Arbeitsgericht Düsseldorf, 05.03.2020 – 9 Ca 6557/​18

Le 5 juin 2018, une personne exerce auprès de son ancien employeur son droit d’ac­cès à ses données person­nelles au sens de l’art. 15 RGPD. L’employeur n’y répond que le 10 décembre 2018 et de manière incom­plète, alors que l’art. 12 par. 3 RGPD prévoit un délai d’un mois pour répondre à cette demande.

Le requé­rant saisit alors l’Arbeitsgericht de Düsseldorf, afin que non seule­ment l’employeur lui donne les infor­ma­tions deman­dées, mais aussi qu’il soit condamné à lui répa­rer le préju­dice moral causé par la réponse tardive et incom­plète. Le présent commen­taire se concentre sur la seconde conclusion.

L’art. 82 par. 1 RGPD prévoit ce qui suit :

« Toute personne ayant subi un dommage maté­riel ou moral du fait d’une viola­tion du présent règle­ment a le droit d’ob­te­nir du respon­sable du trai­te­ment ou du sous-trai­tant répa­ra­tion du préju­dice subi. »

L’art. 82 par. 3 RGPD permet néan­moins au respon­sable de s’exo­né­rer de cette responsabilité :

« Un respon­sable du trai­te­ment ou un sous-trai­tant est exonéré de respon­sa­bi­lité, au titre du para­graphe 2, s’il prouve que le fait qui a provo­qué le dommage ne lui est nulle­ment imputable. »

L’Arbeitsgericht souligne que la réponse tardive et incom­plète consti­tue une viola­tion du RGPD au sens de l’art. 82 par. 1 RGPD. En l’es­pèce, l’employeur n’a invo­qué aucun motif d’exo­né­ra­tion de respon­sa­bi­lité au sens de l’art. 82 par. 3 RGPD. Partant, il doit dédom­ma­ger le requé­rant de son préjudice.

Concernant le préju­dice, l’art. 82 par. 1 RGPD mentionne expres­sé­ment qu’il peut consti­tuer en un « dommage moral » (non-mate­rial damage ; imma­te­riel­ler Schaden). Le consi­dé­rant 75 du RGPD retient une notion large du dommage et donne notam­ment l’exemple des personnes qui pour­raient être empê­chées d’exer­cer le contrôle sur leurs données. De plus, l’art. 8 al. 2 de la Charte des droits fonda­men­taux de l’Union euro­péenne prévoit expres­sé­ment le droit d’ac­cès aux données. L’Arbeitsgericht note que l’am­pleur du préju­dice n’est pas déter­mi­nante pour rete­nir une respon­sa­bi­lité selon l’art. 82 par. 1 RGPD, mais cela est unique­ment pris en compte afin de fixer le montant de la prétention.

Concernant préci­sé­ment l’am­pleur du préju­dice, l’Arbeitsgericht souligne que les viola­tions du RGPD doivent être effec­ti­ve­ment sanc­tion­nées pour que ce règle­ment soit effi­cace, notam­ment en prévoyant un niveau d’in­dem­ni­sa­tion dissua­sif. Les tribu­naux peuvent fonder leur évalua­tion du dommage moral sur l’art. 83 par. 2 RGPD (condi­tions géné­rales pour impo­ser des amendes admi­nis­tra­tives), de sorte que les critères d’éva­lua­tion peuvent inclure, entre autres, la nature, la gravité, la durée de la viola­tion, le degré de faute, les mesures visant à atté­nuer le préju­dice subi par les personnes concer­nées, les viola­tions anté­rieures perti­nentes et les caté­go­ries de données à carac­tère person­nel concer­nées. Il convient égale­ment de prendre en compte les capa­ci­tés finan­cières du respon­sable du trai­te­ment, et non unique­ment l’am­pleur du dommage moral.

En l’es­pèce, la viola­tion a duré plusieurs mois (le temps de l’ab­sence de réponse) et la réponse à la demande d’ac­cès était fina­le­ment incom­plète. Ainsi, l’Arbeitsgericht fixe le dommage à EUR 500.- pour les deux premiers mois de retard, puis à EUR 1’000.- pour chacun des trois mois suivants et, enfin, à EUR 1’000.- le contenu lacu­naire de l’in­for­ma­tion transmise.

Cet arrêt est parti­cu­lier puis­qu’il figure parmi les rares arrêts alle­mands qui admettent l’exis­tence d’un « dommage moral » au sens de l’art. 82 par. 1 RGPD. En effet, le droit alle­mand, comme le droit suisse, connaît une notion du dommage fondée sur la valeur écono­mique (dimi­nu­tion ou non-augmen­ta­tion du patri­moine). L’art. 82 par. 1 RGPD crée ainsi une nouvelle caté­go­rie de dommage répa­rable, dont l’am­pleur est diffi­ci­le­ment quan­ti­fiable. La juris­pru­dence alle­mande semble avoir retenu pour l’ins­tant une approche plutôt restric­tive de cette nouvelle notion, ce qui semble salué par la doctrine (cf. Wybitul Tim, Immaterieller Schadensersatz wegen Datenschutzverstößen – Erste Rechtsprechung der Instanzgerichte, Neue Juristische Wochenschrift, p. 3265 ss).

Pour sa part, la juris­pru­dence anglaise semble suivre une concep­tion plus large (Gulati v MGN Ltd ([2015] EWHC 1482 (Ch), par. 111) :

« While the law is used to awar­ding damages for inju­red feelings, there is no reason in prin­ciple, in my view, why it should not also make an award to reflect infrin­ge­ments of the right itself, if the situa­tion warrants it.  The fact that the loss is not scien­ti­fi­cally calcu­lable is no more a bar to reco­ve­ring damages for “loss of perso­nal auto­nomy” or damage to stan­ding than it is to a damages for distress.  If one has lost “the right to control the disse­mi­na­tion of infor­ma­tion about one’s private life” then I fail to see why that, of itself, should not attract a degree of compen­sa­tion, in an appro­priate case. » 

En droit suisse, la nLPD n’ap­porte aucune modi­fi­ca­tion à la notion de dommage. La réponse tardive ou incom­plète à une requête d’ac­cès ne devrait, en prin­cipe, pas enga­ger la respon­sa­bi­lité civile du respon­sable du trai­te­ment. Néanmoins, le respon­sable du trai­te­ment qui four­nit inten­tion­nel­le­ment des rensei­gne­ments inexacts ou incom­plets à une demande d’ac­cès pourra voir sa respon­sa­bi­lité pénale enga­gée (art. 60 nLPD).