Aucune responsabilité de la plateforme de streaming musical pour indemnisation non matérielle après fuite de données – Le jugement du tribunal de Nuremberg-Fürth
Le tribunal de Nuremberg-Fürth a décidé, par jugement du 24 octobre 2023 (réf. 10 O 5225/23), que les utilisateurs concernés d’une plateforme de streaming musical n’ont pas droit à une indemnisation non matérielle suite à une attaque de hacker, selon l’art. 82, paragraphe 1 du RGPD. La décision traite principalement des conditions nécessaires pour obtenir un tel droit suite à des incidents de données et des exigences concernant la démonstration de dommages concrets par les personnes concernées.
Contexte : Cyberattaque et divulgation de données personnelles
Dans le cas sous-jacent, des tiers inconnus ont exploité des failles techniques pour s’introduire dans les systèmes d’une célèbre plateforme de streaming musical et ont accédé à un grand nombre de données personnelles des utilisateurs. Les adresses e-mail et mots de passe étaient notamment concernés – ces derniers ayant été encryptés selon les constats des faits.
Après la révélation de l’incident, l’exploitant de la plateforme a rapidement informé les utilisateurs et les autorités de protection des données compétentes. Les utilisateurs concernés ont par la suite réclamé des dédommagements pour préjudice moral en se fondant sur le RGPD, notamment en invoquant les possibilités potentielles de mésusage de leurs données et l’atteinte à leur droit général à la personnalité qui en découle.
Critères pour les demandes de dommages-intérêts selon l’art. 82 du RGPD
Exigences pour l’existence d’un préjudice
Le tribunal a souligné que le simple accès non autorisé à des données personnelles ne peut pas être considéré en soi comme un préjudice justifiant une responsabilité. Pour prétendre à des dommages-intérêts, un préjudice prouvé et substantiel est nécessaire, allant au-delà d’une situation de risque abstrait.
Le tribunal a notamment exigé une explication claire sur la façon dont le plaignant a subi un préjudice tangible ou une atteinte concrète en raison de l’incident. L’invocation générale de la possibilité d’un abus de données et du risque général d’attaques ultérieures ne satisfait pas aux exigences du RGPD pour établir un dommage non matériel.
Pas d’acceptation automatisée des dommages-intérêts
Le tribunal a souligné également que l’objectif de l’art. 82 RGPD n’est pas de créer systématiquement un droit à indemnisation pour les personnes concernées lors de chaque violation des données. L’accent est mis plutôt sur la compensation des dommages individuels réels. Le seuil pour accepter un dommage non matériel indemnisable est délibérément élevé compte tenu des exigences du droit de l’Union, pour éviter une responsabilité excessive des entités de traitement des données.
Dans le cas concret, le tribunal a estimé que les déclarations du plaignant, selon lesquelles il avait été considérablement inquiété et psychiquement affecté par la fuite de données, n’étaient pas suffisamment concrètes et crédibles. L’argumentation se limitait selon la chambre à des craintes générales, sans lien prouvé avec un préjudice réel constaté.
Responsabilité de l’opérateur de la plateforme et obligations organisationnelles
Mesures de protection techniques et organisationnelles
La décision contient également des déclarations fondamentales concernant la responsabilité de l’exploitant de la plateforme en ce qui concerne les obligations de protection pertinentes. Dans le cas présent, le tribunal a estimé qu’il n’y avait pas eu de violation des réglementations applicables en matière de protection des données. Il a été notamment constaté que les mots de passe avaient été stockés de manière chiffrée et que d’autres mesures techniques et organisationnelles appropriées avaient été mises en œuvre.
Le fait qu’une attaque ait néanmoins réussi n’implique pas automatiquement une faute organisationnelle. Il est à considérer qu’une sécurité absolue des données n’existe pas; en revanche, des précautions appropriées selon l’état de la technique sont déterminantes. La plateforme avait, de plus, pris immédiatement les mesures nécessaires pour combler la vulnérabilité et informer les personnes concernées.
Rôle de l’autorité de protection des données
Il est notable que l’autorité nationale de protection des données compétente, lors d’une vérification parallèle, n’a pas jugé nécessaire de prendre des mesures administratives supplémentaires à l’égard de l’exploitant de la plateforme. Cela souligne, selon la chambre, que l’incident ne constitue pas une violation grave des obligations de protection des données.
Pertinence systématique et directives pour la revendication des droits au titre du RGPD
La jurisprudence du tribunal de Nuremberg-Fürth s’inscrit dans une série croissante de décisions des tribunaux nationaux et européens qui imposent des exigences élevées pour revendiquer des dommages-intérêts non matériels. Ce jugement contribue à objectiver la discussion sur les motifs de responsabilité en cas d’incidents de données et clarifie que la simple implication dans une violation des données ne suffit généralement pas.
Outre l’exigence d’une preuve substantielle d’un préjudice concret, l’obligation pour les responsables de mettre en place des systèmes de sécurité appropriés est confirmée. Le respect rigoureux de ces exigences prend de plus en plus d’importance pour les entreprises comme pour les utilisateurs de plateformes – tant pour la protection des données personnelles que pour les risques potentiels de responsabilité.
Le jugement est, pour autant qu’on le sache, définitif. Aucun changement par une décision d’une cour supérieure n’est actuellement à prévoir. Il reste à voir comment la Cour de justice européenne abordera à l’avenir le degré de présentation nécessaire pour le préjudice non matériel selon l’art. 82 RGPD.
Les incidents de protection des données nécessitent une évaluation juridique minutieuse de la responsabilité et des droits potentiels des personnes concernées. Pour des questions plus approfondies sur la jurisprudence actuelle et les obligations pratiques pour les entreprises, une consultation juridique individuelle en matière de protection des données par des conseillers expérimentés de MTR Legal sous Consultation juridique en matière de protection des données peut offrir des informations complémentaires.
