Accéder au contenu principal

CJUE : cyberattaque et dommage moral

Pour la Cour de justice de l'Union européenne, la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral.A la suite d'une cyberattaque, l’Agence nationale des recettes publiques bulgare (NAP), chargée de l’identification, la sécurisation et le recouvrement des créances publiques, des données à caractère personnel concernant des millions de personnes ont été publiées sur internet.

De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes quant à une utilisation abusive potentielle de leurs données. Saisie de ce litige, la Cour administrative suprême bulgare soumet à la Cour de justice de l'Union européenne (CJUE) plusieurs questions préjudicielles portant sur l’interprétation du RGPD (Règlement 2016/679 du 27 avril 2016 - Règlement général sur la protection des données) à ce sujet. Dans son arrêt rendu le 14 décembre 2023 (affaire C-340/21), la CJUE énonce que : - en cas de divulgation non autorisée de données à caractère personnel ou d’accès non autorisé à de telles données, les juges ne peuvent pas déduire de ce seul fait que les mesures de protection mises en œuvre par le responsable du traitement n’étaient pas appropriées mais doivent examiner le caractère approprié de ces mesures de manière concrète ;- c’est au responsable du traitement qu’il incombe de prouver que les mesures de protection mises en œuvre étaient appropriées ;- dans l’hypothèse où la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données ont été commis par des "tiers" (tels que des cybercriminels), le responsable du traitement peut être tenu d’indemniser les personnes qui ont subi un dommage, sauf s’il parvient à prouver que ce dommage ne lui est nullement imputable .- la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne éprouve à la suite d’une violation du RGPD est susceptible, à elle seule, de constituer un "dommage moral".