Par un arrêt rendu en chambre, la Cour de justice de l’Union européenne précise les conditions d’application du droit à réparation pour dommage moral prévu par le Règlement général sur la protection des données. En l’espèce, des particuliers avaient communiqué leur nouvelle adresse à un cabinet de conseil fiscal. Ce dernier a néanmoins envoyé par erreur leur déclaration fiscale à leur ancienne adresse. Les nouveaux occupants des lieux ont reçu le pli et l’ont ouvert, accédant ainsi à de nombreuses données personnelles sensibles, telles que les numéros d’identification fiscale, les coordonnées bancaires ou des informations sur l’appartenance religieuse. Les personnes concernées ont alors saisi une juridiction allemande d’une demande en réparation du préjudice moral subi, sur le fondement de l’article 82 du règlement. Saisie du litige, la juridiction de renvoi a adressé à la Cour de justice plusieurs questions préjudicielles. Celles-ci portaient, d’une part, sur les conditions d’ouverture du droit à réparation et, d’autre part, sur les modalités d’évaluation du montant des dommages et intérêts. La juridiction de renvoi cherchait notamment à savoir si la seule violation du règlement suffisait à fonder un droit à réparation, si un seuil de gravité du préjudice était requis, et si la simple crainte d’un usage abusif des données pouvait constituer un dommage moral réparable. Elle s’interrogeait également sur la possibilité d’appliquer par analogie les critères de calcul des amendes administratives, sur la fonction dissuasive éventuelle de la réparation, et sur la prise en compte de violations concurrentes du droit national. La Cour de justice répond que la simple violation du règlement est insuffisante et que la preuve d’un préjudice effectif est nécessaire, sans pour autant qu’un seuil de gravité soit exigé. Elle admet que la crainte d’un usage abusif des données constitue un préjudice moral, à condition que cette crainte et ses conséquences négatives soient prouvées. Enfin, elle distingue nettement la réparation de la sanction, en affirmant que l’évaluation des dommages et intérêts poursuit une fonction purement compensatoire et ne doit ni se fonder sur les critères des amendes administratives, ni intégrer une dimension dissuasive.
Cet arrêt vient ainsi clarifier les conditions d’engagement de la responsabilité du fait d’un traitement de données illicite (I), tout en encadrant strictement les modalités d’évaluation du préjudice en résultant (II).
***
**I. La clarification des conditions du droit à réparation du dommage moral**
La Cour de justice établit un équilibre en exigeant la preuve d’un préjudice certain tout en admettant une conception large de sa nature. Elle conditionne ainsi le droit à réparation à la démonstration d’un préjudice effectif, sans pour autant imposer un seuil de gravité (A), et reconnaît que la crainte éprouvée par la personne concernée peut, sous certaines conditions, constituer un tel préjudice (B).
**A. L’exigence d’un préjudice certain mais non nécessairement grave**
La Cour énonce clairement que la seule transgression d’une disposition du règlement ne suffit pas à ouvrir un droit à réparation. En se fondant sur le texte de l’article 82, paragraphe 1, elle rappelle que trois conditions cumulatives doivent être réunies : une violation du règlement, un dommage subi et un lien de causalité entre les deux. La Cour juge qu’« une violation de ce règlement ne suffit pas, à elle seule, pour fonder un droit à réparation au titre de cette disposition ». Une lecture contraire rendrait superflue la mention distincte du « dommage » et de la « violation » dans le texte. La personne qui demande réparation doit donc prouver l’existence d’un préjudice.
Cependant, la Cour s’oppose fermement à toute exigence jurisprudentielle ou légale nationale qui subordonnerait la réparation d’un dommage moral à l’atteinte d’un certain seuil de gravité. Une telle condition viderait de sa substance le droit à réparation pour les préjudices considérés comme mineurs, alors même que le règlement vise à garantir « un niveau élevé de protection des personnes physiques ». Ainsi, bien que la charge de la preuve pèse sur le demandeur, celui-ci n’a qu’à démontrer l’existence effective d’un dommage, même minime, pour que son droit à réparation soit reconnu.
