Les demandes de dommages et intérêts pour violation du RGPD n’existent que s’il y a effectivement eu un dommage. C’est ce qu’a décidé la CJUE avec l’arrêt du 4 mai 2023 (Réf. C-300/21).
Les entreprises gèrent de grandes quantités de données personnelles sensibles. Cela impose des exigences élevées en matière de protection des données et les violations du Règlement Général sur la Protection des Données (RGPD) peuvent entraîner de lourdes amendes et des demandes de dommages et intérêts, explique le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille également ses clients en droit informatique et en protection des données.
La Cour de justice de l’Union européenne a désormais décidé que les demandes de dommages et intérêts en raison de violations du RGPD n’existent qu’une fois qu’un dommage a effectivement été causé. Les juges au Luxembourg n’ont toutefois pas placé la barre trop haut pour qu’un dommage se produise. Un certain degré de préjudice n’est pas requis.
Devant la CJUE, il s’agissait d’une affaire en provenance d’Autriche. Ici, un homme avait demandé des dommages-intérêts non pécuniaires contre la poste autrichienne. La raison en était que la poste avait utilisé un algorithme et des caractéristiques sociales et démographiques sous-jacentes pour recueillir des informations sur les préférences politiques. Ces données n’ont pas été publiées, mais visaient à des fins de publicité électorale des partis. Cela avait généré pour l’homme une affinité avec un certain parti. Cela n’a pas plu à l’homme. Il a donc demandé des dommages et intérêts non pécuniaires selon l’art. 82 RGPD.
La Cour suprême autrichienne a renvoyé l’affaire à la CJUE qui a décidé qu’une simple violation du RGPD ne constituait pas encore un droit à indemnisation. Le droit à indemnisation est soumis à trois conditions: d’abord, il doit y avoir une violation du RGPD. Ensuite, un dommage matériel ou immatériel doit être survenu, et la violation du RGPD doit en être la cause. Ainsi, toute violation du RGPD ne conduit pas automatiquement à des demandes de dommages et intérêts.
Cependant, le droit à indemnisation pour dommage immatériel ne suppose pas un certain degré d’importance. Il n’existe pas de cas insignifiants. Les critères pour évaluer le dommage ne sont pas fixés par le RGPD, cela relève des États membres de l’UE. Ceux-ci doivent néanmoins veiller à garantir une indemnisation complète et effective du dommage subi, selon la CJUE.
Lors de la gestion des données personnelles, un grand soin est requis après la décision de l’UE. Les avocats expérimentés en droit informatique conseillent chez MTR Legal Rechtsanwälte sur les questions de protection des données.
