamentaux de l’Union européenne et précisés par ce règlement.
22 En défense, juris rejette toute responsabilité, en faisant valoir qu’elle avait bien établi un système de gestion des oppositions à la prospection et que la prise en compte tardive de celles du requérant au principal est due soit au fait que l’un de ses collaborateurs n’a pas respecté les instructions qui avaient été données, soit au fait qu’il aurait été excessivement onéreux de tenir compte de ces oppositions. Elle allègue que la simple violation d’une obligation découlant du RGPD, telle que
celle découlant de l’article 21, paragraphe 3, de celui-ci, ne saurait constituer, à elle seule, un « dommage », au sens de l’article 82, paragraphe 1, de ce règlement.
23 En premier lieu, la juridiction de renvoi part, tout d’abord, du postulat que le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD est subordonné à la réunion de trois conditions, à savoir une violation de ce règlement, un dommage matériel ou moral, ainsi qu’un lien de causalité entre cette violation et ce dommage. Ensuite, compte tenu des prétentions du requérant au principal, elle se demande s’il faudrait néanmoins considérer qu’une violation du RGPD constitue, à elle seule, un
dommage moral ouvrant droit à une indemnisation, en particulier lorsque la disposition violée de ce règlement confère un droit subjectif à la personne concernée. Enfin, étant donné que le droit allemand subordonne la réparation pécuniaire d’un dommage immatériel à l’exigence d’une atteinte grave portée aux droits protégés, cette juridiction se demande si une restriction analogue doit s’appliquer s’agissant des demandes en réparation au titre du RGPD, à la lumière des indications relatives à la
notion de « dommage » qui figurent aux considérants 85 et 146 de ce règlement.
24 En deuxième lieu, ladite juridiction estime possible qu’il résulte de l’article 82 du RGPD que, lorsque l’existence d’une violation de ce règlement a été constatée, cette dernière est réputée imputable au responsable du traitement, de sorte qu’il existerait une responsabilité pour faute présumée, voire sans faute, de celui‑ci. En outre, après avoir souligné que le paragraphe 3 de cet article ne précise pas les exigences de preuve concrètement liées à l’exonération prévue à ce paragraphe, elle
relève que, s’il était permis au responsable du traitement de s’exonérer de sa responsabilité en se bornant à faire valoir, en termes généraux, un comportement fautif de l’un de ses collaborateurs, cela limiterait notablement l’effet utile du droit à réparation prévu au paragraphe 1 dudit article.
25 En troisième lieu, la juridiction de renvoi souhaite notamment savoir si, pour évaluer le montant de la réparation pécuniaire d’un préjudice, en particulier d’un préjudice moral, qui serait due au titre de l’article 82 du RGPD, les critères prévus à l’article 83, paragraphes 2 et 5, de celui‑ci, pour décider du montant d’amendes administratives, peuvent, voire doivent, être pris en compte aussi dans le cadre dudit article 82.
26 En quatrième et dernier lieu, cette juridiction relève que, dans le litige dont elle est saisie, les données à caractère personnel du requérant au principal ont fait l’objet de plusieurs traitements à des fins de prospection, malgré les oppositions réitérées de l’intéressé. Elle cherche donc à déterminer si, lorsqu’il existe une telle pluralité de violations du RGPD, ces dernières doivent être prises en compte de manière individuelle ou de manière globale, en vue de fixer le montant de la
réparation éventuellement due en vertu de l’article 82 de ce règlement.
27 Dans ces conditions, le Landgericht Saarbrücken (tribunal régional de Sarrebruck) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Au vu du considérant 85 et du considérant 146, troisième phrase, du RGPD, convient-il d’entendre la notion de “dommage moral” visée à l’article 82, paragraphe 1, du RGPD en ce sens qu’elle inclut toute atteinte à la position juridiquement protégée, quels que soient les effets collatéraux et la gravité de cette atteinte ?
2) La responsabilité en matière de réparation est-elle exclue, en application de l’article 82, paragraphe 3, du RGPD, par le fait que la violation est imputée à une défaillance humaine commise dans un cas individuel par une personne agissant sous l’autorité du responsable du traitement ou du sous-traitant au sens de l’article 29 du RGPD ?
3) Est-il permis, voire requis, [de se fonder] lors du calcul de la réparation du dommage moral [sur les] critères de détermination visés à l’article 83 du RGPD, et en particulier à l’article 83, paragraphes 2 et 5, du RGPD ?
