ARRÊT DE LA COUR (troisième chambre)
20 juin 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82, paragraphe 1 – Droit à réparation du dommage causé par un traitement de données effectué en violation de ce règlement – Notion de “dommage moral” – Incidence de la gravité du dommage subi – Évaluation du montant de la réparation – Demande de réparation d’un préjudice moral fondée sur une crainte – Inapplicabilité des critères prévus pour les
amendes administratives à l’article 83 – Fonction dissuasive – Évaluation en cas de violations simultanées dudit règlement et du droit national »
Dans l’affaire C‑590/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Amtsgericht Wesel (tribunal de district de Wesel, Allemagne), par décision du 5 août 2022, parvenue à la Cour le 9 septembre 2022, dans la procédure
AT,
BT
contre
PS GbR,
VG,
MB,
DH,
WB,
GS,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, M. K. Lenaerts, président de la Cour, faisant fonction de juge de la troisième chambre, MM. N. Piçarra, N. Jääskinen (rapporteur) et M. Gavalec, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, MM. A. Joyce et M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,
– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,
vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant respectivement AT et BT, qui sont les requérants au principal, à PS GbR, une société de conseil fiscal, ainsi qu’à VG, à MB, à DH, à WB et à GS, les associés de PS, au sujet du droit des requérants au principal à l’octroi de dommages-intérêts, au titre de l’article 82, paragraphe 1, du RGPD, à titre de réparation pour les souffrances qu’ils affirment avoir endurées en raison du fait que leur déclaration fiscale contenant des données
à caractère personnel a été divulguée à des tiers sans leur consentement à la suite d’une erreur commise par PS.
Le cadre juridique
3 Les considérants 85, 146 et 148 du RGPD sont libellés comme suit :
« (85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation,
une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]
[...]
(146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs
du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation
complète et effective pour le dommage subi. [...]
[...]
(148) Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement [...] Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont
l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. [...] »
4 L’article 4 de ce règlement, intitulé « Définitions », prévoit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]
[...]
10) “tiers”, une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;
[...]
12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
[...] »
5 Aux termes de l’article 79, paragraphe 1, dudit règlement :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
6 L’article 82 de celui-ci, intitulé « Droit à réparation et responsabilité », dispose, à ses paragraphes 1 à 3 :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...]
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »
7 L’article 83 du même règlement, intitulé « Conditions générales pour imposer des amendes administratives », énonce, à ses paragraphes 2, 3 et 5 :
« 2. [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
[...]
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
[...]
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 [;]
[...] »
Le litige au principal et les questions préjudicielles
8 Les requérants au principal, AT et BT, sont clients de PS, un cabinet de conseil fiscal. Ils ont informé ce cabinet de conseil de leur changement d’adresse postale, lequel a été enregistré dans le système informatique de traitement des données de PS. La nouvelle adresse des requérants au principal a, par la suite, été utilisée par PS pour l’envoi de plusieurs lettres.
9 Au mois de juillet 2020, les requérants au principal ont demandé à PS de rédiger leur déclaration fiscale pour l’année 2019. N’ayant reçu aucune réponse, ils ont contacté PS qui les a informés que cette déclaration fiscale leur avait bien été envoyée par courrier le 29 septembre 2020, sans préciser l’adresse à laquelle ledit courrier avait été expédié.
10 Les nouveaux occupants de leur ancienne adresse les ont informés qu’une enveloppe adressée à leur nom était parvenue à cette adresse et qu’ils l’avaient ouverte par erreur. L’un de ces nouveaux occupants a indiqué que, après avoir constaté que le courrier postal en cause ne lui était pas adressé, il avait replacé dans leur enveloppe les documents qu’il y avait trouvés. Il a alors remis celle-ci à des proches résidant à proximité de l’ancienne adresse des requérants au principal pour que ces
derniers puissent la récupérer.
11 Lorsque les requérants au principal ont récupéré l’enveloppe concernée, ils ont constaté que seule une copie de la déclaration fiscale ainsi qu’une lettre d’accompagnement y figuraient. Ils supposent, toutefois, que cette enveloppe contenait également la version originale de cette déclaration fiscale, laquelle comprenait des données personnelles parmi lesquelles figuraient leurs noms et leurs dates de naissance ainsi que ceux de leurs enfants, leurs numéros d’identification fiscale, leurs
coordonnées bancaires, ou bien encore des indications relatives à leur appartenance à une communauté religieuse, à la qualité de personne handicapée d’un membre de leur famille, à leurs professions et à leurs lieux de travail, ou à différentes dépenses réalisées par eux.
