Cour de Justice de l’UE : « La simple violation du RGPD ne fonde pas un droit à réparation »
Le 05 mai 2023 à 05h23
2 min
Droit
Droit
La CJUE vient de publier un arrêt sur le cas d’un citoyen autrichien qui n’avait pas consenti au traitement de ses données à caractère personnel, mais pour qui Österreichische Post avait quand même déterminé « une affinité élevée avec un certain parti politique autrichien ».
Le citoyen affirme de son côté « avoir ressenti une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation, en raison de l’établissement d’une affinité particulière avec le parti en question. C’est au titre de la réparation du préjudice moral qu’il estime avoir subi qu’il réclame devant les juridictions autrichiennes un montant de 1 000 euros ».
La Cour suprême autrichienne avait exprimé des doutes sur ce dernier point et avait demandé à la Cour de Justice de l’Union européenne de se prononcer. La CJUE rappelle que le droit à réparation est subordonné de manière univoque à trois conditions cumulatives : « une violation du RGPD, un dommage matériel ou moral résultant de cette violation et un lien de causalité entre le dommage et la violation ». « Partant, toute violation du RGPD n’ouvre pas, à elle seule, le droit à réparation », ajoute-t-elle.
La Cour constate aussi que « le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité ». Enfin, le RGPD ne contient pas de dispositions sur des « règles relatives à l’évaluation des dommages-intérêts ».
Le 05 mai 2023 à 05h23
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/05/2023 à 06h49
Le RGPD n’est pas là pour protéger les individus: il sert à protéger le marché économique de l’UE.
Dans le cas présent, le marché des données personnelles. Un marché évalué à 400+ milliards de $ rien que pour la publicité.
Bref, c’est un rappel aux citoyens de ce qu’est l’UE.
Le 05/05/2023 à 06h58
Je suis pas d’accord. Le RGPD est bien la pour protéger les personnes phisique, pas morale. Je pense que tu fait un exces d’Euroscepticism là.
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
Le 05/05/2023 à 08h38
Arrête de troller en prenant juste une phrase et affirmant quelque chose qui n’a pas de rapport.
Le RGPD prévoit bien un droit à réparation. : article 82.
La phrase que tu as citée est la réponse à la question posée à la CJUE et indique juste qu’il faut d’autres conditions pour obtenir réparation. Elle rappelle qu’il faut que la violation du RGPD ait causé un dommage. La CJUE précise ensuite en indiquant qu’il faut un lien de causalité entre la violation et le dommage.
En clair, s’il y a violation du RGPD mais qu’il n’y a pas de préjudice, il n’y a pas de réparation. En fait, comme on est ici sur un procès civil ou dans le cas d’un procès pénal dans la partie dédommagement d’une partie civile, ce que dit la CJUE est évident. Pour indemniser, il faut un dommage et il doit être démontré par la partie plaignante.
Donc, dans le cas présent, il faut donc que le plaignant prouve (rapports d’expertises médicaux ?) qu’il a subi un dommage moral quand il a appris que la poste autrichienne l’avait classé comme ayant une affinité élevée avec un parti politique sans pour autant avoir communiqué cette information à quelqu’un d’autre.
Le 05/05/2023 à 06h55
Ok, donc faut respecter la loi mais si on ne le fait pas on ne risque pratiquement rien si on est une grosse boite ou une administration, ça va aller loin encore ce truc là …
Est ce qu’au moins le tribunal a exigé d’Österreichische Post qu’ils se mettent en conformité avec la loi ou c’est toujours la fête en toute impunité ?
Le 05/05/2023 à 08h10
Je crois que tu confonds dommages et intérêts avec amende : les dommages et intérêts n’ont absolument pas vocation à sanctionner quoi que ce soit.
Le 05/05/2023 à 06h59
Pour avoir vu il y a quelque jours la dernière vidéo de Trouble Fait sur le chocolat ça colle en effet très bien pour ceux qui auraient encre un doute … (ça complète bien celle sur le miel … )
Le 05/05/2023 à 07h02
Doit-on en déduire qu’il aura droit à réparation car il valide bien les 3 conditions ?