**B. L’admission de la crainte de divulgation comme préjudice réparable**
L’un des apports majeurs de la décision réside dans la qualification de la crainte d’un usage abusif des données. La Cour considère qu’une telle crainte, éprouvée à la suite d’une violation, est susceptible de constituer en elle-même un dommage moral réparable au sens de l’article 82. Cette solution, fondée sur une interprétation large de la notion de dommage préconisée par les considérants du règlement, permet de reconnaître le préjudice même en l’absence de preuve d’une consultation ou d’une utilisation effective des données par des tiers non autorisés. La perte de contrôle sur ses propres données est ainsi reconnue comme une source de préjudice.
Toutefois, la Cour assortit cette reconnaissance d’une condition probatoire stricte. Il ne suffit pas d’alléguer une simple inquiétude subjective. Le demandeur doit démontrer que cette crainte est réelle et qu’elle a entraîné pour lui des conséquences négatives. La Cour précise que « la crainte éprouvée par une personne […] suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée ». Cette exigence vise à écarter les demandes fondées sur un préjudice purement hypothétique, tout en offrant une voie de recours aux personnes qui subissent une anxiété tangible du fait de la compromission de leurs données.
***
**II. L’encadrement strict de l’évaluation de la réparation financière**
Après avoir défini les conditions d’existence du droit à réparation, la Cour de justice en précise les modalités de calcul. Elle opère une distinction fonctionnelle nette entre la réparation et la sanction, ce qui la conduit à rejeter l’idée d’une réparation à caractère punitif (A) et à exclure l’application de critères d’évaluation externes au droit de la responsabilité (B).
**A. Le rejet d’une fonction dissuasive ou punitive de la réparation**
La Cour répond négativement à la question de savoir si les dommages et intérêts alloués au titre de l’article 82 doivent avoir un effet dissuasif. Elle souligne que le droit à réparation poursuit une finalité exclusivement compensatoire, comme l’indique le considérant 146 du règlement. Son objectif est d’assurer une réparation « complète et effective » du préjudice concrètement subi par la personne concernée. Par conséquent, le montant octroyé ne saurait excéder ce qui est nécessaire pour compenser intégralement ce préjudice.
Cette interprétation conduit la Cour à distinguer la fonction de l’article 82 de celle de l’article 83, qui régit les amendes administratives. Tandis que les amendes peuvent avoir un caractère répressif et dissuasif, la réparation civile n’a pas vocation à punir le responsable du traitement. La gravité de la violation n’est donc pas un critère pertinent pour évaluer le montant des dommages et intérêts. La Cour refuse ainsi d’importer dans le droit de la responsabilité civile les logiques du droit des sanctions administratives, maintenant une séparation claire entre les deux régimes.
**B. L’exclusion des critères d’évaluation tirés du régime des amendes**
En conséquence logique de la distinction fonctionnelle qu’elle opère, la Cour de justice écarte l’application par analogie des critères prévus à l’article 83 pour évaluer la réparation due au titre de l’article 82. Les éléments tels que la nature, la gravité de la violation, le caractère délibéré ou non de la faute, ou encore les avantages financiers obtenus par le responsable, sont pertinents pour fixer le montant d’une amende administrative, mais pas pour chiffrer un préjudice civil. En l’absence de règles européennes spécifiques, il appartient aux juridictions nationales de fixer les critères d’évaluation, dans le respect des principes d’équivalence et d’effectivité.
De même, la Cour juge que la violation simultanée de dispositions nationales relatives à la protection des données, mais qui ne constituent pas des mesures d’application du règlement, n’a pas à être prise en compte dans l’évaluation des dommages et intérêts sur le fondement de l’article 82. Ce dernier institue un régime de responsabilité autonome. Cette solution n’empêche cependant pas un juge national, si son droit interne le permet, d’accorder une réparation plus importante en se fondant sur la violation de ces autres dispositions nationales, mais une telle réparation relèverait alors d’un fondement juridique distinct.