12 À cet égard, la juridiction de renvoi précise qu’il n’a pas été possible d’établir quels documents se trouvaient initialement dans ladite enveloppe ni de déterminer dans quelle mesure les nouveaux occupants de l’ancienne adresse des requérants au principal avaient pris ou non connaissance du contenu de la même enveloppe. Elle indique également que l’envoi du courrier en cause à une adresse erronée résultait du fait que PS avait utilisé des données issues d’une base de données dans laquelle
figurait encore l’ancienne adresse des requérants au principal.
13 Dans ce contexte, les requérants au principal ont saisi l’Amtsgericht Wesel (tribunal de district de Wesel, Allemagne), qui est la juridiction de renvoi, d’un recours tendant à obtenir, sur le fondement de l’article 82, paragraphe 1, du RGPD, la réparation du préjudice moral qu’ils estiment avoir subi du fait de la divulgation de leurs données à caractère personnel à des tiers et qu’ils évaluent à 15000 euros.
14 La juridiction de renvoi se demande, en premier lieu, si, dans l’hypothèse où un préjudice moral serait invoqué, un droit à réparation au titre de l’article 82 du RGPD pourrait être fondé sur la seule violation des dispositions de ce règlement étant précisé que, en droit allemand, ce n’est que dans les cas où un préjudice important, allant au-delà de la seule violation d’une disposition juridique, est établi que le droit à une réparation pécuniaire peut être reconnu, pour autant que ce préjudice
ne puisse pas être réparé d’une autre manière.
15 En deuxième lieu, cette juridiction s’interroge sur le point de savoir si la crainte que des données à caractère personnel soient parvenues en la possession de personnes non autorisées peut, à elle seule, constituer un préjudice moral susceptible d’ouvrir le droit à une réparation pécuniaire au titre de l’article 82 du RGPD.
16 En troisième lieu, ladite juridiction relève que l’article 83 du RGPD énonce des critères qui permettent de déterminer de manière uniforme le montant des amendes administratives infligées en cas de violation de ce règlement. Or, cet article ne comporterait aucun équivalent en ce qui concerne la réparation pécuniaire du préjudice moral. Elle se demande donc si ces critères sont transposables en matière de réparation pécuniaire du préjudice moral due au titre de l’article 82 du RGPD.
17 En quatrième lieu, la juridiction de renvoi rappelle que le considérant 146 du RGPD prévoit que la notion de « dommage » doit être interprétée largement afin de garantir une réparation complète et effective pour le dommage subi. Toutefois, elle se demande si la référence à une réparation « effective » signifie que les dommages et intérêts à verser au titre d’un préjudice moral doivent être évalués de manière à produire un effet dissuasif. Le cas échéant, les responsables du traitement des données
pourraient être tentés de ne pas respecter les obligations prévues par le RGPD au cas où le coût d’une stricte observation de ce règlement se révélerait être plus élevé que les montants des dommages et intérêts qu’ils pourraient être amenés à verser en cas de violation dudit règlement.
18 En cinquième et dernier lieu, la juridiction de renvoi s’interroge sur le point de savoir si la violation simultanée de dispositions issues du RGPD et de dispositions issues du droit allemand telles que celles imposant des obligations de confidentialité à certains professionnels doit être prise en compte aux fins de l’évaluation des dommages et intérêts dus au titre du préjudice moral en vertu de l’article 82 du RGPD. Elle indique nourrir des doutes à ce sujet car les dispositions pertinentes de
droit allemand en cause en l’occurrence étaient déjà en vigueur lors de l’adoption du RGPD et ne sauraient donc être considérées comme étant des actes délégués ou des actes d’exécution adoptés conformément à ce règlement, au sens du considérant 146 de celui-ci.
19 Dans ces conditions, l’Amtsgericht Wesel (tribunal de district de Wesel) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Suffit-il, pour qu’un droit à réparation soit fondé en application de l’article 82, paragraphe 1, du [RGPD], qu’une disposition [de ce règlement] protégeant la personne faisant valoir un tel droit ait été violée, ou faut-il que cette personne ait subi un préjudice en plus de la violation, en tant que telle, de la disposition en question ?
2) Le droit de l’Union exige-t-il, pour qu’un droit à réparation d’un dommage moral soit fondé en application de l’article 82, paragraphe 1, du RGPD, la présence d’un préjudice d’une certaine importance ?
3) En particulier, suffit-il, pour qu’un droit à réparation d’un dommage moral soit fondé en application de l’article 82, paragraphe 1, du RGPD, que la personne faisant valoir un tel droit craigne que ses données à caractère personnel, en conséquence de la violation des dispositions du RGPD, soient parvenues en la possession de tiers, sans que cette conséquence puisse être établie positivement ?
