Landgericht München, 31. Zivilkammer O 16606/​20 vom 9 Dezember 2021

Scalable Capital GmbH, une FinTech alle­mande, octroie à Codeship Inc., une société spécia­li­sée en Software as a Service, un accès complet à son système infor­ma­tique. Malgré la fin de la rela­tion contrac­tuelle en 2015 entre ces deux socié­tés, Codeship conti­nue à avoir accès aux archives de la FinTech.

Or, entre 2019 et 2020, une cybe­rat­taque contre Codeship permet aux assaillants d’accéder aux archives de Scalable Capital, en parti­cu­lier à 389’000 docu­ments de 33’200 clients.

Ces docu­ments contiennent diverses données clients : prénom et nom, titre, adresse, adresse élec­tro­nique, numéro de télé­phone portable, date de nais­sance, lieu et pays de nais­sance, natio­na­lité, situa­tion fami­liale, rési­dence fiscale et numéro d’iden­ti­fi­ca­tion fiscale, numéro IBAN, copie d’une pièce d’iden­tité et photo portrait prise lors de la procé­dure d’identification.

Mécontent que ses données person­nelles aient été compro­mises, un client intente une action contre la FinTech alle­mande auprès du Landgericht de Munich. Il exige que Scalable Capital soit condam­née à répa­rer son dommage futur. Il demande égale­ment l’octroi d’une indem­nité pour dommage moral dont le montant est laissé à l’appréciation du juge.

Afin de justi­fier sa préten­tion, le client invoque l’art. 82 par. 1 RGPD. Cette dispo­si­tion prévoit que

« [t]oute personne ayant subi un dommage maté­riel ou moral du fait d’une viola­tion du [RGPD] a le droit d’obtenir du respon­sable du trai­te­ment ou du sous-trai­tant répa­ra­tion du préju­dice subi. »

Pour sa défense, la FinTech affirme qu’elle n’a pas violé le RGPD. En effet, l’origine de la fuite se trouve auprès de la société Codeship. Scalable Capital ne serait donc qu’une victime colla­té­rale de cette cybe­rat­taque. Par ailleurs, non seule­ment la société alle­mande béné­fi­cie­rait d’un système infor­ma­tique sûr, mais en plus il serait certi­fié selon diverses normes inter­na­tio­na­le­ment reconnues.

Le Landgericht de Munich rétorque à la FinTech qu’elle aurait simple­ment dû bloquer les accès de Codeship après la fin de la rela­tion contrac­tuelle. L’omission de la suppres­sion des accès de 2015 jusqu’à la cybe­rat­taque en 2019 consti­tue ainsi une viola­tion de la sécu­rité du trai­te­ment au sens de l’art. 32 RGPD. Preuve en est d’ailleurs que Scalable Capital a supprimé tous les accès à ses archives préci­sé­ment après la cyberattaque.

Le Landgericht de Munich constate ensuite qu’il existe un lien de causa­lité entre cette viola­tion du RGPD et le dommage (tant maté­riel que moral) invo­qué par le client. Il souligne que la fuite concerne de nombreuses données. Or les dommages-inté­rêts doivent être dissua­sifs (art. 83 par. 1 RGPD par analo­gie). Partant, il condamne la FinTech à payer à la deman­de­resse EUR 2’500.- à titre de dommage moral. La société alle­mande devra égale­ment dédom­ma­ger le client de tout dommage futur.

Même si le montant octroyé est, en absolu, rela­ti­ve­ment bas, il a toute­fois son importance.

Premièrement, cet arrêt est proba­ble­ment le premier à octroyer un dommage moral (au sens de l’art. 82 par. 1 RGPD) à la suite d’une fuite de données. Il rejoint par ailleurs les autres arrêts qui consi­dèrent que l’octroi d’une indem­nité pour dommage moral, au sens de l’art. 82 RGPD, n’est pas dépen­dante de la gravité de l’infraction (cf. swiss​pri​vacy​.law/​35/). La Cour de justice de l’Union euro­péenne (CJUE) a d’ailleurs été saisie de cette ques­tion par l’Oberste Gerichtshof d’Autriche afin d’apporter quelques clari­fi­ca­tions (affaire C‑300/​21). À notre avis, il y a de fortes chances que la CJUE retienne une notion large de dommage moral au sens de l’art. 82 RGPD (cf. consid. 146 du RGPD).

Deuxièmement, l’Union euro­péenne connai­tra, dès la fin de cette année 2022, le régime des « actions repré­sen­ta­tives » (Directive 2020/​1828). Des actions « de masse » sont ainsi prévi­sibles après une impor­tante fuite des données. En outre, il semble­rait que le finan­ce­ment de procès par des tiers gagne en impor­tance, ce qui risque d’augmenter encore le nombre de litiges en la matière. Le client de la FinTech alle­mande aurait d’ailleurs préci­sé­ment béné­fi­cié d’un tel financement.

Comme nous l’avions déjà souli­gné (cf. swiss​pri​vacy​.law/​35/), la nLPD n’apporte aucune modi­fi­ca­tion à la notion de dommage. Une fuite des données devrait ainsi porter une atteinte grave à la person­na­lité afin qu’un tort moral soit reconnu et en consé­quence indem­nisé (art. 49 CO).

Partant, les tribu­naux suisses risquent malheu­reu­se­ment de ne pas recon­naître un tort moral lorsqu’une personne voit ses données person­nelles en libre accès sur le dark web à la suite d’une fuite des données. De lege ferenda, l’octroi d’une indem­nité pour tort moral devrait être octroyée plus faci­le­ment, non seule­ment car les montants restent modestes (et loin de ceux octroyés aux États-Unis), mais en plus car la recon­nais­sance d’un tort moral corres­pond au but prin­ci­pal de la respon­sa­bi­lité civile : réta­blir la situa­tion qui aurait prévalu sans l’acte illicite.