Le 4 mai 2023, la CJUE a rendu deux décisions intéressantes concernant les manquements au RGPD.
La première décision (Österreichische Post (C-300/21)) affirme que la simple violation du RGPD ne fonde pas un droit à réparation pour les personnes concernées.
La seconde décision (Bundesrepublik Deutschland (C-60/22)) concerne la notion de « traitement illicite », mais offre l’occasion à la Cour de noter que le non-respect de certaines obligations du RGPD ne violent pas les droits et libertés des personnes concernées.
Affaire Österreichische Post (C-300/21)
Dans son arrêt Österreichische Post (C-300/21) du 4 mai 2023, la CJUE a eu l’occasion d’interpréter l’article 82 « Droit à réparation et responsabilité » du RGPD.
Les faits
Cette affaire concerne un litige entre un citoyen autrichien et la société Österreichische Post, dans laquelle le premier a introduit un recours pour obtenir la réparation du préjudice moral qu’il estime avoir subi en raison du traitement par ladite société, sans son consentement, de données à caractère personnel relatives à ses prétendues affinités politiques.
Plus précisément, la société a procédé par voie d’extrapolation statistique, et au moyen d’un algorithme, à la prédiction de l’affinité politique élevée d’une partie de la population autrichienne – dont le plaignant. Ce dernier considère avoir subi un préjudice moral, en raison de l’existence de ce traitement et que cela a causé chez lui « une grave contrariété, une perte de confiance ainsi qu’un sentiment d’humiliation ».
L’affaire ayant atteint la Cour suprême autrichienne, celle-ci a posé plusieurs questions préjudicielles à la CJUE pour interpréter le RGPD.
La première question posée est la suivante :
« Pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD, est-il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle en soi pour allouer des dommages-intérêts ? »
La CJUE devait donc répondre à la question de savoir si la simple violation des dispositions du RGPD suffit pour conférer un droit à réparation.
La solution
Pour la Cour, la réponse est négative. Elle relève que :
« l’article 82, paragraphe 2, du RGPD, qui précise le régime de responsabilité dont le principe est établi au paragraphe 1 de cet article, reprend les trois conditions nécessaires pour faire naître le droit à réparation, à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée, et un lien de causalité entre ce traitement illicite et ce dommage. »
La Cour se base également sur les considérants :
- n°146 du RGPD, qui évoque le « dommage qu’une personne peut subir du fait d’un traitement effectué en violation du [RGPD]»,
- n°75 qui mentionne que « [d]es risques (…) peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages»
- n°85 qui mentionne qu’une « violation de données à caractère personnel (…) risque (…) de causer (…) des dommages ».
« Peut subir », « susceptible d’entraîner », « risque de causer » autant de formulations diverses qui dénotent bien qu’ « une violation du RGPD n’entraîne pas nécessairement un dommage ».
Et la Cour conclut que « l’article 82, §1 du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation ».
Cet arrêt est à mettre en lumière avec l’arrêt Bundesrepublik Deutschland (C-60/22), rendu le même jour.
Arrêt Bundesrepublik Deutschland (C-60/22)
Dans son arrêt Bundesrepublik Deutschland (C-60/22) du 4 mai 2023, la CJUE a eu l’occasion d’interpréter les articles 5, 17, 18, 26 et 30 du RGPD, pour expliquer la notion de « traitement illicite ».
Les faits
Cette affaire concerne un individu ayant demandé la protection internationale auprès de l’Office fédéral des migrations et des réfugiés d’Allemagne, laquelle lui a été refusée.
L’individu a contesté cette décision devant le tribunal administratif compétent. A cette occasion, l’Office fédéral a transmis le dossier électronique de l’individu – sur lequel il a fondé sa décision de rejet – au tribunal administratif via une boîte postale électronique dédiée.
Mais, le tribunal administratif s’interrogeant de la conformité au RGPD de ces opérations de traitement, il a saisi la Cour de justice de l’Union européenne d’un recours préjudiciel.
Plus précisément, le tribunal administratif s’étonne que l’Office fédéral n’ait pas produit un registre des activités de traitement complet relatif au dossier électronique, malgré sa demande. D’autre part, le tribunal administratif s’émeut qu’aucun accord de responsabilité conjointe n’encadre la procédure de transmission du dossier électronique entre les autorités administratives et les juridictions.
