La jurisprudence francophone des Cours suprêmes


recherche avancée

20/06/2024 | CJUE | N°C-182/22

CJUE | CJUE, Arrêt de la Cour, JU et SO contre Scalable Capital GmbH., 20/06/2024, C-182/22


 ARRÊT DE LA COUR (troisième chambre)

20 juin 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82 – Droit à réparation du dommage causé par le traitement des données effectué en violation de ce règlement – Notion de “dommage moral” – Indemnisation à caractère punitif ou à titre de pure compensation et satisfaction – Indemnité minime ou symbolique – Vol de données à caractère personnel enregistrées sur u

ne application de trading – Vol ou
usurpation d’identité »

Dans les affaires jointes C‑182/22 et C‑189/22,

...

 ARRÊT DE LA COUR (troisième chambre)

20 juin 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82 – Droit à réparation du dommage causé par le traitement des données effectué en violation de ce règlement – Notion de “dommage moral” – Indemnisation à caractère punitif ou à titre de pure compensation et satisfaction – Indemnité minime ou symbolique – Vol de données à caractère personnel enregistrées sur une application de trading – Vol ou
usurpation d’identité »

Dans les affaires jointes C‑182/22 et C‑189/22,

ayant pour objet des demandes de décision préjudicielle au titre de l’article 267 TFUE, introduites par l’Amtsgericht München (tribunal de district de Munich, Allemagne), par décisions du 3 mars 2022, parvenues à la Cour les 10 et 11 mars 2022, dans les procédures

JU (C‑182/22),

SO (C‑189/22)

contre

Scalable Capital GmbH,

LA COUR (troisième chambre),

composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra et N. Jääskinen (rapporteur), juges,

avocat général : M. A. M. Collins,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour SO, par Me M. Ruigrok van de Werve, Rechtsanwalt,

– pour Scalable Capital GmbH, par Me M. C. Mekat, Rechtsanwalt,

– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, MM. A. Joyce et M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,

– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 26 octobre 2023,

rend le présent

Arrêt

1 Les demandes de décision préjudicielle portent sur l’interprétation de l’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Ces demandes ont été présentées dans le cadre de deux litiges opposant respectivement JU et SO à Scalable Capital GmbH au sujet de la réparation du préjudice moral qu’ils affirment avoir subi en raison du vol, par des tiers dont l’identité est inconnue, de leurs données personnelles enregistrées sur une application de trading gérée par cette société.

Le cadre juridique

3 Les considérants 75, 85 et 146 du RGPD sont libellés comme suit :

« (75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées
par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques,
l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la
fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

[...]

(85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une
perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]

[...]

(146) [...] Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. [...] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »

4 L’article 4 de ce règlement, intitulé « Définitions », prévoit :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]

[...]

10) “tiers”, une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;

[...]

12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

[...] »

5 L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », dispose, à ses paragraphes 1 à 3 :

« 1.   Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2.   Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3.   Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »

Les litiges au principal et les questions préjudicielles

6 Scalable Capital, une société de droit allemand, gère une trading app (application de trading) sur laquelle les requérants au principal, JU et SO, avaient ouvert un compte. À cet effet, ces derniers ont enregistré certaines données à caractère personnel sur leurs comptes respectifs, en particulier leur nom, leur date de naissance, leur adresse postale, leur adresse de courrier électronique ainsi qu’une copie numérique de leur carte d’identité. Un montant de plusieurs milliers d’euros nécessaire à
l’ouverture de ces comptes avait été versé par les requérants au principal.

7 Au cours de l’année 2020, des données personnelles ainsi que des données relatives au portefeuille de titres des requérants au principal ont été piratées par des tiers dont l’identité demeure inconnue. Selon Scalable Capital, lesdites données personnelles n’ont pas fait l’objet d’un usage frauduleux jusqu’à présent.