4) Est-il conforme au droit de l’Union que la juridiction nationale, lors du calcul du montant de la réparation d’un dommage moral en application de l’article 82, paragraphe 1, du RGPD, se réfère par analogie aux critères de l’article 83, paragraphe 2, seconde phrase, du RGPD, qui selon les termes mêmes de cette disposition, ne s’appliquent qu’aux amendes administratives ?
5) Le montant du droit à réparation d’un dommage moral qui est accordé en application de l’article 82, paragraphe 1, du RGPD doit-il être calculé également de manière à produire un effet dissuasif, ou encore à empêcher la “marchandisation” (acceptation calculée d’amendes administratives et de dommages et intérêts) des infractions audit règlement ?
6) Est-il conforme au droit de l’Union de prendre en compte dans le calcul du montant de la réparation d’un dommage moral en application de l’article 82, paragraphe 1, du RGPD les violations simultanées de dispositions de droit national ayant pour objet la protection des données à caractère personnel, mais qui ne sont ni des actes délégués ou d’exécution adoptés conformément à ce règlement ni du droit d’un État membre précisant les règles de ce même règlement ? »
Sur les questions préjudicielles
Sur les première et deuxième questions
20 Par ses première et deuxième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une violation de ce règlement suffit, à elle seule, pour fonder un droit à réparation au titre de cette disposition, ou si la personne concernée doit également établir l’existence d’un préjudice, qui atteigne un certain degré de gravité, causé par cette violation.
21 L’article 82, paragraphe 1, du RGPD énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
22 La Cour a déjà constaté qu’il ressort clairement du libellé de cette disposition que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cet article 82, paragraphe 1, tout comme l’existence d’une violation dudit règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral
lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 32, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 34)].
23 Partant, il ne saurait être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, ce droit à réparation au profit de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement. D’ailleurs, la mention distincte d’un « dommage » et d’une « violation », à l’article 82, paragraphe 1, dudit règlement, serait superflue si le législateur de l’Union avait considéré qu’une violation des dispositions du même règlement puisse suffire, à elle seule et en toute
hypothèse, pour fonder un droit à réparation [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 33 et 34].
24 Il s’ensuit que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 42].
25 La personne demandant réparation d’un dommage moral sur le fondement de cette disposition est en effet tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un tel dommage [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 42 et 50, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 35].
26 S’agissant de cette dernière condition, l’article 82, paragraphe 1, du RGPD s’oppose à une règle ou à une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 51, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288,
point 36].
27 Il n’en demeure pas moins que cette personne a l’obligation, au titre de l’article 82, paragraphe 1, de ce règlement, de prouver qu’elle a effectivement subi un dommage matériel ou moral (voir, en ce sens, arrêt du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 39).
28 Eu égard aux motifs qui précèdent, il y a lieu de répondre aux première et deuxième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition. La personne concernée doit également établir l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité.
Sur la troisième question
29 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation du préjudice moral.
30 Il ressort de la décision de renvoi que les requérants au principal souhaitent obtenir, sur le fondement du RGPD, la réparation d’un dommage moral, au titre d’une perte de contrôle sur leurs données à caractère personnel ayant fait l’objet d’un traitement, sans pouvoir établir dans quelle mesure des tiers auraient effectivement pris connaissance desdites données.
31 À cet égard, en l’absence de toute référence, à l’article 82, paragraphe 1, du RGPD, au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 30 et 44, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72,
point 64].
32 La Cour a jugé qu’il ressort non seulement du libellé de l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 85 et 146 de ce règlement, lesquels invitent à retenir une conception large de la notion de « dommage moral », au sens de cette première disposition, mais également de l’objectif consistant à assurer un niveauélevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel, qui est visé par ledit règlement, que la crainte d’un
potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation du même règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cet article 82, paragraphe 1 [voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 79 à 86, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 65].
33 La perte de contrôle sur des données à caractère personnel, même pendant un court laps de temps, peut constituer un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, sous réserve que ladite personne démontre avoir effectivement subi un tel dommage, aussi minime fût-il, étant rappelé que la simple violation des dispositions de ce règlement ne suffit pas à conférer un droit à réparation sur ce fondement (voir, en ce sens, arrêts du 25 janvier 2024,
MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 66, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 42).
34 La personne qui considère que ses données à caractère personnel ont fait l’objet d’un traitement effectué en violation de dispositions pertinentes du RGPD et demande réparation sur le fondement de l’article 82, paragraphe 1, de ce règlement doit donc prouver qu’elle a effectivement subi un dommage matériel ou moral.
35 Ainsi la simple allégation d’une crainte, sans conséquence négative démontrée, ne saurait donner lieu à réparation au titre de cette disposition.
