Conclusions de l’avocat géné­ral M. Giovanni Pitruzzella du 27 avril 2023, Affaire de la Cour de justice de l’Union euro­péenne (CJUE) C‑340/​21, VB c. Natsionalna agent­sia za prihodite 

Le 27 avril 2023, l’avocat géné­ral Pitruzzella rend ses conclu­sions dans l’affaire C‑340/​21. Les faits concernent l’agence natio­nale des recettes publiques bulgare (Natsionalna agent­sia za priho­dite, NAP), qui subit une cybe­rat­taque à la suite de laquelle des données person­nelles en matière de fisca­lité et d’assurances sociales se retrouvent publiées sur Internet.

Parmi les millions d’individus touchés, une personne concer­née saisit le tribu­nal admi­nis­tra­tif de la ville de Sofia (Administratibven sad Sofia-grad, ASSG) allé­guant que la NAP a violé son devoir de garan­tir un niveau de sécu­rité appro­prié lors du trai­te­ment de ses données person­nelles. Elle n’aurait pas mis en place des mesures tech­niques et orga­ni­sa­tion­nelles (MTO) appro­priées, au sens des art. 24 et 32 RGPD. Elle estime de plus avoir subi un préju­dice moral, sous la forme d’inquiétudes et de craintes liées à une éven­tuelle future utili­sa­tion abusive de ses données person­nelles rendues publiques.

L’ASSG rejette le recours affir­mant que la diffu­sion des données n’est pas impu­table à la NAP, qu’il revient à la recou­rante de prou­ver le carac­tère inap­pro­prié des MTO adop­tées et qu’aucun préju­dice moral indem­ni­sable ne découle de la situation.

La Cour suprême admi­nis­tra­tive (Varhoven admi­nis­tra­ti­ven sad) est saisie d’un pour­voi en cassa­tion. Cette dernière saisit la CJUE et lui pose six ques­tions préju­di­cielles visant l’interprétation du RGPD.

1. Les mesures tech­niques et orga­ni­sa­tion­nelles sont-elles auto­ma­ti­que­ment inap­pro­priées en cas de viola­tion de données ?

Le respon­sable du trai­te­ment possède une certaine marge de manœuvre dans le choix des MTO, dans le cadre des critères établis aux art. 24 et 32 RGPD. Plusieurs critères doivent être pris en compte et une balance entre les inté­rêts de la personne concer­née et les inté­rêts du respon­sable du trai­te­ment doit être faite.

En parti­cu­lier, le critère de l’avancée tech­no­lo­gique prévu à l’art. 32 par. 1 RGPD indique que le respon­sable de trai­te­ment n’est pas tenu d’aller au-delà de ce qui est raison­na­ble­ment possible au moment de l’adoption des MTO.

L’objectif du RGPD n’est en effet pas d’exiger le risque « zéro ». Un tel niveau serait impos­sible à atteindre au vu de l’évolution constante des outils des cyber­cri­mi­nels. De même, le carac­tère appro­prié des MTO peut évoluer dans le temps.

La mention de mesures permet­tant le réta­blis­se­ment de la dispo­ni­bi­lité ou de l’accès des données en cas de viola­tion de l’art. 32 par. 1 let. c RGPD réaf­firme que le légis­la­teur envi­sage la possi­bi­lité d’une viola­tion, sans pour autant que celle-ci ne remette en cause le carac­tère appro­prié des MTO mises en place par le respon­sable de trai­te­ment. Une viola­tion ne saurait ainsi direc­te­ment suppo­ser que les MTO sont inappropriées.

2. Sur quelles bases le carac­tère appro­prié des mesures tech­niques et orga­ni­sa­tion­nelles doit-il être analysé ?

Une approche in concreto est préco­ni­sée par l’avocat géné­ral. En effet, l’analyse doit porter sur le contenu des mesures, sur leur appli­ca­tion ainsi que sur leur effectivité.

Le contenu des mesures fait réfé­rence à ce qui est inclus ou prévu dans les mesures en termes de poli­tiques, règles, procé­dures ou dispo­si­tifs. Leur appli­ca­tion concerne la manière dont les mesures sont mises en œuvre dans la pratique. Il est impor­tant d’exa­mi­ner si les mesures sont effec­ti­ve­ment mises en place confor­mé­ment à ce qui a été défini et si elles sont appli­quées de manière cohé­rente. Finalement, en ce qui concerne leur effec­ti­vité, ce critère se réfère aux résul­tats et à l’ef­fi­ca­cité réelle des mesures mises en place. Il est néces­saire de déter­mi­ner si les mesures atteignent les objec­tifs fixés, s’ils sont effi­caces pour préve­nir les problèmes de sécurité.

3. Sur qui repose le fardeau de la preuve du carac­tère appro­prié des mesures tech­niques et organisationnelles ?

Pour répondre à cette ques­tion, il faut oppo­ser le prin­cipe d’accoun­ta­bi­lity (terme traduit en « respon­sa­bi­lité » dans le texte offi­ciel du RGPD, qui cepen­dant ne permet pas, à mon sens, d’englober la signi­fi­ca­tion donnée en anglais)  et la charge de la preuve de celui ou celle qui intente une action en répa­ra­tion sur la base de l’art. 82 RGPD.

