Autres branches du droit

La simple violation du RGPD ne fonde pas un droit à réparation

Dans un arrĂŞt du 4 mai 2023, la Cour Ă©nonce, en premier lieu, que le droit Ă  rĂ©paration prĂ©vu par le RGPD est subordonnĂ© de manière univoque Ă  trois conditions cumulatives :

  1. une violation du RGPD,
  2. un dommage matériel ou moral résultant de cette violation
  3. et un lien de causalité entre le dommage et la violation.

Partant, toute violation du RGPD n’ouvre pas, Ă  elle seule, le droit Ă  rĂ©paration. 

En deuxième lieu, la Cour constate que le droit Ă  rĂ©paration n’est pas rĂ©servĂ© aux dommages moraux atteignant un certain seuil de gravitĂ©. Le RGPD ne mentionne pas une telle exigence et une telle restriction contredirait la conception large des notions de « dommage » ou de « prĂ©judice », retenue par le lĂ©gislateur de l’Union.

S’agissant, en troisième lieu, de règles relatives Ă  l’évaluation des dommages-intĂ©rĂŞts, la Cour relève que le RGPD ne contient pas de dispositions ayant un tel objet. Il appartient donc Ă  l’ordre juridique de chaque État membre de fixer les modalitĂ©s des actions destinĂ©es Ă  assurer la sauvegarde des droits que les justiciables tirent Ă  cet Ă©gard du RGPD et, en particulier, les critères permettant de dĂ©terminer l’étendue de la rĂ©paration due dans ce cadre, sous rĂ©serve de respecter les principes d’équivalence et d’effectivitĂ©. Ă€ cet Ă©gard, la Cour souligne la fonction compensatoire du droit Ă  rĂ©paration prĂ©vu par le RGPD et rappelle que cet instrument tend Ă  assurer une rĂ©paration complète et effective pour le dommage subi. 

 CJUE, 4 mai 2023, aff. C-300/21, Ă–sterreichische Post

Le droit d’obtenir une « copie » des donnĂ©es Ă  caractère personnel implique qu’il soit remis Ă  la personne concernĂ©e une reproduction fidèle et intelligible de toutes ces donnĂ©es  

Dans un autre arrêt du 4 mai, la Cour apporte des précisions sur le contenu et l’étendue du droit d’accès de la personne concernée.

Tout d’abord, la Cour considère que le RGPD confère Ă  la personne concernĂ©e le droit d’obtenir une reproduction fidèle de ses donnĂ©es Ă  caractère personnel, entendues dans une acception large, qui font l’objet d’opĂ©rations devant ĂŞtre qualifiĂ©es de traitement effectuĂ© par le responsable de ce traitement.

Ensuite la Cour précise que le terme « copie » ne se rapporte pas à un document en tant que tel, mais aux données à caractère personnel qu’il contient et qui doivent être complètes. La copie doit donc contenir toutes les données à caractère personnel faisant l’objet d’un traitement.

Enfin, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès plein et complet aux donnĂ©es Ă  caractère personnel et, d’autre part, les droits ou libertĂ©s d’autrui, la Cour estime qu’il y a lieu de mettre en balance les droits et libertĂ©s en question. Dans la mesure du possible, il convient de choisir des modalitĂ©s de communication des donnĂ©es Ă  caractère personnel qui ne portent pas atteinte aux droits ou libertĂ©s d’autrui, en tenant compte du fait que ces considĂ©rations ne doivent pas aboutir Ă  refuser toute communication d’informations Ă  la personne concernĂ©e. 

CJUE, 4 mai 2023, aff.  C‑487/21, Ă–sterreichische Datenschutzbehörde et CRIF

Publié le 05/05/2023