4) Convient-il de déterminer la réparation pour chaque violation distincte ou bien faut-il sanctionner une multitude de violations – à tout le moins une multitude de violations similaires – par un montant de réparation global qui n’est pas déterminé par l’addition de montants distincts mais par une appréciation d’ensemble ? »
Sur les questions préjudicielles
Sur la première question
Sur la recevabilité
28 À titre liminaire, juris soutient, en substance, que la première question est irrecevable en ce qu’elle vise à établir si l’ouverture du droit à réparation prévu à l’article 82 du RGPD est subordonnée à l’exigence que le dommage allégué par la personne concernée, telle que définie à l’article 4, point 1, de ce règlement, ait atteint un certain degré de gravité. Cette interrogation serait dénuée de pertinence pour trancher le litige au principal, aux motifs que le dommage invoqué par le requérant
au principal, à savoir une perte de contrôle sur ses données à caractère personnel, ne se serait pas produit, puisque ces données auraient fait l’objet d’un traitement licite, comme s’inscrivant dans la relation contractuelle qui liait les parties à ce litige.
29 À cet égard, il convient de rappeler qu’il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour, lesquelles bénéficient d’une présomption de pertinence. Partant, dès lors que la question posée porte sur
l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer, sauf s’il apparaît de manière manifeste que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile à ladite question [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de
données personnelles), C‑300/21, EU:C:2023:370, point 23 et jurisprudence citée].
30 En l’occurrence, la première question porte sur les conditions requises pour l’exercice du droit à réparation prévu à l’article 82 du RGPD. En outre, il n’apparaît pas de manière manifeste que l’interprétation sollicitée soit dépourvue de rapport avec le litige au principal ou que le problème soulevé revête un caractère hypothétique. En effet, d’une part, ce litige a trait à une demande d’indemnisation relevant du régime de protection des données à caractère personnel instauré par le RGPD.
D’autre part, cette question tend, en substance, à déterminer si, aux fins de l’application des règles de responsabilité énoncées par ce règlement, il est nécessaire non seulement qu’il existe un dommage moral se distinguant de la violation dudit règlement, mais aussi que ce dommage dépasse un certain seuil de gravité.
31 Dès lors, la première question est recevable.
Sur le fond
32 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée suffit, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne.
33 À titre liminaire, il y a lieu de rappeler que l’article 82, paragraphe 1, du RGPD énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
34 La Cour a déjà interprété l’article 82, paragraphe 1, du RGPD en ce sens que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation, dès lors que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu audit article 82, paragraphe 1, tout comme l’existence d’une violation dudit règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions
étant cumulatives (voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 58 et jurisprudence citée).
35 Ainsi, la personne demandant réparation d’un dommage moral sur le fondement de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un tel dommage (voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 60 et 61 ainsi que jurisprudence citée).
36 Sur ce point, il convient de relever que la Cour a interprété l’article 82, paragraphe 1, du RGPD en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité, tout en soulignant que ladite personne est néanmoins tenue de démontrer que la violation de ce règlement lui a causé un tel dommage moral (voir, en ce sens,
arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 59 et 60 ainsi que jurisprudence citée).
37 Quand bien même la disposition du RGPD ayant fait l’objet d’une violation octroierait des droits aux personnes physiques, une telle violation ne saurait être, à elle seule, susceptible de constituer un « dommage moral », au sens de ce règlement.
38 Certes, il ressort de l’article 79, paragraphe 1, du RGPD que toute personne concernée a droit à un recours juridictionnel effectif, contre le responsable du traitement ou un éventuel sous‑traitant, si elle considère que les « droits que lui confère [ce] règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation [dudit] règlement ».
39 Toutefois, cette disposition se limite à conférer un droit de recours à la personne qui s’estime victime d’une violation des droits que lui confère le RGPD, sans dispenser cette dernière de l’obligation, qui lui incombe au titre de l’article 82, paragraphe 1, de ce règlement, de prouver qu’elle a effectivement subi un dommage matériel ou moral.
40 Il s’ensuit que la violation de dispositions du RGPD octroyant des droits à la personne concernée ne suffit pas, à elle seule, pour fonder un droit matériel à obtenir réparation au titre de ce règlement, lequel exige que les deux autres conditions de ce droit mentionnées au point 34 du présent arrêt soient aussi remplies.
41 En l’occurrence, le requérant au principal prétend obtenir, sur le fondement du RGPD, la réparation d’un dommage moral, à savoir une perte de contrôle sur ses données à caractère personnel ayant fait l’objet de traitements en dépit de son opposition, sans être tenu de prouver que ce dommage a dépassé un certain seuil de gravité.