En effet, sur la base de l’art. 82 RGPD, la requé­rante doit pouvoir prou­ver qu’une viola­tion du règle­ment a eu lieu, qu’un préju­dice ait été subi et qu’un lien de causa­lité existe entre les deux. L’avocat géné­ral précise cepen­dant que la personne concer­née n’est pas tenue de démon­trer le carac­tère appro­prié des MTO pour qu’une viola­tion puisse être rete­nue. En effet, le respon­sable de trai­te­ment est plus à même d’apporter des preuves sur le carac­tère appro­prié des MTO qu’il a mis en place. Cela s’explique notam­ment par ses connais­sances tech­niques et d’éventuels inté­rêts prépon­dé­rants à ne pas révé­ler des secrets profes­sion­nels si le fardeau était inversé en faveur de la requérante.

De plus, avec le RGPD, l’intention du légis­la­teur euro­péen était préci­sé­ment de conso­li­der les droits des personnes concer­nées, ce qui serait mis à mal si le fardeau de la preuve repo­sait unique­ment sur la personne atteinte dans sa personnalité.

4. Une exper­tise judi­ciaire suffit-elle comme moyen de preuve ?

La ques­tion n’étant pas réglée par le RGPD, il faut s’en remettre au prin­cipe de l’autonomie procé­du­rale des États membres pour le choix des moyens de preuve.

Dans ce cadre, les prin­cipes d’équivalence et d’effectivité doivent être respec­tés. Ceux-ci requièrent respec­ti­ve­ment le main­tien d’un même niveau de protec­tion équi­valent à celui prévu au niveau natio­nal et le fait de ne pas entra­ver l’exécution des droits confé­rés par le droit communautaire.

5. La respon­sa­bi­lité peut-elle être impu­tée au respon­sable de trai­te­ment lorsque la personne à l’origine de la viola­tion de données n’est pas un employé ?

La NAP affirme qu’aucune respon­sa­bi­lité ne peut lui être impu­tée, car la personne à l’origine de la publi­ca­tion des données sur Internet n’est pas une personne qu’elle emploie.

Le RGPD ne prévoyant pas d’exonération auto­ma­tique à ce sujet ni de condi­tions y rela­tives, le fardeau de la preuve est renversé. Il revient au respon­sable de trai­te­ment de four­nir la preuve libé­ra­toire en établis­sant que le dommage ne peut lui être impu­table. De plus, le terme « nulle­ment » utilisé à l’art. 82 par. 3 RGPD suppose un niveau de preuve élevé.

Le contrôle exercé ou non sur la personne à l’origine de la viola­tion ne permet pas d’exclure la respon­sa­bi­lité du respon­sable de trai­te­ment. En effet, la viola­tion pour­rait être impu­tée au respon­sable de trai­te­ment lors d’une négli­gence de sa part, notam­ment si les MTO mises en place sont insuffisantes.

6. La crainte d’une utili­sa­tion abusive future consti­tue-t-elle un préju­dice moral donnant droit à réparation ?

La répa­ra­tion du dommage tel que prévu à l’art. 82 RGPD vise le réta­blis­se­ment de la situa­tion juri­dique néga­ti­ve­ment impac­tée par la viola­tion. Le dommage n’étant pas défini, une inter­pré­ta­tion large permet d’inclure le dommage moral (cf. https://​swiss​pri​vacy​.law/​1​81/).

Une distinc­tion est faite ici entre un incon­vé­nient résul­tant du non-respect de la loi par le respon­sable de trai­te­ment et un préju­dice moral réel. L’avocat géné­ral est d’avis qu’il revient aux juri­dic­tions natio­nales de déter­mi­ner la limite entre les deux.

Un « incon­vé­nient » ne donne pas de droit à répa­ra­tion en raison de sa faible impor­tance et vise des cas dans lesquels la personne concer­née ressent un désa­gré­ment ou une réac­tion néga­tive face à une viola­tion du droit, sans pour autant consti­tuer un préju­dice réparable.

Un « préju­dice moral réel » est quant à lui indem­ni­sable, dans la mesure où des éléments concrets permettent de démon­trer un préju­dice émotion­nel réel et certain pour la personne concer­née. À ce titre, on prend notam­ment en compte les effets sur l’intimité physique et psychique, la vie rela­tion­nelle de la personne concer­née, la nature des données concer­nées et l’importance de celles-ci sur la vie de la personne concer­née. La percep­tion de la société face à des viola­tions de données person­nelles peut égale­ment consti­tuer un indice permet­tant de déter­mi­ner si un préju­dice a été subi.

Conclusion

Il ressort des conclu­sions de l’avocat géné­ral que les MTO ne peuvent pas garan­tir un niveau de protec­tion absolu empê­chant toute viola­tion de données personnelles.

En pratique, des normes inter­na­tio­nales telles que les « ISO » peuvent être utili­sées pour démon­trer le carac­tère appro­prié des MTO. Ces normes four­nissent des exigences et des lignes direc­trices, notam­ment sur la mise en place de système de gestion de la sécu­rité de l’information (ISO 27001) ou sur l’établissement de mesures de sécu­rité des infor­ma­tions (ISO 27002).

Pour se confor­mer au prin­cipe d’accoun­ta­bi­lity, il est recom­mandé pour les respon­sables du trai­te­ment de recen­ser les mesures mises en place. Dans ce sens, forma­li­ser les procé­dures à suivre en cas de viola­tion de données permet de four­nir une preuve addi­tion­nelle du niveau appro­prié des MTO.

Le concept d’accoun­ta­bi­lity est certai­ne­ment l’un des plus impor­tants intro­duits par le RGPD. Il s’agit non seule­ment de dire que le respon­sable du trai­te­ment prend des mesures appro­priées, mais égale­ment d’être en mesure de prou­ver qu’il les met en appli­ca­tion. L’accoun­ta­bi­lity est donc béné­fique pour le respon­sable du trai­te­ment, en parti­cu­lier dans une affaire comme celle-ci.