Le 05/05/2023 à 08h46
Voir mon commentaire au-dessus.
C’est maintenant à la juridiction autrichienne de reprendre le procès en fonction de la réponse de la CJUE.
Il y avait 2 autres questions :
est-ce que les dommages devaient avoir une certaine gravité pour être indemnisés ? (la loi autrichienne prévoyait sur ce sujet que seuls certains dommages étaient indemnisés). La réponse de la CJUE est non : rien de tel de prévu par l’article 82 qui prime sur la loi nationale.
y a-t-il des exigences au niveau du droit européen sur l’évaluation des dommages-intérêts ? La réponse est non sur ce point. Ce sont les règles générales d’indemnisation du droit national qui s’appliquent.
Le 05/05/2023 à 07h07
Cela serait bien que tu développes ou à minima que tu donnes une source car j’ai du mal à comprendre le “raisonnement”.
Tu veux dire que le RGPD a été mis en place pour que le marché ciblé de la pub reste dans le giron de l’UE ?
Alors que le RGPD s’applique à toutes les structures qu’elles soient européennes ou non.
Le 05/05/2023 à 07h38
Rappel de quelques objectifs de l’UE (extrais choisis du traité de Lisbonne):
L’un de ses rôles est donc d’établir un marché intérieur et de promouvoir ses intérêts par les moyens dont elle dispose.
D’ailleurs il y a déjà des règlements pour empêcher les pays hors UE de venir piller/polluer/dévaloriser des ressources de l’UE (eau, air, poissons, …). Donc rien de surprenant de voir un règlement pour protéger les ressources électroniques (données personnelles).
Le 05/05/2023 à 08h29
Et un autre de ses rôles, comme tu le cites, c’est la protection de ses citoyens.
Le 05/05/2023 à 09h03
Evidement. Personne va signer un traité qui dit qu’on s’en balec des citoyens, de la paix et de la liberté et que seule la défense des intérêts économiques est importante.
Vous vous souvenez de la constitution européenne ?
Vous avez déjà oublié pourquoi la France ne l’a pas signé ?
Le fameux “Tome 3” ?
Alors ne venez pas me dire que la défense des intérêts économiques n’est pas un rôle primordial de l’UE.
Le 05/05/2023 à 09h08
Tu continues à troller en hors sujet. Je ne te suivrai pas sur ce point.
Par contre, si tu veux discuter du sujet de cette brève et répondre au reste de mon commentaire, j’échangerai avec plaisir.
Le 05/05/2023 à 09h33
Si l’UE faisait du protectionnisme, ça se saurait.
Le 05/05/2023 à 09h19
Tu justifies ton interprétation foireuse en disant que c’est écrit dans les objectifs de l’UE. Moi je te réplique juste que l’interprétation moins foireuse s’appuie sur les mêmes objectifs écrits de l’UE, et est donc tout autant valable.
Après, tu peux rester en mode “on ne nous dit pas tout, je sais mieux qu’eux-mêmes quel est leur objectif”, ça me fait une belle jambe.
Le 05/05/2023 à 09h54
Au contraire, on nous dit tout: c’est écrit dans les traités, c’était écrit dans le projet de constitution européenne, c’est écrit dans le règlement RGPD et c’est corroboré par la décision de la CJUE. C’est même marqué dans le titre de la news.
“la simple violation du RGPD ne fonde pas un droit à réparation” pour le citoyen
La CJUE insiste meme sur le fait qu’il faut 3 choses pour qu’un citoyen demande réparation:
Donc le RGPD seul n’est pas suffisant pour démontrer un préjudice pour le citoyen. (obviously)
Ce qui implique qu’on peut potentiellement violer le RGPD sans préjudice pour le citoyen.
Cependant la violation du RGPD seul est suffisante pour qu’une entreprise paye une amende.
D’où la question: de quoi l’entreprise est coupable si ce n’est pas d’avoir causé préjudice à un citoyen ? (qui est-ce qui subi un préjudice si ce n’est pas le citoyen)
#prenezletempsdypenser
Le 05/05/2023 à 09h58
Donc c’est bien ce que je disais: tu mélanges tout comme rappelé par @Fred42 au dessus.