8 Dans ce contexte, les requérants au principal ont saisi l’Amtsgericht München (tribunal de district de Munich, Allemagne), qui est la juridiction de renvoi, d’un recours tendant à obtenir la réparation du préjudice moral qu’ils affirment avoir subi en raison du vol de leurs données personnelles.

9 En premier lieu, les interrogations de la juridiction de renvoi découlent d’approches divergentes des juridictions allemandes pour l’évaluation des dommages-intérêts qu’il convient d’accorder dans ce type de situation. Il en résulte des variations importantes du montant de la réparation pécuniaire accordée dans des cas pourtant analogues à ceux en cause au principal, notamment selon qu’il a été tenu compte, ou pas, d’un éventuel effet dissuasif. La juridiction de renvoi indique que, en
l’occurrence, plusieurs dizaines de milliers de personnes sont affectées par la perte des données en cause et qu’il conviendrait donc d’adopter un mode d’évaluation uniforme.

10 En deuxième lieu, s’agissant de l’évaluation des dommages moraux, elle s’appuie sur le droit allemand pour distinguer une fonction de « compensation » d’une fonction de « satisfaction personnelle ». La fonction de compensation viserait à compenser les conséquences subies et prévisibles du préjudice allégué, tandis que la fonction de satisfaction personnelle viserait à neutraliser le sentiment d’injustice ressenti du fait de la survenance dudit préjudice. Elle indique que, en droit allemand, cette
fonction de satisfaction ne joue qu’un rôle accessoire et elle estime que, en l’occurrence, cette fonction ne devrait exercer aucune influence sur le calcul des dommages-intérêts réclamés par les requérants.

11 En troisième lieu, il n’existerait pas, en droit allemand, de barème permettant de fixer le montant des dommages-intérêts qu’il convient d’accorder selon les situations dans lesquelles ils sont réclamés. Toutefois, le grand nombre de décisions individuelles rendues permettrait de fixer un cadre auquel se référer, ce qui conduit à une forme de systématisation des compensations. À cet égard, dans l’ordre juridique allemand, une réparation pécuniaire ne serait accordée pour compenser des atteintes
aux droits de la personnalité que lorsque celles-ci sont particulièrement graves. L’évaluation pécuniaire serait plus objectivable pour la compensation d’atteintes corporelles. La juridiction de renvoi est donc d’avis que la perte des données devrait avoir un poids moindre que celui des atteintes physiques.

12 En quatrième lieu, cette juridiction s’interroge sur la possibilité d’octroyer de faibles indemnisations, qui pourraient être perçues comme étant symboliques, dans les cas où le préjudice lié à une violation du RGPD est minime.

13 En cinquième lieu, elle observe que les parties au principal interprètent de manière différente la notion de « vol d’identité ». À cet égard, elle estime qu’il y a seulement un vol d’identité lorsque les données illégalement obtenues sont utilisées par un tiers afin d’usurper l’identité de la personne concernée.

14 Dans ces conditions, l’Amtsgericht München (tribunal de district de Munich) a décidé, dans les affaires C‑182/22 et C‑189/22, de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes, qui sont libellées en des termes identiques dans ces deux affaires :

« 1) L’article 82 du [RGPD] doit-il être interprété en ce sens que le droit à réparation n’a pas de caractère punitif même dans le cadre du calcul de son montant et n’a en particulier pas de fonction dissuasive générale ou spéciale, le droit à réparation n’ayant qu’une fonction de compensation et le cas échéant de satisfaction ?

2) Faut-il, pour l’évaluation du droit à la réparation du préjudice moral, partir du principe que ce droit a également une fonction de satisfaction individuelle – comprise ici comme un intérêt privé de la personne lésée à voir sanctionné le comportement à l’origine du préjudice – ou le droit à réparation n’a-t-il qu’une fonction de compensation – comprise ici en tant que fonction de compensation des atteintes subies ?

