Conclusions de l’avocat géné­ral M. Manuel Campos Sánchez-Bordona du 6 octobre 2022, Affaire de la Cour de justice de l’Union euro­péenne (CJUE) C‑300/​21, UI c. Österreichische Post AG.

Le 6 octobre 2022, l’avocat géné­ral Manuel Campos Sánchez-Bordona a rendu ses conclu­sions rela­tives à la répa­ra­tion du dommage moral résul­tant d’un trai­te­ment de données contraire au RGPD.

Dans cette affaire, la Poste autri­chienne (la Poste) collecte des infor­ma­tions sur les affi­ni­tés poli­tiques de la popu­la­tion du pays, depuis 2017. À l’aide d’un algo­rithme, elle défi­nit des listes « d’adresses de groupes cibles » selon des critères sociodémocratiques.

Lors de ces extra­po­la­tions, une personne physique s’est vu attri­buer une forte affi­nité avec un parti d’extrême droite. Jugeant l’affiliation diffa­mante, il demande à la Poste un dédom­ma­ge­ment de EUR 1’000 en répa­ra­tion du dommage moral subi. Il prétend aussi qu’il n’avait pas consenti à un tel traitement.

La juri­dic­tion de première instance rejette la demande en paie­ment. La juri­dic­tion d’appel a ensuite confirmé ce juge­ment en décla­rant que toute viola­tion du RGPD n’entraîne pas auto­ma­ti­que­ment un droit à répa­ra­tion du dommage moral. Cette répa­ra­tion n’entre en ligne de compte qu’en cas de dommage d’une certaine gravité.

Par la suite, la Cour suprême autri­chienne saisie de l’affaire a posé trois ques­tions préju­di­cielles suivantes à la CJUE.

1. La simple viola­tion des dispo­si­tions du RGPD suffit-elle à ouvrir droit à réparation ?

À la première ques­tion, l’avocat géné­ral répond par la néga­tive. Pour lui, soute­nir qu’il existe néces­sai­re­ment un droit à répa­ra­tion, même si aucun dommage n’est causé par la viola­tion du RGPD, soulève des diffi­cul­tés. La répa­ra­tion est accor­dée préci­sé­ment parce qu’il y a eu un dommage préa­lable subi par la personne concer­née du fait d’une viola­tion du RGPD.

En l’absence de dommage, la répa­ra­tion n’aurait plus pour fonc­tion de compen­ser les consé­quences néga­tives de la viola­tion. Elle rempli­rait plutôt une fonc­tion proche de la sanc­tion ou de « dommages-inté­rêts puni­tifs », fonc­tion qu’il exclut.

Pour prétendre à des dommages-inté­rêts, la personne concer­née doit prou­ver la viola­tion des dispo­si­tions du RGPD et qu’il a subi un dommage. Il n’existerait alors pas de présomp­tion irré­fra­gable de dommage du fait de la viola­tion d’une dispo­si­tion, même dans le cas où la personne « perd le contrôle » sur ses données. Cette situa­tion n’entraînerait pas, en soi, un dommage indemnisable.

2. Existe-t-il, en sus des prin­cipes d’effectivité et d’équivalence, d’autres exigences du droit de l’UE aux fins de l’évaluation des dommages-intérêts ?

L’Avocat géné­ral ne four­nit pas une réponse complète à la ques­tion. Il conclut que les prin­cipes d’effectivité et d’équivalence « ne jouent ici pas de rôle perti­nent » pour l’art. 82 RGPD. Il liste diffé­rents méca­nismes de répa­ra­tion pouvant être dispo­nibles dans les systèmes juri­diques des États membres. Il mentionne notam­ment une répa­ra­tion pure­ment symbo­lique octroyée en addi­tion de la consta­ta­tion d’un acte illi­cite contre les droits d’un requérant.

