Accéder au contenu principal

CJUE : présomption de faute du responsable du traitement pour l'accès illicite de tiers à des données personnelles

L’accès illicite de la part de tiers à des données à caractère personnel implique la responsabilité pour faute présumée du responsable du traitement et peut donner lieu à un dommage moral réparable.La Cour suprême administrative bulgare a posé à la Cour de justice de l'Union européenne plusieurs questions préjudicielles portant sur l’interprétation du règlement général sur la protection des données (règlement n° 2016/679 du 27 avril 2016 - RGPD) visant à faire préciser les conditions de réparation du préjudice moral invoqué par une personne dont les données à caractère personnel, en possession d’une agence publique, ont fait l’objet d’une publication sur Internet à la suite d’une attaque de hackers.

Dans ses conclusions du 27 avril 2023 (affaire C-340/21), l’avocat général Giovanni Pitruzzella précise que l’accès illicite de la part de tiers à des données à caractère personnel implique la responsabilité pour faute présumée du responsable du traitement et peut donner lieu à un dommage moral réparable. En premier lieu, l’avocat général estime que la survenance d’une "violation des données à caractère personnel" n’est pas en soi suffisante pour conclure que les mesures techniques et organisationnelles appliquées par le responsable du traitement n’étaient pas "appropriées". En deuxième lieu, l’avocat général précise que, lors de la vérification du caractère approprié des mesures, la juridiction nationale doit effectuer un contrôle qui s’étend à l’analyse concrète tant du contenu de ces mesures que de la manière dont elles ont été appliquées et de leurs effets pratiques. Le contrôle juridictionnel devra tenir compte, par conséquent, de tous les facteurs contenus dans le RGPD.Parmi ceux-ci, l’adoption de codes de conduite ou de systèmes de certification peut fournir un élément utile d’appréciation aux fins de la preuve à apporter, étant précisé que le responsable du traitement a la charge de prouver qu’il a adopté concrètement les mesures prévues par le code de conduite, alors que la certification constitue en soi la preuve de la conformité au RGPD des traitements effectués. Puisque les mesures doivent être réexaminées et actualisées si nécessaire, la juridiction devra apprécier également cette circonstance. En troisième lieu, l’avocat général précise que la charge de la preuve du caractère approprié des mesures pèse sur le responsable du traitement. En vertu du principe de l’autonomie procédurale, il appartient à l’ordre juridique interne de chaque Etat membre de définir les méthodes de preuve admissibles et leur valeur probante, y compris les mesures d’instruction. En quatrième lieu, le fait que la violation du RGPD ait été commise par un tiers ne constitue pas en soi une cause d’exonération de responsabilité pour le responsable du traitement. Pour être exonéré de sa responsabilité, le responsable du traitement doit démontrer, avec un niveau de preuve élevé, que le fait dommageable ne lui est nullement imputable (régime de responsabilité aggravée pour faute présumée, donc nécessité pour le responsable du traitement d'apporter une preuve libératoire). Enfin, selon l’avocat général, le préjudice consistant dans la crainte d’une utilisation potentielle abusive future de ses données à caractère personnel, dont la personne concernée a démontré l’existence, peut constituer un dommage moral ouvrant droit à réparation, à la condition qu’il s’agisse d’un dommage émotionnel réel et certain, et non d’un simple désagrément ou inconfort.