S’il faut partir du principe que le droit à la réparation du préjudice moral a une fonction tant de compensation que de satisfaction : faut-il admettre lors de son évaluation que la fonction de compensation prime structurellement ou du moins dans un rapport de règle et d’exception sur la fonction de satisfaction ? Est-ce que cela conduit à ce qu’une fonction de satisfaction n’entre en ligne de compte qu’en cas d’atteintes intentionnelles ou de négligence grave ?

Si le droit à la réparation du préjudice moral n’a pas de fonction de satisfaction : est-ce que, lors de [son] calcul, seules les atteintes intentionnelles ou par négligence grave à la protection des données ont un poids supplémentaire dans l’évaluation des facteurs contributifs à la cause ?

3) Convient-il, pour interpréter la réparation du préjudice moral dans son évaluation, d’admettre un rapport hiérarchique structurel ou, à tout le moins, un rapport de hiérarchie entre règle et exception, dans lequel le ressenti d’une atteinte résultant d’une violation de données a moins de poids que le ressenti de l’atteinte et de la douleur lié à une atteinte corporelle ?

4) Une juridiction nationale est-elle libre, lorsqu’il y a lieu de partir du principe qu’il y a un préjudice, de n’accorder, compte tenu de l’absence de gravité, qu’une réparation matériellement minime qui peut donc, le cas échéant, n’être perçue que comme symbolique par la partie lésée ou par la population en général ?

5) Faut-il pour l’interprétation de la réparation du préjudice moral, quant à l’appréciation de ses conséquences, partir du principe qu’il n’y a vol d’identité, au sens du considérant 75 du [RGPD], que lorsqu’un délinquant a effectivement pris l’identité de la personne concernée, s’est donc fait passer pour cette personne d’une manière ou d’une autre, ou y a-t-il déjà vol d’identité dès lors que les délinquants disposent de données qui permettent d’identifier la personne concernée ? »

La procédure devant la Cour

15 Par décision du président de la Cour du 19 avril 2022, les affaires C‑182/22 et C‑189/22 ont été jointes aux fins des phases écrite et orale de la procédure ainsi que de l’arrêt.

16 Le 1er juin 2022, le président de la Cour a rejeté la demande de Scalable Capital tendant à obtenir l’anonymisation de la présente procédure au titre de l’article 95, paragraphe 2, du règlement de procédure de la Cour.

Sur la recevabilité des demandes de décision préjudicielle

17 Scalable Capital soutient, en substance, que les présentes demandes de décision préjudicielle ne sont pas recevables dans la mesure où elles sont dépourvues d’incidence sur la solution des litiges au principal. Elle considère qu’une perte abstraite de contrôle sur des données, comme c’est le cas en l’occurrence, ne doit pas être qualifiée de « dommage », au sens de l’article 82, paragraphe 1, du RGPD lorsqu’une telle perte de contrôle est restée sans conséquence concrète, et donc que les
conditions d’application dudit article 82 ne sont pas remplies. En effet, une telle qualification reviendrait à considérer que toute violation du règlement fait naître une présomption de dommage, contrairement au libellé, à l’économie générale et à la genèse de l’article 82 du RGPD.

18 À cet égard, selon une jurisprudence constante, il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour, lesquelles bénéficient d’une présomption de pertinence. Partant, dès lors que la question posée porte sur
l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer, sauf s’il apparaît de manière manifeste que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile à ladite question [voir arrêts du 5 mai 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, point 43,
et du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 23].

19 En l’occurrence, il suffit de rappeler que, lorsqu’il n’apparaît pas de manière manifeste que l’interprétation d’une disposition de droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, l’objection tirée de l’inapplicabilité de cette disposition à l’affaire au principal n’a pas trait à la recevabilité de la demande de décision préjudicielle, mais relève du fond des questions (voir, en ce sens, arrêts du 13 juillet 2006, Manfredi e.a., C‑295/04 à C‑298/04,
EU:C:2006:461, point 30 ; du 4 juillet 2019, Kirschstein, C‑393/17, EU:C:2019:563, point 28, ainsi que du 24 juillet 2023, Lin, C‑107/23 PPU, EU:C:2023:606, point 66).

