Par un arrêt rendu le 25 janvier 2024, la Cour de justice de l’Union européenne précise les conditions d’engagement de la responsabilité des responsables de traitement. Un client, lors d’un achat en magasin, a vu ses données contractuelles remises par erreur à un tiers avant leur restitution rapide par l’officine. Saisi d’une demande d’indemnisation pour préjudice moral, le juge national interroge la Cour sur l’interprétation des articles 5, 24, 32 et 82 du règlement général. Le litige porte sur la question de savoir si la simple méconnaissance des obligations de sécurité suffit à caractériser un dommage moral ouvrant droit à réparation. La juridiction européenne affirme que le droit à réparation exige la preuve d’un dommage réel et rejette toute présomption de faute tirée de l’erreur humaine. Cette décision impose d’analyser d’abord la caractérisation rigoureuse du droit à réparation avant d’étudier la fonction strictement indemnitaire de la responsabilité civile.
I. La caractérisation rigoureuse du droit à réparation
A. L’exigence d’un dommage distinct de la violation
L’article 82 du règlement conditionne le droit à obtenir réparation à la preuve cumulative d’une violation, d’un dommage et d’un lien de causalité certain. La Cour souligne que « la simple violation du règlement ne suffit pas pour conférer un droit à réparation » à la personne concernée par le traitement. Le demandeur doit démontrer que les conséquences négatives de la violation constituent un dommage matériel ou moral effectif pour obtenir une compensation pécuniaire juste. Cette exigence probatoire évite une dérive vers une responsabilité automatique qui naîtrait du seul constat d’un manquement aux règles de protection des données personnelles.
B. L’appréciation concrète des mesures de sécurité
L’erreur d’un employé remettant un document à un tiers ne permet pas de présumer l’insuffisance des mesures techniques et organisationnelles de sécurité mises en œuvre. Les juges considèrent que « le caractère approprié des mesures doit être évalué de manière concrète » par les juridictions nationales au regard des risques identifiés. Le responsable du traitement peut s’exonérer en démontrant qu’il a adopté des dispositifs de protection adaptés aux finalités et au contexte spécifique de son activité commerciale. La charge de la preuve incombe toutefois au professionnel qui doit établir la conformité de ses procédures aux exigences de sécurité du droit de l’Union.
La démonstration d’un manquement et d’un préjudice réel constitue ainsi le préalable indispensable à la fixation d’une indemnité dont les fonctions demeurent limitées.
II. La fonction strictement indemnitaire de la réparation
A. L’exclusion de toute finalité punitive
La Cour de justice écarte fermement toute dimension répressive de l’indemnisation en précisant que l’article 82 remplit une fonction exclusivement compensatoire et non punitive. Le montant des dommages-intérêts doit correspondre à la compensation intégrale du préjudice subi sans que la gravité de la violation n’influe sur cette évaluation souveraine. Les juges affirment que cet article « ne requiert pas que le degré de gravité de la violation commise soit pris en compte » pour fixer l’indemnité. Cette approche distingue nettement les actions civiles individuelles des sanctions administratives qui poursuivent, quant à elles, une finalité dissuasive et répressive contre les responsables.
B. Les limites du préjudice lié à la crainte d’un usage abusif
La reconnaissance d’un préjudice moral fondé sur la crainte d’un usage abusif futur des données reste soumise à des conditions de réalité strictement contrôlées. Si une perte de contrôle peut causer un dommage, « un risque purement hypothétique d’usage abusif par un tiers non autorisé ne saurait donner lieu à réparation ». Lorsque le tiers n’a pas pris connaissance des informations avant la restitution du document, la simple inquiétude subjective ne suffit pas à caractériser un préjudice. La juridiction européenne limite ainsi l’indemnisation aux dommages dont la réalité est établie, excluant les craintes dépourvues de fondement matériel ou de conséquences concrètes.