42 À cet égard, il importe de relever que le considérant 85 du RGPD mentionne expressément la « perte de contrôle » parmi les dommages susceptibles d’être engendrés par une violation de données à caractère personnel. En outre, la Cour a jugé que la perte de contrôle sur de telles données, même pendant un court laps de temps, peut constituer un « dommage moral », au sens de l’article 82, paragraphe 1, de ce règlement, ouvrant droit à réparation, sous réserve que la personne concernée démontre avoir
effectivement subi un tel dommage, aussi minime fût-il (voir, en ce sens, arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 66 et jurisprudence citée).
43 Compte tenu des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne.
Sur la deuxième question
44 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 82 du RGPD doit être interprété en ce sens qu’il suffit au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 dudit article, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement.
45 À cet égard, il convient de rappeler que l’article 82 du RGPD énonce, à son paragraphe 2, que tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation de ce règlement et, à son paragraphe 3, qu’un responsable du traitement est exonéré de responsabilité, au titre de ce paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
46 La Cour a déjà constaté qu’il ressort d’une analyse combinée des paragraphes 2 et 3 de cet article 82 que celui-ci prévoit un régime de responsabilité pour faute, dans lequel le responsable du traitement est présumé avoir participé au traitement constituant la violation du RGPD qui est visée, de sorte que la charge de la preuve pèse, non pas sur la personne qui a subi un dommage, mais sur le responsable du traitement (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein,
C‑667/21, EU:C:2023:1022, points 92 à 94).
47 S’agissant du point de savoir si le responsable du traitement peut être exonéré de sa responsabilité, en vertu de l’article 82, paragraphe 3, du RGPD, au seul motif que ce dommage a été provoqué par le comportement fautif d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement, d’une part, il ressort de cet article 29 que les personnes agissant sous l’autorité du responsable du traitement, telles que ses employés, qui ont accès à des données à caractère personnel, ne
peuvent, en principe, traiter ces données que sur instructions dudit responsable et conformément à celles-ci (voir, en ce sens, arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, points 73 et 74).
48 D’autre part, l’article 32, paragraphe 4, du RGPD, relatif à la sécurité du traitement de données à caractère personnel, prévoit que le responsable du traitement prend des mesures afin de garantir que toute personne physique agissant sous son autorité, qui a accès à de telles données, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
49 Or, un salarié du responsable du traitement est bien une personne physique agissant sous l’autorité de ce responsable. Ainsi, il revient audit responsable de s’assurer que ses instructions sont correctement appliquées par ses salariés. Partant, le responsable du traitement ne saurait se dégager de sa responsabilité au titre de l’article 82, paragraphe 3, du RGPD simplement en invoquant une négligence ou un manquement d’une personne agissant sous son autorité.
50 En l’occurrence, dans ses observations écrites devant la Cour, juris soutient, en substance, que le responsable du traitement devrait être exonéré de sa responsabilité, en vertu de l’article 82, paragraphe 3, du RGPD, lorsque la violation ayant causé le dommage concerné est imputable au comportement de l’un de ses employés qui n’a pas respecté les instructions émanant dudit responsable et pour autant que cette violation n’est pas due à un manquement aux obligations de ce dernier énoncées, en
particulier, aux articles 24, 25 et 32 de ce règlement.
51 À cet égard, il importe de souligner que les circonstances de l’exonération prévue à l’article 82, paragraphe 3, du RGPD doivent être strictement limitées à celles où le responsable du traitement est en mesure de démontrer une absence d’imputabilité du dommage dans son propre chef (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 70). Dès lors, en cas de violation de données à caractère personnel commise par une personne agissant sous
son autorité, ledit responsable est susceptible de bénéficier de cette exonération uniquement s’il prouve qu’il n’y a aucun lien de causalité entre l’éventuelle violation de l’obligation de protection des données, pesant sur lui en vertu des articles 5, 24 et 32 de ce règlement, et le dommage subi par la personne concernée (voir, par analogie, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 72).
52 Partant, pour que le responsable du traitement puisse être exonéré de sa responsabilité, en vertu de l’article 82, paragraphe 3, du RGPD, il ne saurait être suffisant qu’il démontre qu’il avait donné des instructions aux personnes agissant sous son autorité, au sens de l’article 29 de ce règlement, et que l’une desdites personnes a failli à son obligation de suivre ces instructions, de sorte que celle‑ci a contribué à la survenance du dommage en cause.
53 En effet, s’il était admis que le responsable du traitement peut s’exonérer de sa responsabilité en se bornant à invoquer la défaillance d’une personne agissant sous son autorité, cela nuirait à l’effet utile du droit à réparation consacré à l’article 82, paragraphe 1, du RGPD, ainsi que la juridiction de renvoi l’a relevé en substance, et cela ne serait pas conforme à l’objectif de ce règlement consistant à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de
leurs données à caractère personnel.
