Les revendications de dommages et intérêts pour violation du RGPD n’existent que si un dommage a effectivement été causé. Cela a été décidé par la CJUE dans un arrêt du 4 mai 2023 (réf. C-300/21).
Les entreprises gèrent de grandes quantités de données personnelles sensibles. Cela impose des exigences élevées en matière de protection des données et les violations du Règlement général sur la protection des données (RGPD) peuvent entraîner de lourdes amendes et des demandes de dommages et intérêts, explique le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille ses clients également en droit informatique et en matière de protection des données.
La Cour de justice de l’Union européenne a maintenant décidé que les demandes de dommages et intérêts pour violations du RGPD ne peuvent exister que lorsqu’un dommage a effectivement été causé. Les juges de Luxembourg n’ont cependant pas placé la barre très haut pour l’entrée en jeu d’un dommage. Une importance du dommage n’est pas une condition.
Devant la CJUE, il s’agissait d’une affaire en provenance d’Autriche. Un homme avait intenté une action en réparation du préjudice immatériel contre la poste autrichienne. La raison était que la poste, à l’aide d’un algorithme et de caractéristiques sociales et démographiques sous-jacentes, avait collecté des informations sur les préférences politiques. Ces données n’ont pas été publiées, mais étaient destinées à des fins de propagande électorale des partis. Cela a révélé une affinité de cet homme avec un certain parti. Cela ne plaisait pas à l’homme. Il a intenté une action en réparation du préjudice immatériel conformément à l’art. 82 RGPD.
La cour suprême autrichienne a soumis l’affaire à la CJUE qui a décidé qu’une simple violation du RGPD ne constitue pas un droit à dédommagement. Le droit à des dommages et intérêts est soumis à trois conditions : premièrement, il doit y avoir une violation du RGPD. De plus, un dommage matériel ou immatériel doit avoir été causé et la violation du RGPD en est la cause. Ainsi, toute violation du RGPD ne conduit pas automatiquement à des demandes de dommages et intérêts.
Cependant, le droit à réparation immatérielle ne dépend pas d’une certaine importance du dommage. Il n’existe pas de cas mineurs. Les critères pour l’évaluation des dommages ne sont pas fixés par le RGPD, c’est aux États membres de l’UE de le faire. Ils doivent cependant veiller à garantir un dédommagement complet et efficace des dommages subis, dit la CJUE.
En matière de gestion des données personnelles, une grande vigilance est requise après la décision de l’UE. Des avocats expérimentés en droit informatique chez MTR Legal Rechtsanwälte conseillent sur les questions de protection des données.
