La Cour d’appel d’Oldenburg rejette les demandes d’indemnisation en lien avec la fuite de données Facebook
La Cour d’appel (OLG) d’Oldenburg a, dans plusieurs procédures d’appel parallèles, rejeté les demandes d’indemnisation de la part d’utilisateurs à l’encontre de la plateforme Facebook, représentée par Meta Platforms Ireland Limited (arrêts du 25.04.2024, n° 13 U 59/23, 13 U 79/23 et 13 U 60/23). Le tribunal a ainsi précisé que les violations présumées de la protection des données, survenues à la suite de la fuite de données Facebook, ne donnent pas nécessairement droit à une compensation financière selon l’art. 82 du RGPD.
Contexte : ampleur et conséquences de la fuite de données
En avril 2021, il a été révélé qu’une grande quantité de données personnelles d’utilisateurs Facebook – dont des noms, numéros de téléphone et autres informations de profil – avait été rendue accessible publiquement sur Internet sans consentement. Selon les personnes concernées, cette divulgation résultait d’une interface technique (« Contact Importer ») permettant à des attaquants de collecter automatiquement les données.
Questions juridiques centrales dans la procédure
Critères d’examen du tribunal
Les demandeurs ont fondé leurs prétentions en indemnisation principalement sur l’art. 82 du Règlement général sur la protection des données (RGPD), lequel permet d’exiger un dédommagement auprès des responsables du traitement en cas de dommages causés par une violation de la législation sur la protection des données. La Cour d’appel d’Oldenburg a désormais précisé en appel les exigences nécessaires pour prouver un préjudice moral dépassant la simple contrariété ou gêne.
Nécessité d’un préjudice moral mesurable
Le tribunal a souligné que les demandeurs concernés n’avaient pas suffisamment démontré en quoi un dommage immatériel concret et individuel leur aurait été causé. Il ne suffit pas d’invoquer de manière générale un malaise concernant la divulgation de ses données personnelles. Une atteinte substantielle et personnelle doit, au contraire, être démontrée de manière plausible et compréhensible. La simple possibilité abstraite d’un usage abusif, telle que le « spam téléphonique » ou le phishing, ne suffit pas.
Aucune « automaticité » dans l’indemnisation des préjudices moraux
La Cour d’appel n’a pas suivi l’opinion selon laquelle toute violation de la protection des données entraînerait automatiquement un préjudice moral au sens de l’art. 82 RGPD. Elle a souligné le principe du droit européen selon lequel la seule violation des dispositions relatives à la protection des données ne donne pas en soi droit à réparation – il est nécessaire d’apporter la preuve individuelle d’un dommage effectivement survenu.
Portée de la décision pour les procédures futures
Les arrêts de la Cour d’appel d’Oldenburg illustrent les exigences strictes requises pour justifier des demandes d’indemnisation en réparation d’un préjudice moral à la suite de violations de la protection des données. Selon la chambre, le simple fait d’atteindre à la sphère privée ou la possibilité vague d’éventuelles nuisances ne suffit pas à faire valoir une demande d’indemnisation.
Ce faisant, la Cour d’appel d’Oldenburg s’inscrit dans une jurisprudence de plus en plus consolidée qui exige des allégations substantielles et au cas par cas. Cette décision renforce la clarté juridique en matière d’indemnisation pour préjudices moraux résultant de violations de la protection des données, tant pour les exploitants de plateformes que pour les personnes concernées.
Considérations pratiques et perspectives
Les affaires récemment tranchées soulignent l’importance croissante des aspects procéduraux dans les réclamations massives fondées sur le RGPD. Il reste particulièrement incertain de savoir comment la Cour de justice de l’Union européenne précisera dans les affaires pendantes (par ex. C-340/21) le seuil applicable aux demandes d’indemnisation. Tant qu’une position claire au niveau européen n’est pas arrêtée, on peut s’attendre à des divergences persistantes dans la jurisprudence nationale.
Conclusion
La décision de la Cour d’appel d’Oldenburg confirme que les personnes concernées doivent apporter des allégations concrètes et individualisées quant aux préjudices moraux effectivement subis après une violation des données personnelles. La seule crainte liée à la divulgation de données personnelles ou la simple possibilité générale d’un usage abusif n’est pas suffisante. Reste à voir si une décision de la CJUE pourrait fondamentalement modifier cette situation.
Les entreprises, les particuliers et les investisseurs sont régulièrement confrontés à des questions complexes liées à la protection des données personnelles, à la défense ou à la revendication de droits afférents. Dans l’évaluation et la qualification de telles situations relevant du droit de la protection des données, d’autres aspects juridiques peuvent également intervenir. Pour ces questions, les Rechtsanwalt de MTR Legal se tiennent volontiers à votre disposition.