Le RGPD s’appliquant à TOUTES les entreprises y compris (et surtout) européennes, ce que tu dis n’a aucun sens. Il s’agit bien uniquement de protéger les données personnelles des citoyens.
Le 05/05/2023 à 10h11
Ce n’est pas propre au RGPD. Ce n’est pas la violation du RGPD qui fait le préjudice mais l’effet sur le citoyen.
Là aussi, ce n’est pas propre au RGPD. Il suffit de constater la violation de la loi.
Un excès de vitesse constaté entraîne une amende même sans qu’il y ait préjudice envers qui que ce soit.
D’avoir violé la loi. Et cette loi (le RGPD) prévoit des sanctions sur ce seul fait.
Tu mélanges (volontairement ?) l’aspect pénal et civil.
Sur l’aspect pénal, on est condamné à une amende ou de la prison sur le seul fait d’avoir violé la loi.
Sur l’aspect civil, on est condamné à des dommages-intérêts s’il y a dommage et c’est toujours à la partie civile de prouver le dommage.
Une amende sanctionne, des dommages-intérêts réparent quel que soit le sujet et quel que soit le pays (je pense).
Aux USA où les 2 procès sont distincts, il arrive que l’on ne soit pas condamné au pénal pour insuffisance de preuve (ou même pas poursuivi comme dans le cas de DSK) et qu’on soit cependant condamné (ou qu’on négocie avec la parti civile pour éviter un jugement, comme encore pour l’affaire DSK) et que l’on ait à payer des dommages-intérêts.
Le 05/05/2023 à 10h13
Encore une fois, tu fais du whataboutisme au lieu de parler du sujet en question. Autrement-dit, tu sors du sujet pour le contredire. La CJUE répond sur un point précis en relation avec le RGPD. Le RGPD est peut-être conçu dans un but commercial de favoriser le marché commun de la donnée, mais pas seulement. Les institutions européennes sont conçues dans un cadre de marché commun mais le marché n’est pas un objet exclusif des institutions européennes (je vais prendre l’exemple du Brexit pour contrebalancer ta citation du traité de Lisbonne).
Le 05/05/2023 à 10h28
Exact. C’est ce que dit la CJUE.
Très bonne analogie les voitures. :)
La violation du code de la route fait subir un risque de dommage pour les usagers.
La violation du RGPD fait subir un risque de dommage pour les citoyens UE.
Et dans les deux cas on ne peut pas demander réparation pour la violation tant qu’on n’a pas prouvé le dommage et le lien de causalité, comme le dit la CJUE.
so far, so good.
Sauf que dans le cas du code de la route, la seule violation du code (dépassement de vitesse) n’a causé de dommage a personne.
Alors que dans le RGPD, la seule violation du règlement (collecte des données perso) cause un dommage… personel.
Et si vous n’êtes pas d’accord sur la fait que c’est un dommage personnel, alors il faut revoir votre avis sur TOUTES LES NEWS de NXI concernant la surveillance. A vous de voir. Soyez cohérents.
Le 05/05/2023 à 10h38
C’est là qu’on n’est plus d’accord.
La seule violation du RGPD ne cause pas forcément de dommage.
Si je considérais qu’une violation du RGPD me causait un dommage, je ne le signalerais pas seulement à la CNIL mais je porterais plainte pour pour obtenir des dommages-intérêts (si le jeu en vaut la chandelle, pas pour quelques centaines d’euros).
D’ailleurs, je suis en train d’utiliser une violation du RGPD (entre autres arguments) contre un organisme pour faire annuler une demande de cotisation, mais je ne demande pas pour autant de dommages-intérêts parce que je n’ai pas estimé qu’il y avait d’autres dommage qu’une demande de cotisation illégale puisque violant le RGPD. Mais j’ai d’autres arguments plus forts, celui-ci n’est qu’au cas où.
L’aspect dommage n’est quasiment pas abordé sur NXI quand il s’agit de parler violation du RGPD
Mais, tu as peut-être des commentaires précis à pointer..