20 Il s’ensuit que les présentes demandes de décision préjudicielle sont recevables.

Sur les questions préjudicielles

Sur la première question et la première partie de la deuxième question

21 Par sa première question et la première partie de sa deuxième question, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi du fait de la violation de ce règlement, ou qu’il remplit
également une fonction punitive visant, notamment, à satisfaire les intérêts individuels de la personne concernée.

22 À cet égard, la Cour a déjà jugé que l’article 82 du RGPD revêt une fonction non pas punitive, mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits
articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites [voir, notamment, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au
traitement de données personnelles), C‑300/21, EU:C:2023:370, points 38 et 40, ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 59].

23 Partant, l’article 82, paragraphe 1, du RGPD a été interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive [voir, en ce sens, arrêts du 4 mai 2023,Österreichische Post
(Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 57 et 58, ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 61].

24 Par conséquent, il y a lieu de répondre à la première question et à la première partie de la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.

Sur la deuxième partie de la deuxième question

25 Compte tenu de la réponse apportée à la première question et à la première partie de la deuxième question, il n’est pas nécessaire de répondre à cette deuxième partie de la deuxième question.

Sur la troisième partie de la deuxième question

26 Par la troisième partie de sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il requiert que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.

27 S’agissant de l’évaluation des dommages‑intérêts éventuellement dus en vertu de l’article 82 du RGPD, en l’absence d’une disposition ayant un tel objet dans ce règlement, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de
données personnelles), C‑300/21, EU:C:2023:370, points 53, 54 et 59, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 53].

28 Il importe cependant de souligner, d’une part, que l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, que cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts
alloués en réparation d’un préjudice moral sur le fondement de cette disposition (arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 103, et du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 52).

29 En outre, la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82, paragraphe 1, du RGPD exclut la prise en compte du caractère éventuellement intentionnel de la violation de ce règlement, que le responsable du traitement est présumé avoir commise, lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de ladite disposition. Ce montant doit toutefois être fixé de manière à compenser intégralement le préjudice
concrètement subi du fait de la violation dudit règlement (voir, par analogie, arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 102, et du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 54).

30 Eu égard aux motifs qui précèdent, il convient de répondre à la troisième partie de la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.

Sur la troisième question

31 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel est, par nature, moins important qu’un dommage corporel.

32 À cet égard, il importe de rappeler que, conformément à une jurisprudence constante, en l’absence de règles de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre de régler les aspects procéduraux des recours en justice destinés à assurer la sauvegarde des droits des justiciables, en vertu du principe de l’autonomie procédurale, à condition, toutefois, que ces modalités ne soient pas, dans les situations relevant du droit de l’Union, moins favorables que celles
régissant des situations similaires soumises au droit interne (principe d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) [voir, en ce sens, arrêts du 13 décembre 2017, El Hassani, C‑403/16, EU:C:2017:960, point 26, et du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 53].

33 En l’occurrence, il y a lieu de relever que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages-intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui-ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Partant, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les
modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect desdits principes d’équivalence et d’effectivité [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 54].

34 Aucun élément du dossier dont dispose la Cour ne suggérant que le principe d’équivalence pourrait être pertinent dans le contexte des présentes affaires au principal, il y a lieu de se focaliser sur le principe d’effectivité. Dans cette perspective, il appartient à la juridiction de renvoi de déterminer si les modalités prévues en droit allemand, pour la fixation judiciaire des dommages-intérêts dus au titre du droit à réparation consacré à l’article 82 du RGPD, ne rendent pas impossible en
pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union, et plus spécifiquement par ce règlement.

35 À cet égard, il résulte de la jurisprudence rappelée au point 23 du présent arrêt que, compte tenu de la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82 paragraphe 1, de ce règlement, une réparation pécuniaire fondée sur cette disposition doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement.

36 Dans cette perspective, le considérant 146 dudit règlement indique d’ailleurs que « [l]a notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement » et que « [l]es personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi ».