54 Eu égard à ce qui précède, il convient de répondre à la deuxième question que l’article 82 du RGPD doit être interprété en ce sens qu’il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 dudit article, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement.
Sur les troisième et quatrième questions
55 Par ses troisième et quatrième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il y a lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et,
d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.
56 En premier lieu, s’agissant d’une éventuelle prise en compte des critères énoncés à l’article 83 du RGPD afin d’évaluer le montant de la réparation due au titre de l’article 82 de celui-ci, il est constant que ces deux dispositions poursuivent des objectifs différents. En effet, tandis que l’article 83 de ce règlement détermine les « [c]onditions générales pour imposer des amendes administratives », l’article 82 dudit règlement régit le « [d]roit à réparation et [la] responsabilité ».
57 Il en découle que les critères énoncés à l’article 83 du RGPD afin de déterminer le montant des amendes administratives, qui sont également mentionnés au considérant 148 de ce règlement, ne sauraient être utilisés pour évaluer le montant des dommages‑intérêts au titre de l’article 82 de celui-ci.
58 Ainsi que la Cour l’a déjà mis en exergue, le RGPD ne contient pas de disposition portant sur l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement. Partant, les juges nationaux doivent, aux fins de cette évaluation, appliquer, en vertu du principe de l’autonomie procédurale, les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et
d’effectivité du droit de l’Union, tels que définis par la jurisprudence constante de la Cour (voir, en ce sens, arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, points 83 et 101 ainsi que jurisprudence citée, et du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 53).
59 Dans ce contexte, la Cour a souligné que l’article 82 du RGPD revêt une fonction non pas punitive mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits
articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites (arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 47 et
jurisprudence citée).
60 Par ailleurs, la Cour a déduit du fait que le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne remplit pas une fonction dissuasive, voire punitive, que la gravité de la violation de ce règlement ayant causé le dommage matériel ou moral allégué ne saurait influer sur le montant des dommages‑intérêts octroyés au titre de cette disposition. Il s’ensuit que ce montant ne saurait être fixé à un niveau dépassant la compensation complète de ce préjudice (voir, en ce sens, arrêt du
21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 86).
61 En visant le considérant 146, sixième phrase, du RGPD, selon lequel cet instrument tend à assurer une « réparation complète et effective pour le dommage subi », la Cour a relevé que, compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 de ce règlement, une réparation pécuniaire fondée sur cet article doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit
règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages‑intérêts punitifs (arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 84 et jurisprudence citée).
62 Ainsi, eu égard aux différences de libellés et de finalités existant entre l’article 82 du RGPD, lu à la lumière du considérant 146 de celui-ci, et l’article 83 dudit règlement, lu à la lumière du considérant 148 de celui‑ci, il ne saurait être considéré que les critères d’évaluation énoncés spécifiquement à cet article 83 sont applicables mutatis mutandis dans le cadre de cet article 82, nonobstant le fait que les voies de droit prévues à ces deux dispositions sont bien complémentaires pour
assurer le respect du même règlement.
63 En second lieu, s’agissant de la manière dont les juges nationaux doivent évaluer le montant d’une réparation pécuniaire au titre de l’article 82 du RGPD dans les cas de violations multiples de ce règlement affectant une même personne concernée, il convient, tout d’abord, de souligner que, comme cela est mentionné au point 58 du présent arrêt, il appartient à chaque État membre de fixer les critères permettant de déterminer le montant de cette réparation, sous réserve du respect des principes
d’effectivité et d’équivalence du droit de l’Union.
64 Ensuite, compte tenu de la fonction non pas punitive mais compensatoire de l’article 82 du RGPD, qui est rappelée aux points 60 et 61 du présent arrêt, la circonstance que plusieurs violations ont été commises par le responsable du traitement, à l’égard d’une même personne concernée, ne saurait constituer un critère pertinent aux fins de l’évaluation des dommages‑intérêts à allouer à cette personne en vertu de cet article 82. En effet, seul le préjudice concrètement subi par celle‑ci doit être
pris en considération pour fixer le montant de la réparation pécuniaire due à titre de compensation.
65 Par conséquent, il convient de répondre aux troisième et quatrième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que
plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.
Sur les dépens
66 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne.
2) L’article 82 règlement 2016/679
doit être interprété en ce sens que :
il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 dudit article, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité, au sens de l’article 29 de ce règlement.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