Le 05/05/2023 à 10h51
Il faut définir ce qu’est un dommage. Parce que là, tu pars très loin. Un dommage, c’est quand un individu en question a subi un préjudice précis. Le préjudice, il faut le présenter à la justice. En l’occurrence, je crois comprendre d’après l’article que la justice autrichienne n’a pas vu de préjudice en relation avec cette violation du RGPD.
La surveillance n’est pas seulement un traitement de données, c’est l’objet poursuivi qui demande des procédures spécifiques. La surveillance dans la société n’a rien à voir avec la justice qui concerne un individu en particulier.
Le 05/05/2023 à 10h59
Cela-dit, on peut discuter des faiblesses du RGPD. Peut-être faut-il restreindre plus sévèrement, voire interdire, les traitements de données personnels s’ils sont considérés comme attentatoires aux droits des individus (ou causant des dommages systématiques) ?
Le 05/05/2023 à 11h17
Une amende (ou autre peine) est d’ordre pénale et a vocation à réparer un dommage collectif causé à la société, en plus de son effet dissuasif. Elles sont définies à l’avance par la loi, y compris leurs possibilités d’adaptation à la situation, et s’appliquent dès que leurs conditions sont remplies (habituellement la violation d’une loi) et constatées.
Un dommage-intérêt est d’ordre civil et a vocation à réparer un préjudice particulier subi par une personne (ou une entité) particulière. Ils ne sont pas définis à l’avance (même s’ils peuvent être plafonnés), sont évalués au cas par cas par le tribunal. Il n’y a pas d’autre condition à remplir pour en bénéficier que d’obtenir un jugement d’un tribunal, il n’est même pas obligatoire d’avoir enfreint une loi, mais il faut en faire la demande et prouver ce préjudice particulier.
Un excès de vitesse constaté est un dommage (le risque en fait) à la société donc sanctionné automatiquement par une amende. Mais si quelqu’un estime qu’un excès particulier lui a causé un dommage particulier, il doit attaquer le fautif et prouver ce préjudice pour obtenir des dommages-intérêts, sans garantie de les obtenir.
Le 05/05/2023 à 11h27
CJUE ou pas, RGPD ou pas, dans toutes les procédures où tu demandes réparation, il faut d’abord démontrer le préjudice. C’est même la base de la différence entre le civil et le pénal. S’il y a infraction, alors il y a punition ; s’il y a préjudice, il y a réparation.
Là, la CJUE dit simplement : une infraction au RGPD ne suffit pas pour donner lieu à réparation, il faut aussi démontrer le préjudice. D’ailleurs, sans évaluer le préjudice, je ne vois pas comment tu peux chiffrer la réparation.
Le 05/05/2023 à 11h50
Je me rend compte que, dans mon 1e commentairee, je n’aurais pas du mettre dans une même phrases une interprétation et une opinion. Ca a trigger tout le monde pour rien.
1 l’interprétation: “Le RGPD n’est pas là pour protéger les individus”.
C’est que dit la CJUE (et visiblement @fred42 #21), c’est que la seule violation du RGPD ne cause pas forcément de dommage. La violation du RGPD étant, pour simplifier, la collecte des données personnelles sans consentement et/ou la non-explicitation de leurs traitement.
D’après la CJUE, le RGPD dit que “la collecte de MES données personnelles sans MON consentement et/ou sans ME dire à quoi elles vont servir ne ME cause pas forcément un dommage.”
(ca semble une réécriture valide des faits, dites-moi si je me trompe)
Ce a quoi, mon interprétation est que le RGPD n’est pas fait pour protéger personnellement l’individu (Mr Dupont) à qui on a dérobé des données personnelles.
2 l’opinion “il sert à protéger le marché économique de l’UE”.
Ca c’est mon avis personnel et totalement subjectif sur l’UE depuis sa création en 1993.
C’est pas l’objet du débat et c’était juste mon avis. Vous pouvez le foutre aux chiottes.