37 Il convient également de relever que les considérants 75 et 85 du RGPD énoncent différentes circonstances susceptibles d’être qualifiées de « dommages physiques, matériels ou de préjudices moraux » sans opérer de hiérarchie entre elles ni indiquer que les atteintes résultant d’une violation de données sont, par nature, moins importantes que les atteintes corporelles.

38 Or, supposer, par principe, qu’un dommage corporel est, par nature, plus important qu’un dommage moral risquerait de remettre en question le principe d’une réparation complète et effective du dommage subi.

39 Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.

Sur la quatrième question

40 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, qui pourrait être perçue comme étant symbolique.

41 Il convient de rappeler qu’il résulte d’une jurisprudence constante que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation, dès lors que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu audit article 82, paragraphe 1, tout comme l’existence d’une violation dudit règlement et d’un lien de
causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 32, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 34].

42 Ainsi, la personne demandant réparation d’un préjudice moral sur le fondement de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un tel préjudice, lequel ne saurait donc seulement être présumé en raison de la survenance de ladite violation [voir, en ce sens, arrêts du 4 mai 2023,Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 42 et 50,
ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 35].

43 Lorsqu’une personne parvient à démontrer que la violation du RGPD lui a causé un dommage ou un préjudice, au sens de l’article 82 de ce règlement, il ressort, en substance, du point 33 du présent arrêt que les critères d’évaluation de la réparation due dans le cadre des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article doivent être fixés au sein de l’ordre juridique de chaque État membre, pour autant qu’une telle réparation soit complète et effective.

44 À cet égard, la Cour a jugé que l’article 82, paragraphe 1, du RGPD n’exige pas que, à la suite d’une violation avérée de dispositions de ce règlement, le préjudice allégué par la personne concernée doive atteindre un « seuil de minimis » pour ouvrir droit à réparation (voir, en ce sens, arrêt du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, point 18).

45 Cependant, de telles considérations n’excluent pas que les juridictions nationales puissent octroyer une indemnité d’un montant peu élevé pour autant que cette réparation compense intégralement ledit préjudice, ce qu’il appartient à la juridiction de renvoi de vérifier, dans le respect des principes rappelés au point 43 du présent arrêt.

46 Eu égard aux motifs qui précèdent, il convient de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.

Sur la cinquième question

Sur la recevabilité

47 Dans ses observations écrites, la Commission européenne s’est interrogée sur la pertinence de la cinquième question afin de répondre aux litiges au principal, dans la mesure où elle constate qu’aucune référence à une disposition concrète du droit de l’Union n’a été mentionnée par la juridiction de renvoi.

48 À cet égard, la cinquième question vise la notion de « vol d’identité », au sens du considérant 75 du RGPD, et ne concerne pas formellement l’article 82 de ce règlement. Cependant, le seul fait que la Cour soit appelée à se prononcer en des termes abstraits et généraux ne saurait avoir pour effet d’entraîner l’irrecevabilité d’une demande de décision préjudicielle (arrêt du 15 novembre 2007, International Mail Spain, C‑162/06, EU:C:2007:681, point 24).

49 Or, par cette question la juridiction de renvoi demande à la Cour d’interpréter la notion de « vol d’identité », tel que figurant au considérant 75 du RGPD, afin de déterminer le montant de la réparation pécuniaire prévue à l’article 82 du RGPD. Ladite question porte donc bien sur une disposition du droit de l’Union. Au demeurant, la réponse à cette question est également pertinente en ce que ni la juridiction de renvoi ni les parties au principal ne s’accordent sur la définition de cette notion
aux fins de l’évaluation du dommage subi dans les affaires en cause au principal.

50 Dans ces conditions, la cinquième question est recevable.

Sur le fond

51 Selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises. En outre, la Cour peut être amenée à prendre en considération des normes du droit de l’Union auxquelles le
juge national n’a pas fait référence dans l’énoncé de sa question (arrêt du 7 septembre 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, point 47 et jurisprudence citée).

