La simple violation du RGPD ne fonde pas un droit à réparation
Dans un arrêt du 4 mai 2023, la Cour énonce, en premier lieu, que le droit à réparation prévu par le RGPD est subordonné de manière univoque à trois conditions cumulatives :
- une violation du RGPD,
- un dommage matériel ou moral résultant de cette violation
- et un lien de causalité entre le dommage et la violation.
Partant, toute violation du RGPD n’ouvre pas, à elle seule, le droit à réparation.
En deuxième lieu, la Cour constate que le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité. Le RGPD ne mentionne pas une telle exigence et une telle restriction contredirait la conception large des notions de « dommage » ou de « préjudice », retenue par le législateur de l’Union.
S’agissant, en troisième lieu, de règles relatives à l’évaluation des dommages-intérêts, la Cour relève que le RGPD ne contient pas de dispositions ayant un tel objet. Il appartient donc à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent à cet égard du RGPD et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve de respecter les principes d’équivalence et d’effectivité. À cet égard, la Cour souligne la fonction compensatoire du droit à réparation prévu par le RGPD et rappelle que cet instrument tend à assurer une réparation complète et effective pour le dommage subi.
CJUE, 4 mai 2023, aff. C-300/21, Österreichische Post
Le droit d’obtenir une « copie » des données à caractère personnel implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de toutes ces données
Dans un autre arrêt du 4 mai, la Cour apporte des précisions sur le contenu et l’étendue du droit d’accès de la personne concernée.
Tout d’abord, la Cour considère que le RGPD confère à la personne concernée le droit d’obtenir une reproduction fidèle de ses données à caractère personnel, entendues dans une acception large, qui font l’objet d’opérations devant être qualifiées de traitement effectué par le responsable de ce traitement.
Ensuite la Cour précise que le terme « copie » ne se rapporte pas à un document en tant que tel, mais aux données à caractère personnel qu’il contient et qui doivent être complètes. La copie doit donc contenir toutes les données à caractère personnel faisant l’objet d’un traitement.
Enfin, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès plein et complet aux données à caractère personnel et, d’autre part, les droits ou libertés d’autrui, la Cour estime qu’il y a lieu de mettre en balance les droits et libertés en question. Dans la mesure du possible, il convient de choisir des modalités de communication des données à caractère personnel qui ne portent pas atteinte aux droits ou libertés d’autrui, en tenant compte du fait que ces considérations ne doivent pas aboutir à refuser toute communication d’informations à la personne concernée.
CJUE, 4 mai 2023, aff. C‑487/21, Österreichische Datenschutzbehörde et CRIF