36 Eu égard aux motifs qui précèdent, il y a lieu de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée.
Sur les quatrième et cinquième questions
37 Par ses quatrième et cinquième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il y a lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre
part, de conférer à ce droit à réparation une fonction dissuasive.
38 En premier lieu, s’agissant d’une éventuelle prise en compte des critères énoncés à l’article 83 du RGPD afin d’évaluer le montant de la réparation due au titre de l’article 82 de celui-ci, il est constant que ces deux dispositions poursuivent des objectifs différents. En effet, tandis que l’article 83 de ce règlement détermine les « [c]onditions générales pour imposer des amendes administratives », l’article 82 dudit règlement régit le « [d]roit à réparation et [la] responsabilité ».
39 Il en découle que les critères énoncés à l’article 83 du RGPD afin de déterminer le montant des amendes administratives, qui sont également mentionnés au considérant 148 de ce règlement, ne sauraient être utilisés pour évaluer le montant des dommages‑intérêts au titre de l’article 82 de celui-ci (arrêt du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 57).
40 Le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages-intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui-ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Partant, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la
sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect des principes d’équivalence et d’effectivité [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 54, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 58].
41 En second lieu, le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne remplit pas une fonction dissuasive, voire punitive. Il s’ensuit que la gravité de la violation de ce règlement ayant causé le dommage matériel ou moral allégué ne saurait influer sur le montant des dommages‑intérêts octroyés au titre de cette disposition et que ce montant ne saurait être fixé à un niveau dépassant la compensation complète de ce préjudice [voir, en ce sens, arrêts du 21 décembre 2023,
Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 86, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 60 ].
42 Compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 du RGPD, telle qu’énoncée au considérant 146, sixième phrase, de ce règlement, une réparation pécuniaire fondée sur cet article doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts
punitifs [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 57 et 58, ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 61].
43 Ainsi, eu égard aux différences de libellés et de finalités existant entre l’article 82 du RGPD, lu à la lumière du considérant 146 de celui-ci, et l’article 83 dudit règlement, lu à la lumière du considérant 148 de celui‑ci, il ne saurait être considéré que les critères d’évaluation énoncés spécifiquement à cet article 83 sont applicables mutatis mutandis dans le cadre de cet article 82, nonobstant le fait que les voies de droit prévues à ces deux dispositions sont bien complémentaires pour
assurer le respect du même règlement (arrêt du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 62).
44 Eu égard aux motifs qui précèdent, il convient de répondre aux quatrième et cinquième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à
réparation une fonction dissuasive.
Sur la sixième question
45 Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondé sur cette disposition, il y a lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement.
46 Cette question est posée au regard du fait que les requérants au principal considèrent que la violation combinée de dispositions issues du RGPD ainsi que de la législation allemande applicable aux conseillers fiscaux, laquelle a été adoptée antérieurement à l’entrée en vigueur de ce règlement et ne vise donc pas à en préciser les règles, devrait emporter pour conséquence une majoration des dommages-intérêts qu’ils réclament au titre de l’article 82, paragraphe 1, du RGPD, en compensation du
préjudice moral qu’ils prétendent avoir subi.
47 À cet égard, il ressort, certes, en substance, du considérant 146, cinquième phrase, du RGPD qu’un traitement de données à caractère personnel effectué en violation de ce règlement « comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement ».
48 Toutefois, la circonstance qu’un tel traitement de données a également été effectué en violation de dispositions de droit national portant sur la protection des données à caractère personnel, mais n’ayant pas pour objet de préciser les règles de ce règlement ne constitue pas un facteur pertinent aux fins de l’évaluation des dommages‑intérêts alloués sur le fondement de l’article 82, paragraphe 1, du RGPD. En effet, la violation de telles dispositions nationales n’est pas couverte par
l’article 82, paragraphe 1, de ce règlement, lu en combinaison avec le considérant 146 de celui-ci.
49 Cela est sans préjudice du fait que, si le droit national le lui permet, le juge national peut accorder à la personne concernée une réparation plus importante que la réparation complète et effective prévue à l’article 82, paragraphe 1, du RGPD dans le cas où, compte tenu du fait que le préjudice a également été causé par la violation de dispositions de droit national telles que celles visées au point précédent, cette dernière réparation ne serait pas jugée suffisante ou appropriée.
50 Eu égard aux motifs qui précèdent, il convient de répondre à la sixième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement.
Sur les dépens
51 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition. La personne concernée doit également établir l’existence d’un préjudice causé par cette violation, sans toutefois que ce préjudice doive atteindre un certain degré de gravité.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée.
3) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive.
4) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