Le 05/05/2023 à 15h03
D’après la CJUE, le RGPD dit que “la collecte de MES données personnelles sans
MON consentement et/ou sans ME dire à quoi elles vont servir ne ME cause pas
forcément un dommage.”
(ca semble une réécriture valide des faits, dites-moi si je me trompe)
(le RGPD nous protège, oui…mais pas ce cas là) !
Le 05/05/2023 à 15h36
L’actu parle du principe général et du rappel des conditions, mais le citoyen autrichien a-t-il été “réparé” ou pas ?
Le 05/05/2023 à 17h08
La Cour suprême autrichienne a posé des questions préjudicielles à la CJUE pour décider de ce qu’il fallait faire dans ce cas précis.
Suite aux réponses de la CJUE, elle va prendre une décision.
C’est une cour de cassation (comme chez nous). Elle peut donc soit confirmer le jugement en appel ou casser le jugement et renvoyer vers une cour d’appel qui jugera à nouveau et a priori en tenant compte de ce qu’a répondu la CJUE.
On ne sait donc pas encore s’il obtiendra réparation ou pas, comme la CJUE s’est prononcée hier.
Le 06/05/2023 à 07h33
Ok merci
Le 05/05/2023 à 17h32
Le dommage ne peut pas être réalisé seulement par les conditions que tu énonces.
Autrement dit, si on représente un lien de causalité par une flèche allant de l’arc (les causes) à la pomme (les conséquences, ici : le dommage), alors prouver que la flèche est partie ne suffit pas à prouver qu’elle embroche la pomme.
Sinon, nous serions tous des archers émérites !
Mais si on laisse les mouches en paix et qu’on revient à la brève, le dommage dont parle l’autrichien, ce n’est pas la collecte elle-même, mais l’effet qu’il a ressenti lorsque le site lui a présenté le résultat d’un traitement effectué sur les données, et qui s’apparente à du profilage d’opinions politiques.
Donc la pomme est bien embrochée dans ce cas-là, et la CJUE est hors-sujet.
Bref, pareil : dites-moi si je me trompe
Le 05/05/2023 à 17h53
Décision de la CJUE a propos du RGPD seul :
Si une entreprise XYZ collecte sans consentement les données personnelles de Mr Dupont, l’UE s’offusque et réclame de l’argent à l’entreprise XYZ.
Mr Dupont, lui, n’a pas le droit de s’offusquer pour si peu et ne peut pas réclamer de l’argent à l’entreprise XYZ.
¯\_(ツ)_/¯
Le 05/05/2023 à 18h09
Si ça ne se dédommage pas, ce n’est pas un dommage. la CJUE ne dit rien de plus et ce n’est pas propre au RGPD.
Monsieur Dupont a le droit de s’offusquer et de demander à sa CNIL locale de s’en occuper (ce que la CNIL française appelle porter plainte auprès d’elle, elle précise même quand tu le fais qu’il faut aussi s’adresser aux tribunaux si tu veux un dédommagement).
Il peut demander de l’argent à l’entreprise XYZ seulement s’il a un dommage et il devra s’adresser à un tribunal, pas à la CNIL locale.
Le 05/05/2023 à 22h15
Tu as le droit de dire que la réglementation est mal faite. Mais là, tu affirmes que l’UE se dédommagerait et interdirait toute indemnisation à M Dupont, ce qui est complètement faux : c’est à la justice d’évaluer le dommage subi par M Dupont, en tenant compte de la réglementation européenne. L’UE édicte des règles communes aux Etats-membres, l’UE n’a aucun dommage à se faire indemniser.
Le 07/05/2023 à 08h40
(ce n’est que mon AVIS)
c’est exactement ça !
(même si la ‘CJUE’ se contorsionne)
Le 05/05/2023 à 22h03
L’Autrichien affirme qu’il a subi un dommage, raison de son action en justice. Seule la justice autrichienne peut qualifier s’il y a un dommage subi par cet Autrichien ou s’il n’y en a pas, en se référent aux critères énoncés par le RGPD interprété par la CJUE.
