RGPD : préjudice moral même pour simple « crainte » d’utilisation abusive de données

C’est en juillet 2019 que l’agence nationale des recettes publiques bulgare était victime d’une intrusion dans son système d’information. Cette cyberattaque avait conduit à la divulgation, sur Internet, de données à caractère personnel relatives à des millions de personnes. 

Elles ont été nombreuses à assigner l’agence en justice, demandant réparation d’un préjudice moral causé par leurs craintes d’éventuelle utilisation malveillante de leurs données. 

C’est la Cour administrative suprême de Bulgarie qui s’est tournée vers la Cour européenne de justice, notamment pour demander des précisions sur les conditions de réparation dudit préjudice moral. Ce 14 décembre 2023, la Cour a rendu son arrêt.

Celui-ci dispose que la seule compromission de données à caractère personnel ne suffit pas à dire si le responsable de traitement concerné avait mis en œuvre des mesures de protection appropriées. 

Dès lors, « le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques ».

Mais c’est au responsable de traitement d’apporter la preuve du caractère approprié des mesures qu’il avait mises en place pour protéger les données. Et une expertise judiciaire « ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant ». 

En outre, le responsable de traitement « ne saurait être exonéré de son obligation de réparer le dommage subi par une personne » : il doit « prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable ».

Qui plus est, la crainte d’une utilisation abusive des données personnelles compromises « est susceptible, à elle seule, de constituer un “dommage moral” ».