La Cour de justice de l’Union européenne définit les modalités de réparation des dommages nés d’un traitement illicite de données personnelles par un responsable de traitement. Un candidat à un emploi a postulé auprès d’un établissement bancaire par l’intermédiaire d’un réseau social professionnel en ligne avant de subir une erreur de transmission. Une employée a envoyé un message confidentiel concernant le rejet de ses prétentions salariales à un ancien collègue du postulant n’ayant aucun lien avec ce recrutement. Le Tribunal régional de Darmstadt a ordonné la cessation de ces agissements et alloué mille euros de dommages-intérêts en réparation du préjudice moral invoqué par l’intéressé. Le Tribunal régional supérieur de Francfort a partiellement réformé ce jugement le 2 mars 2022 en considérant que l’humiliation ou la crainte ne constituaient pas un préjudice concret. La Cour fédérale de justice a interrogé la juridiction européenne sur la possibilité d’indemniser de simples sentiments négatifs et sur l’influence de la gravité de la faute. Les juges de Luxembourg affirment que la perte de contrôle sur les données et l’inquiétude suffisent à caractériser un dommage moral indépendant de la faute du responsable. Cette solution impose d’analyser l’ancrage du droit à réparation dans une finalité compensatoire avant d’étudier l’articulation des remèdes procéduraux offerts aux personnes dont les droits sont méconnus.
I. L’ancrage du droit à réparation dans une finalité strictement compensatoire
A. L’intégration des troubles psychologiques dans le champ du dommage moral
La Cour de justice confirme l’existence d’une notion autonome et uniforme du dommage moral s’appliquant de manière identique dans l’ensemble de l’Union européenne. Elle juge que « la notion de « dommage moral » figurant à cette disposition englobe des sentiments négatifs éprouvés par la personne concernée » suite à une transmission non autorisée. Cette interprétation inclut explicitement la crainte, le mécontentement ou l’inquiétude dès lors que ces sentiments sont suscités par la perte de contrôle effective sur des données personnelles. Le juge européen écarte toute exigence d’un seuil de gravité minimal pour ouvrir le droit à réparation prévu par le règlement général sur la protection des données. La personne lésée doit cependant démontrer la réalité de son préjudice psychologique ainsi que le lien de causalité avec la violation de la sécurité des informations. L’admission de la simple atteinte à la réputation ou du vécu quotidien négatif renforce la protection des citoyens face aux négligences répétées des organismes traitant leurs informations. Cette approche extensive du préjudice moral se double d’une définition rigoureuse des modalités de calcul de l’indemnité par les juridictions nationales saisies de tels litiges.
B. Le rejet de la gravité de la faute comme critère d’évaluation
Le montant de l’indemnisation doit correspondre exclusivement à la compensation intégrale du préjudice subi sans revêtir une fonction dissuasive ou une nature de dommages-intérêts punitifs. La juridiction européenne souligne que « le droit à réparation prévu à cet article 82 […] remplit une fonction exclusivement compensatoire » au regard des objectifs poursuivis par le législateur. L’évaluation de la réparation ne saurait dépendre du degré de gravité de la négligence commise par le responsable de traitement ou par son personnel salarié. Une telle exclusion garantit l’effectivité du recours juridictionnel en évitant que le montant alloué ne soit réduit en raison de l’absence d’intention malveillante de l’auteur. Le comportement du responsable du traitement reste pertinent pour le prononcé d’amendes administratives mais demeure inopérant pour la fixation de la dette de réparation civile. Cette déconnexion entre la faute et le préjudice assure une harmonisation des pratiques judiciaires tout en préservant la possibilité de solliciter des mesures de nature préventive.
II. L’articulation des remèdes procéduraux face aux violations du règlement
A. La reconnaissance de la compétence nationale en matière d’injonction préventive
Le règlement général sur la protection des données ne contient aucune disposition explicite obligeant les États membres à instaurer des actions en justice à caractère purement préventif. Les juges soulignent néanmoins que « ces dispositions n’empêchent pas les États membres de prévoir une telle voie de recours » dans leurs ordres juridiques respectifs pour assurer l’efficacité. Le droit de l’Union laisse ainsi une marge de manœuvre aux législateurs nationaux pour maintenir des mécanismes d’injonction interdisant la réitération future d’un traitement de données illicite. Une telle action permet à la personne concernée d’obtenir une ordonnance d’abstention alors même qu’elle ne sollicite pas l’effacement définitif des informations déjà collectées par l’organisme. La protection effective des données fondamentales exige le renforcement des obligations pesant sur ceux qui déterminent les finalités des traitements informatiques dans le secteur privé. Cette faculté de prévention demeure toutefois distincte du droit à la réparation pécuniaire dont les conditions d’octroi restent strictement liées aux conséquences d’une violation passée.
B. L’interdiction de substituer la mesure d’abstention à l’indemnisation pécuniaire
L’obtention d’une injonction interdisant une nouvelle violation du droit ne peut justifier la réduction ou l’exclusion de l’indemnisation due au titre du dommage moral déjà consommé. La Cour rappelle qu’« une injonction de cette nature vise à empêcher la réitération de comportements […] mais elle ne répare pas ceux qui ont déjà été subis ». La finalité préventive de la mesure d’abstention est radicalement différente de la fonction compensatoire attachée aux dommages-intérêts versés suite à une perte de confidentialité. Le juge national ne saurait donc considérer le prononcé d’une interdiction de traitement comme une forme de satisfaction suffisante remplaçant le versement d’une somme d’argent. Le cumul des deux voies de droit est impératif lorsque les conditions de la responsabilité civile sont réunies afin de garantir la restauration complète de l’intérêt lésé. L’indépendance de ces remèdes juridictionnels assure une application cohérente du droit de l’Union européenne tout en maintenant l’effet utile des garanties offertes aux personnes physiques.
