La Cour de justice de l’Union européenne a rendu, le 20 juin 2024, une décision fondamentale relative au droit à réparation des dommages moraux. Des utilisateurs d’une plateforme de gestion de titres ont subi le piratage de leurs données personnelles et financières par des tiers restés inconnus à ce jour. Saisie par le Tribunal de district de Munich, la juridiction européenne a dû préciser les modalités d’évaluation des préjudices résultant d’une telle violation informatique. Le juge national s’interrogeait sur la possibilité d’accorder des dommages-intérêts punitifs ou symboliques face à l’absence de préjudice matériel direct immédiatement constaté. La question centrale repose sur l’interprétation de l’article 82 du règlement général sur la protection des données quant au calcul de l’indemnisation pécuniaire due. La Cour affirme que ce droit à réparation possède une finalité purement compensatrice visant à rétablir l’équilibre rompu par la violation commise par le responsable.
I. La nature exclusivement réparatrice du droit à indemnisation
A. L’éviction de toute fonction punitive ou dissuasive
La Cour rappelle fermement que « le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire » au sens du droit de l’Union. Cette interprétation écarte la possibilité pour les juridictions nationales d’allouer des dommages-intérêts dont le montant dépasserait la compensation intégrale du préjudice subi. Le juge européen distingue ainsi les sanctions administratives, dotées d’une finalité punitive, de la réparation civile qui ne vise que le rétablissement de la situation initiale. Une indemnisation pécuniaire fondée sur le règlement doit « permettre de compenser intégralement le préjudice concrètement subi » sans chercher à sanctionner le comportement fautif du responsable.
B. L’indifférence de la gravité de la faute dans l’évaluation du préjudice
L’article 82 du règlement ne subordonne pas le montant de la réparation au degré de négligence ou au caractère intentionnel de la violation constatée. La Cour souligne que ce texte « ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant ». Dès lors qu’une violation est établie, seule l’ampleur du dommage moral réellement éprouvé par la personne concernée doit guider la décision du magistrat. L’évaluation doit se concentrer sur les conséquences concrètes de l’atteinte aux données plutôt que sur l’analyse de la conduite adoptée par la société de gestion.
II. L’appréciation souveraine et intégrale du préjudice moral
A. L’absence de hiérarchie entre les dommages physiques et moraux
Le droit européen ne consacre aucune primauté structurelle des atteintes corporelles sur les préjudices résultant d’une violation de données à caractère personnel. La juridiction affirme qu’un dommage lié à la perte de contrôle de données « n’est pas, par nature, moins important qu’un dommage corporel » subi. Cette approche oblige les juges nationaux à traiter avec une égale importance les souffrances psychologiques et les atteintes à l’intégrité physique des victimes concernées. La réparation doit demeurer complète et effective même si le ressenti de l’atteinte ne présente pas une gravité exceptionnelle au regard des standards classiques.
B. Les contours de la notion de vol d’identité
La Cour précise que la notion de vol d’identité « implique que l’identité d’une personne concernée […] soit effectivement usurpée par un tiers » pour être pleinement caractérisée. Le simple accès illicite à des données permettant d’identifier un individu ne constitue pas, en lui-même, un vol d’identité au sens strict du terme. Néanmoins, la réparation d’un dommage moral ne saurait être limitée aux seuls cas où une telle usurpation est formellement démontrée par la personne lésée. Le juge national peut accorder une indemnité minime si elle suffit à compenser intégralement le préjudice tout en respectant l’objectif de protection des données.
