Après une fuite de données, le gestionnaire de fortune Scalable Capital a été condamné par le tribunal de grande instance de Munich I à des dommages et intérêts pour violation du Règlement général sur la protection des données – RGPD.
Les données sont une question de confiance et les clients ont droit à une protection adaptée. Cela s’applique évidemment en particulier lorsqu’il s’agit de données personnelles sensibles. En cas de vol de données, les consommateurs peuvent avoir droit à des dommages et intérêts en vertu du Règlement général sur la protection des données, explique la société d’avocats d’affaires MTR Rechtsanwälte.
Cela est illustré par un jugement du tribunal de grande instance de Munich I concernant Scalable Capital (réf. 31 O 16606/20). En octobre 2020, le courtier en ligne a indiqué qu’une fuite de données s’était produite. Des personnes non autorisées ont ainsi accédé à des données personnelles très sensibles comme l’adresse, l’adresse e-mail, le numéro de compte, l’identifiant fiscal ou les copies de documents d’identité de plus de 33 000 clients. Scalable a reconnu qu’après une attaque de pirates sur un ancien prestataire, des failles de sécurité étaient également apparues dans sa propre zone d’accès et que les pirates avaient ainsi pu accéder aux données.
Le plaignant détenait un compte client chez Scalable Capital, qu’il utilisait pour des investissements en valeurs mobilières et en actions. En tant que victime du vol de données, il a fait valoir des droits à dommages et intérêts. En raison des données volées, il était exposé au risque de vol d’identité, de tentatives d’accès à ses services utilisés et d’autres tentatives de fraude.
La plainte a été couronnée de succès. Le tribunal de Munich a été convaincu que la faille de sécurité aurait pu être évitée. Cependant, Scalable Capital avait omis de prendre les mesures organisationnelles appropriées. Ainsi, les données d’accès pour le prestataire n’ont pas été modifiées après la fin de la relation commerciale. Bien qu’il n’y ait pas eu de pertes matérielles pour le plaignant suite au vol de données, il a néanmoins droit à des dommages-intérêts non matériels de 2 500 euros en vertu de l’article 82, paragraphe 1 du RGPD, en raison du vol de ses données personnelles, selon le tribunal de Munich. En outre, Scalable devra couvrir tous les dommages futurs causés par le vol de données.
Le tribunal de Cologne a également accordé des dommages et intérêts à une victime du vol de données chez Scalable Capital (réf. : 28 O 328/21).
Les jugements montrent que le RGPD constitue une bonne base juridique pour les réclamations de dommages et intérêts en cas de vol de données. Les entreprises devraient donc veiller d’autant plus à bien protéger les données de leurs clients.
Des avocats expérimentés en droit informatique peuvent conseiller.