3. L’octroi de dommages-inté­rêts au titre de dommage moral est-il subor­donné à l’existence d’une viola­tion du droit ayant au moins un certain poids et allant au-delà du mécon­ten­te­ment suscité par la viola­tion du droit ?

Cette dernière ques­tion préju­di­cielle vise à déter­mi­ner en pratique quel serait le seuil mini­mal de réac­tion de la personne lésée, en deçà duquel elle ne serait pas indem­ni­sée. L’Avocat géné­ral relève  de manière géné­rale que :

« toute viola­tion d’une règle rela­tive à la protec­tion des données à carac­tère person­nel entraî­nera une réac­tion néga­tive de la personne concernée ».

Partant, une répa­ra­tion fondée sur un « simple senti­ment de désa­gré­ment » face au non-respect de la loi par autrui pour­rait aisé­ment être confon­due avec une répa­ra­tion sans dommage.

L’avocat géné­ral distingue entre un dommage moral indem­ni­sable et « d’autres incon­vé­nients résul­tant du non-respect de la léga­lité » qui, en raison de leur faible impor­tance, n’ouvriraient pas néces­sai­re­ment droit à réparation.

Cependant, l’avocat géné­ral relève que la fron­tière entre un « simple mécon­ten­te­ment » (non indem­ni­sable) et de véri­tables dommages moraux (indem­ni­sables) est ténue et qu’il est diffi­cile de les déli­mi­ter abstrai­te­ment. Il conclut

« qu’il appar­tient aux juri­dic­tions natio­nales de déter­mi­ner quand (…) la sensa­tion subjec­tive de désa­gré­ment peut être consi­dé­rée, dans chaque cas, comme un préju­dice moral ».

Conclusion

L’avocat géné­ral propose donc à la CJUE de répondre à la Cour suprême autri­chienne que la simple viola­tion d’une dispo­si­tion du RGPD ne suffit pas en soi pour allouer des dommages-inté­rêts, si elle ne s’accompagne pas d’un dommage maté­riel ou moral corres­pon­dant. De surcroît, il recom­mande de lais­ser les juri­dic­tions natio­nales déter­mi­ner elles-mêmes quand la sensa­tion subjec­tive de désa­gré­ment peut être consi­dé­rée comme un dommage moral.

Ces conclu­sions ont déjà fait l’objet de vives critiques, notam­ment de la part d’entités de défenses des inté­rêts des consom­ma­teurs et utili­sa­teurs du web, comme None Of Your Business (l’association de Max Schrems). Ces critiques relèvent que mettre en place un seuil de ce qui consti­tue­rait ou non un dommage moral répa­rable selon l’art. 82 RGPD risque de limi­ter exces­si­ve­ment ce droit. Une telle inter­pré­ta­tion irait même à l’encontre du RGPD qui n’en prévoit pas expli­ci­te­ment. Le consi­dé­rant 146 RGPD prône au contraire une inter­pré­ta­tion du dommage au sens large et une répa­ra­tion complète et effec­tive pour le dommage subit.

Pour rappel, les conclu­sions de l’avocat géné­ral ne lient pas la déci­sion de la CJUE. Le dernier mot revient désor­mais à la Cour qui peut déci­der la mise en place d’un tel seuil ou non. Une telle mise en place aura en effet certains avan­tages tels qu’un cadre déli­mité d’action et d’interprétation. Toutefois, il faudra veiller à ne pas priver le droit à la répa­ra­tion du dommage moral de son essence.

En droit suisse, la nLPD ne prévoit pas de droit à la répa­ra­tion d’un dommage moral comme l’art. 82 du RGPD. Le légis­la­teur n’a pas non plus modi­fié la notion de dommage ou fixé de seuil à partir duquel un tel droit serait ouvert (cf. www​.swiss​pri​vacy​.law/​123). Une personne se sentant lésée par un trai­te­ment de données en viola­tion de la nLPD devra alors user des moyens répa­ra­teurs géné­raux du droit suisse.