52 En l’occurrence, la cinquième question porte sur le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD, et plus particulièrement sur la notion de « vol d’identité », figurant au considérant 75 du RGPD. Or, il convient de relever que, outre ce considérant, cette notion est également mentionnée au considérant 85 de ce règlement.

53 Par conséquent, il y a lieu de considérer que, par sa cinquième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement
usurpée par un tiers, ou si un tel vol d’identité est caractérisé dès lors que ce tiers dispose de données qui permettent d’identifier la personne concernée.

54 La notion de vol d’identité n’est pas définie dans le RGPD. Cependant, le « vol » ou « l’usurpation » d’identité sont mentionnés au considérant 75 de ce règlement comme faisant partie d’une liste non exhaustive de conséquences d’un traitement de données à caractère personnel susceptible d’entraîner des dommages physiques ou matériels, ou un préjudice moral. Au considérant 85 dudit règlement, le « vol » ou « l’usurpation » d’identité sont de nouveau évoqués ensemble parmi une liste de dommages
physiques ou matériels, ou de préjudice moral susceptibles d’être causés par une violation de données à caractère personnel.

55 Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières
notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées.

56 De plus, comme l’a également relevé M. l’avocat général au point 30 de ses conclusions, parmi les différentes notions énoncées dans les listes qui figurent aux considérants 75 et 85 du RGPD, la « perte de contrôle » ou l’empêchement « d’exercer le contrôle » sur des données à caractère personnel sont distingués du « vol » ou de l’« usurpation » d’identité. Il s’ensuit que l’accès et la prise de contrôle sur de telles données, qui pourraient être assimilés à un vol de ces dernières, ne sont pas,
en eux‑mêmes, assimilables à un « vol » ou à une « usurpation » d’identité. En d’autres termes, le vol de données à caractère personnel ne constitue pas, par lui-même, un vol ou une usurpation d’identité.

57 Toutefois, il y a lieu de préciser, à cet égard, que la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de l’article 82, paragraphe 1, du RGPD, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité. En effet, le vol des données à caractère personnel d’une personne concernée ouvre droit à réparation du dommage moral subi, au titre de l’article 82, paragraphe 1, du RGPD, si
les trois conditions établies à cette disposition s’appliquent, à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée et un lien de causalité entre ce traitement illicite et ce dommage [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 32 et 36].

58 Par ces motifs, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un
dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.

Sur les dépens

59 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

  Par ces motifs, la Cour (troisième chambre) dit pour droit :

  1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.

  2) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.

  3) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.

  4) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.

  5) L’article 82, paragraphe 1, du règlement 2016/679, lu à la lumière des considérants 75 et 85 de ce règlement,

doit être interprété en ce sens que :

pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol
ou à une usurpation d’identité.

  Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( *1 ) Langue de procédure : l’allemand.


Synthèse
Formation : Troisième chambre
Numéro d'arrêt : C-182/22
Date de la décision : 20/06/2024
Type de recours : Recours préjudiciel

Analyses

Demande de décision préjudicielle, introduite par l'Amtsgericht München.

Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82 – Droit à réparation du dommage causé par le traitement des données effectué en violation de ce règlement – Notion de “dommage moral” – Indemnisation à caractère punitif ou à titre de pure compensation et satisfaction – Indemnité minime ou symbolique – Vol de données à caractère personnel enregistrées sur une application de trading – Vol ou usurpation d’identité.

Protection des données

Principes, objectifs et mission des traités


Parties
Demandeurs : JU et SO
Défendeurs : Scalable Capital GmbH.

Composition du Tribunal
Rapporteur ?: Jääskinen

Origine de la décision
Date de l'import : 22/06/2024
Fonds documentaire ?: http: publications.europa.eu
Identifiant ECLI : ECLI:EU:C:2024:531

Source

Voir la source

Association des cours judiciaires suprmes francophones
Organisation internationale de la francophonie
Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie. Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie.
Logo iall 2012 website award