La Cour de justice de l’Union européenne, par un arrêt rendu le 14 décembre 2023, précise le régime de responsabilité des responsables de traitement. Une autorité publique a subi une cyberattaque entraînant la publication sur Internet des données à caractère personnel de plusieurs millions de citoyens. Une personne concernée a saisi le tribunal administratif de la ville de Sofia afin d’obtenir réparation du préjudice moral résultant de cet événement. La requérante invoquait la crainte d’une utilisation abusive future de ses informations personnelles à la suite de cette divulgation non autorisée.
Le tribunal administratif de la ville de Sofia a d’abord rejeté cette demande en considérant que l’attaque informatique constituait un fait extérieur. La Cour administrative suprême de Bulgarie, saisie du pourvoi, a alors sollicité l’interprétation de plusieurs dispositions du règlement général sur la protection des données. La question posée aux juges européens portait sur l’éventuelle présomption de faute du responsable et sur la reconnaissance de la crainte comme préjudice indemnisable. La Cour a répondu que la violation n’établit pas seule le manquement, mais qu’il appartient au responsable de démontrer la pertinence de sa sécurité. L’analyse portera d’abord sur l’évaluation des mesures techniques de protection avant d’envisager les conditions de la responsabilité et la nature du dommage.
**I. L’appréciation concrète des mesures de sécurité et la charge de la preuve**
*A. Le refus d’une présomption de défaillance technique*
L’article 32 du règlement exige la mise en œuvre de mesures appropriées afin de garantir un niveau de sécurité adapté au risque identifié. La Cour précise que « une divulgation non autorisée […] ne suffit pas, à elle seule, pour considérer que les mesures […] n’étaient pas appropriées ». Les juges nationaux doivent procéder à un examen global de la nature et de l’application pratique des dispositifs techniques mis en œuvre. Cette approche refuse d’instaurer une responsabilité automatique qui dépasserait les exigences de gestion des risques fixées par le législateur de l’Union. Le caractère approprié des mesures doit donc s’évaluer au regard de l’état des connaissances et des coûts de mise en œuvre.
*B. L’obligation pour le responsable de démontrer sa diligence*
Le principe de responsabilité impose au responsable de traitement de prouver la conformité des opérations de traitement aux exigences du droit positif. L’arrêt souligne que « le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité ». Cette règle protège l’effet utile du droit à réparation en évitant de faire peser une preuve complexe sur les personnes physiques. Le responsable doit ainsi établir que le système de sécurité était apte à prévenir le dommage compte tenu des menaces prévisibles. Une expertise judiciaire peut éclairer le juge sans toutefois constituer un moyen de preuve systématiquement nécessaire ou suffisant pour trancher.
**II. Le régime de responsabilité et l’autonomie du préjudice moral**
*A. L’absence d’exonération automatique en cas de fait d’un tiers*
L’intervention malveillante d’un cybercriminel ne décharge pas systématiquement le responsable de ses obligations de sécurité et de confidentialité des données traitées. L’article 82 dispose que l’exonération n’intervient que si le responsable prouve que le fait ne lui est « nullement imputable ». Le responsable doit établir l’absence de lien de causalité entre son éventuelle négligence technique et la réussite de l’attaque informatique subie. La simple démonstration qu’un tiers est l’auteur du piratage ne suffit pas à écarter la responsabilité civile de l’entité chargée du traitement. Cette exigence stricte incite les organismes à maintenir une vigilance constante face aux évolutions technologiques et aux risques de sécurité.
*B. La consécration de la crainte d’un usage abusif comme dommage moral*
La notion de dommage doit s’interpréter de manière large afin d’assurer un niveau élevé de protection aux citoyens au sein de l’Union. La Cour affirme que « la crainte d’un potentiel usage abusif […] est susceptible, à elle seule, de constituer un dommage moral ». Le requérant n’est pas tenu de démontrer une usurpation d’identité déjà consommée pour solliciter une juste réparation pécuniaire devant les juges. Cette solution confirme que la perte de contrôle sur des données sensibles représente un préjudice réel et certain pour la personne concernée. Il appartient toutefois aux juridictions nationales de vérifier que cette inquiétude est légitime au regard des circonstances spécifiques de chaque espèce.