Perso, je ne comprends pas ces raisonnements de quelques minutes après lecture d’un article de presse qui voudraient donner tort à la justice, comme si les tribunaux (dont le droit et les procédures judiciaires sont le métier) ne connaissaient pas suffisamment le droit et l’affaire en question, alors que ça leur prend au moins plusieurs jours de réflexions et de discussions.
Le 06/05/2023 à 09h46
Non, je n’ai pas dit ou écrit ou sens-entendu que l’UE interdit quoi que ce soit à Mr Dupont.
J’ai juste dit ce que dit la CJUE, la news et la loi en imaginant un cas concret:
une simple violation du RGPD par la société XYZ envers un Mr Dupont ne fonde pas un droit à réparation pour Mr Dupont.
Mr Dupond devra faire des démarches légales supplémentaires pour montrer qu’il a subit un préjudice et demander réparation à la société XYZ.
Pour autant, la simple violation du RGPD par la société XYZ envers Mr Dupont (ou n’importe quel citoyen UE) est suffisante pour qu’une autorité de contrôle de l’UE inflige une amende à la société XYZ
Tout a fait, c’est ce que dit la CJUE sur les pouvoirs/limites du RGPD. Ce n’est pas le RGPD seul qui accordera réparation à Mr Dupont. Ou a n’importe quel individu.
D’où mon premier commentaire: Le RGPD ne protège pas les individus.
Le 06/05/2023 à 12h19
Ton raisonnement me fait penser au terme “vidéoprotection” que je n’aime pas. La surveillance vidéo toute seule ne protège en rien … Une caméra ne va pas, avec ses petits bras, empêcher un délinquant de commettre crime ou délit. Par contre c’est un élément qui pourra faciliter le travail aux enqueteurs pour retrouver un coupable si crime ou délit a été commis. Et sachant celà, un potentiel criminel/délinquant s’abstiendra peut-être de passer à l’action.
Personnellement je préfèrerais le terme de “vidéo-dissuasion” au terme de “vidéo protection): cette surveillance vidéo pourra dissuader certaines personnes de commettre ledit crime ou délit si elle sait qu’on pourra la retrouver grâce aux images de surveillance. Elle ne sera pas utile cependant dansq le cas ou une personne n’a rien à perdre à agir à visage découvert (personne suicidaire, attentat kamikaze, …).
Le 06/05/2023 à 13h51
La partie en gras me démange. Le RGPD est un règlement européen et s’il n’y a pas de règle de droit national qui s’y ajoute, alors je serais plutôt d’avis que n’importe quel tribunal de n’importe quel pays d’UE devrait aboutir à des conclusions identiques en droit.
Je ne vois pas comment le RGPD (ou toute autre règle de droit dite “européen”) pourrait tenir debout en tant que règle de droit “européen” si les tribunaux de chaque pays l’interprètent à leur manière, différente de l’interprétation du voisin.
Si le droit est différent entre les pays, alors ce n’est pas du droit “européen”, mais national.
Bien tenté, mais je ne pense pas que cette partie de ton commentaire vienne à être citée dans la rubrique « La brosse à reluire » du Canard Enchaîné !
J’ai dit que la CJUE s’est prononcée sur des questions de droit qui n’ont pas l’air d’être celles posées par l’autrichien : il se plaint d’un dommage faisant suite à un traitement de données, et la CJUE parle de la collecte de données. J’appelle ça “hors-sujet”, oui. Pourquoi avoir utilisé l’affaire de cet autrichien pour s’éloigner de sa demande afin de juger de cela ?
Pour rester sur mes comparaisons fruitières, c’est un peu comme si Blanche-Neige se plaignait que la pomme avait été empoisonnée, et que la CJUE lui explique que ce n’était pas illégal de la récolter puisqu’elle était mûre à point… alors que dans le conte, la Méchante Reine a été condamnée à danser avec des souliers de fer chauffés au rouge, jusqu’à ce que mort s’ensuive (dixit Wikipédia, je ne connaissais pas cette fin-là !)
Le 08/05/2023 à 09h20
Une réparation implique un dommage. Pour obtenir une réparation il faut prouver le dommage. C’est juste la base du droit.