Dans ces conditions, le tribunal administratif a notamment posé à la CJUE la question suivante :
« Le manquement du responsable du traitement à tout ou partie de la responsabilité qui lui incombe conformément à l’article 5 du [RGPD], résultant, par exemple, de l’absence de registre – ou de registre complet – des activités de traitement, au sens de l’article 30 [de ce règlement], ou de l’absence d’accord définissant une procédure conjointe, en application de l’article 26 [dudit règlement], a–t-il pour conséquence que le traitement des données est illicite, au sens de l’article 17, paragraphe 1, sous d), du RGPD et de l’article 18, paragraphe 1, sous b), [de ce règlement], de sorte que la personne concernée dispose d’un droit à l’effacement ou d’un droit à la limitation du traitement ? »
La CJUE devait donc répondre à la question de savoir si la méconnaissance de la tenue du registre du traitement ou de la mise en place d’un accord de responsabilité conjointe conduit à qualifier le traitement réalisé d’illicite.
La solution
Pour la Cour, la réponse est négative.
Elle commence par définir les contours de licéité du traitement, afin de pouvoir ensuite identifier ce que constitue un « traitement illicite » auquel font référence l’article 17 (droit à l’effacement) et l’article 18 (droit à la limitation).
L’article 5 du RGPD – qui pose les « grands » principes de la matière – impose au responsable de traitement de s’assurer du caractère « licite » de son traitement.
Or, la CJUE relève que « la licéité du traitement fait précisément l’objet, ainsi qu’il ressort de son intitulé même, de l’article 6 du RGPD » qui liste les 6 bases légales possibles, « de sorte que, pour qu’il puisse être considéré comme licite, un traitement doit relever de l’un des cas prévus à l’article 6 du RGPD ».
La licéité n’est donc qu’affaire de base légale, ni plus, ni moins.
La Cour analyse ensuite la structure du RGPD (ou son esprit) et note que le législateur distingue ses « principes » de ses « obligations générales », lesquels ne donnent pas lieu au même montant d’amendes administratives.
Elle souligne que :
« l’absence d’un accord déterminant la responsabilité conjointe, en application de l’article 26 du RGPD, ou d’un registre des activités de traitement, au sens de l’article 30 de ce règlement, ne suffit pas à établir, par elle-même, l’existence d’une atteinte au droit fondamental à la protection des données à caractère personnel. En particulier, s’il est vrai que, ainsi qu’il ressort des considérants 79 et 82 de celui-ci, la répartition claire des responsabilités entre les responsables conjoints du traitement et le registre des activités de traitement constituent des moyens d’assurer le respect, par ces responsables, des garanties prévues par ledit règlement pour la protection des droits et libertés des personnes concernées, il n’en demeure pas moins que l’absence d’un tel registre ou d’un tel accord ne démontre pas, en elle-même, que ces droits et ces libertés ont été violés. »
La Cour s’empresse de rappeler que de tels manquements peuvent évidemment être sanctionnés : mesures correctrices exigées par l’autorité de contrôle, dépôt d’une plainte auprès de l’autorité de contrôle ou réparation du dommage éventuellement causé à la personne concernée.
Mais, la mise en lumière de cet arrêt Bundesrepublik Deutschland avec l’arrêt Österreichische Post, tous deux rendus le même jour, laisse à penser qu’un plaignant n’obtiendrait pas nécessairement gain de cause pour des manquements tels que la tenue d’un registre ou l’inexistence d’un accord de responsabilité conjointe, pour lesquels ces droits et libertés n’ont a priori pas été atteints.
Perspectives
Ces décisions apportent des réponses attendues de longue date par les organisations au sujet de la réparation des dommages causés aux personnes concernées. Il restera aux juridictions nationales la difficile tâche d’évaluer le préjudice résultant d’un dommage matériel ou moral consécutif d’une violation du RGPD.
De façon indirecte, et de façon moins attendue, ces décisions pourront aussi permettre de dépassionner certaines négociations contractuelles entre responsable de traitement et sous-traitant.
Il arrive en effet fréquemment qu’un responsable de traitement cherche à imposer à son sous-traitant une obligation de résultat dans le respect du RGPD, assortie d’une faculté de résiliation immédiate du contrat aux torts exclusifs du sous-traitant.
Mais comment parvenir à justifier dorénavant un tel déséquilibre contractuel entre les parties, alors même que la CJUE affirme qu’une simple violation du RGPD n’engage pas nécessairement la responsabilité du responsable de traitement, faute de préjudice pour les personnes concernées ?