La Cour de justice de l’Union européenne, le 11 avril 2024, précise les contours du droit à réparation prévu par le règlement général sur la protection des données. Un avocat conteste l’utilisation de ses données personnelles à des fins de prospection directe par une société exploitant une base de données juridique. Malgré une opposition formelle, l’intéressé reçoit plusieurs prospectus publicitaires contenant des codes personnels d’accès, ce qui l’amène à solliciter la réparation d’un préjudice moral. Saisi du litige, le Landgericht Saarbrücken s’interroge sur la nécessité d’un seuil de gravité du dommage et sur les modalités d’exonération du responsable du traitement. La juridiction de renvoi demande si les critères de fixation des amendes administratives s’appliquent à l’indemnisation civile. La Cour doit déterminer si la violation de droits conférés par le règlement suffit à caractériser un dommage moral ouvrant droit à réparation. Les juges affirment qu’une violation ne constitue pas en soi un dommage et que la responsabilité du professionnel demeure engagée malgré la défaillance d’un subordonné. L’étude portera sur l’exigence d’un préjudice distinct de la violation, puis sur l’étanchéité entre les sanctions administratives et la réparation civile.
I. La caractérisation rigoureuse des conditions de la responsabilité civile
A. L’indépendance nécessaire du dommage moral par rapport au manquement
La Cour rappelle que « la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation » à la personne concernée. Trois conditions cumulatives doivent être réunies : une violation du règlement, un dommage matériel ou moral, ainsi qu’un lien de causalité certain. Le juge de l’Union écarte l’idée qu’un manquement aux règles de protection des données puisse automatiquement engendrer un préjudice indemnisable. La « perte de contrôle » mentionnée par les textes doit être effectivement démontrée par le demandeur lors de l’instance judiciaire. La reconnaissance d’un droit à réparation n’est pas subordonnée à l’atteinte d’un degré de gravité particulier du dommage subi. Cette solution protège les droits des individus et évite une automaticité qui transformerait la réparation en une sanction purement théorique. La preuve du préjudice demeure le pivot central de l’action en responsabilité intentée devant les juridictions nationales compétentes.
L’existence d’un dommage avéré ne permet toutefois pas au responsable de s’exonérer facilement en invoquant des circonstances internes à son organisation.
B. La responsabilité maintenue malgré l’intervention d’un agent subordonné
Le responsable du traitement ne peut s’exonérer de sa responsabilité en invoquant « la défaillance d’une personne agissant sous son autorité » au sein de sa structure. L’article 82 prévoit que l’exonération n’intervient que si le professionnel prouve que le fait dommageable ne lui est nullement imputable. La Cour souligne qu’un employé agit sous l’autorité du responsable et que ce dernier doit s’assurer de l’application correcte de ses instructions. Admettre une exonération pour une simple erreur humaine interne nuirait à l’effet utile du droit à réparation consacré par le législateur européen. Le régime de responsabilité instauré repose sur une présomption de faute que le responsable doit renverser par une preuve stricte d’absence d’imputabilité. Cette exigence renforce la protection des données en obligeant les organismes à mettre en œuvre des mesures techniques et organisationnelles réellement efficaces.
Une fois la responsabilité établie, la détermination du montant de l’indemnisation obéit à des principes strictement compensatoires et indépendants des logiques répressives.
II. L’autonomie de la fonction compensatoire de la réparation pécuniaire
A. L’exclusion des critères propres aux sanctions administratives
Les critères prévus pour fixer le montant des amendes administratives ne sauraient être appliqués par analogie pour évaluer le montant des dommages-intérêts. La Cour précise que l’article 82 du règlement « revêt une fonction non pas punitive mais compensatoire » au bénéfice de la victime. Contrairement aux amendes, l’indemnisation civile vise uniquement à compenser intégralement le préjudice concrètement subi par la personne dont les droits ont été bafoués. Les juges nationaux doivent appliquer leurs règles internes de procédure tout en respectant les principes d’équivalence et d’effectivité propres au droit de l’Union. La gravité de la violation ou le caractère délibéré du manquement n’ont pas vocation à influer sur le montant de la réparation allouée. Cette distinction préserve la cohérence du système européen en séparant la répression exercée par les autorités de contrôle de la réparation civile.
La focalisation sur le préjudice subi impose une approche globale lors de l’évaluation des dommages résultant de manquements multiples.
B. La concentration sur l’indemnisation intégrale du préjudice concret
En présence de violations multiples liées à une même opération de traitement, le juge ne doit pas procéder à une addition mécanique de montants forfaitaires. La réparation pécuniaire doit être considérée comme complète si elle « permet de compenser intégralement le préjudice concrètement subi » par le demandeur à l’action. L’existence de plusieurs manquements ne constitue pas un critère pertinent pour l’évaluation de l’indemnité, car seule la réalité du dommage importe. Le juge national procède à une appréciation globale pour fixer une somme qui replace la victime dans la situation précédant la violation. Le versement de dommages-intérêts punitifs est ainsi exclu, le règlement tendant vers une réparation juste et proportionnée à la réalité vécue. Cette approche garantit que l’action en responsabilité demeure un outil de rétablissement de l’équilibre juridique et non une source d’enrichissement.
