⚠ Les services proposés sur internet sont majoritairement gratuits. Cela n’est pas réellement gratuit, en échange, les clients ou les internautes fournissent leurs données personnelles. Il est nécessaire de protéger ces dernières.
L’importance des données personnelles ne fait qu’augmenter avec l’évolution des nouvelles technologies. L’enjeu de leur protection est crucial pour garantir la vie privée des personnes concernées.
Depuis, cette loi a subi de nombreuses modifications. la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. En effet, des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.
En 2016, le règlement européen sur la protection des données a été adopté. Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce règlement est venu modifier la loi « informatique et libertés » en 2019.
La CNIL définit la donnée personnelle comme
Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques
De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet
Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Aujourd’hui le modèle économique de plusieurs entreprises repose sur la connaissance du client par rapport à ses données personnelles. Le ciblage du consommateur est essentiel pour des services tels que les réseaux sociaux, les sites de vente en ligne ou encore les moteurs de recherche.
Ainsi, toute personne dont les données personnelles font l'objet d'un traitement et qui estime que celui-ci constitue une violation de la réglementation issue du RGPD peut :
- introduire une réclamation auprès de la Cnil (RGPD, art. 77) ;
- intenter un recours juridictionnel contre le responsable du traitement : cette action est en principe engagée devant les juridictions de l'État membre où le responsable du traitement est établi. Mais elle peut également être en principe engagée devant les juridictions de l'État membre au sein duquel la personne concernée a sa résidence habituelle (RGPD, art. 79).
💡 La personne qui subit un dommage moral ou matériel en raison d'une violation des règles issues du RGPD est en droit d'en obtenir l'indemnisation (RGPD, art. 82).
🔎 L'action de groupe a été reconnue en matière de protection des données : elle peut être engagée pour faire cesser des manquements aux dispositions applicables à la protection des données et pour engager la responsabilité de la personne qui a causé ces manquements en vue d'obtenir l'indemnisation des préjudices subis (L. no 78-17, 6 janv. 1978, art. 37).
I. La nécessité de prouver le dommage
La seule violation du RGPD ouvre t-elle droit à réparation ? En d'autres termes, le dommage s'en déduit-il nécessairement, et le lien de causalité avec ?
Ces questions font nécessairement écho, pour un lecteur français, au régime de responsabilité qui contribue à garantir le droit au respect de la vie privée protégé par l'article 9 du code civil : le seul constat d'une atteinte ouvre droit à réparation. L'avocat général Manuel Campos Sánchez-Bordona répond par la négative. Le dommage ne peut être présumé, et la réparation due sans que la preuve en soit rapportée sauf à transformer l'esprit de l'article 82.1 et à permettre l'octroi de dommages et intérêts punitifs.
II. L'absence de présomption de dommage
L'idée qu'une simple violation du RGPD ferait présumer l'existence d'un dommage tient à ce qu'elle doit s'analyser comme une perte de contrôle de la personne concernée sur ses données, laquelle est visée comme un risque (RGPD, consid.75) ou une conséquence de la violation des données (RGPD, consid.85). Certes, le droit de contrôler ses données tel que mis en musique par le RGPD (consid.7), tout comme le droit fondamental qui le sous-tend (Charte UE, art.8), n'est pas absolu. Mais c'est le règlement qui traduit la mise en balance des intérêts concurrents de sorte que violer le RGPD s 'assimile à une violation du droit fondamental à la protection des données.
Les termes de l'article 82.1 ne posent pas de véritable règle probatoire. D'ailleurs, l'avocat général procède par comparaison, à défaut d'argument littéral probant. Lorsque le droit de l'Union prévoit un droit à réparation automatiquement déduit d’une violation des règles qu'il pose, il le prévoit explicitement. L'argument contextuel n'est guère plus convaincant, tout particulièrement en ce qu'il décorrèle l'exercice des droits de contrôle, comme le droit à l'effacement, de la preuve préalable d'un dommage. Ensuite, l'avocat général s 'attache à démontrer que le RGPD n'a pas « pour objectif d'attribuer à la personne concernée le contrôle de ses données comme une valeur en soi » (pt4).
L'affirmation est maladroite, voire contre-productive au regard de la construction d'ensemble du RGPD et de son interprétation progressiste par la Cour de justice et, surtout, peu utile à la démonstration. Que la maîtrise de ses données soit effectivement une valeur protégée n'écarte pas ipso facto la nécessité de rapporter la preuve du préjudice allégué. Quant à l'équilibre entre la protection des personnes physiques et la libre circulation des données, il faut se garder de les mettre au même plan pour relativiser les droits des personnes concernées. Ce serait méconnaître le RGPD qui lui-même fonde la libre circulation sur la protection des personnes physiques, laquelle est première (RGPD, art.1).
En somme, le résultat de cette démonstration ne peut être approuvé. Les motifs ne le justifient guère. Et le résultat amoindrit la protection du droit fondamental des personnes concernées. Le refus des dommages et intérêts punitifs, question corrélée à celle de l'indemnisation automatique de toute violation, s 'avère de meilleure facture.
III. Le refus de dommages et intérêts punitifs
Que la seule violation autorise le juge à octroyer des dommages et intérêts reviendrait à leur donner une fonction de sanction. L'idée n'est pas totalement saugrenue dans un système qui repose non seulement sur le public enforcement, par la saisine des autorités de contrôle (RGPD, art.77), et le private enforcement par la saisine, individuelle (RGPD, art.79) ou collective (RGPD, art.80), des juridictions.
Si le droit de l'Union ne s'oppose pas, par principe, aux dommages et intérêts punitifs, leur prononcé est généralement admis par les textes de droit dérivé pour remplir une fonction dissuasive. Tel n'est pas le cas dans l'article 82 du RGPD. Celui-ci a été conçu, comme l'avocat général le relève à partir de l'historique de la disposition, pour assurer la réparation du préjudice et prévenir les dommages futurs. Il vise à compenser le déséquilibre qui a résulté de la violation pour la situation de la personne concernée (RGPD, consid.146).
La fonction de sanction n'appartient qu'à l'autorité de contrôle, compétente pour prononcer des amendes administratives (RGPD, art.83) laquelle n'a d'ailleurs pas pour mission de réparer le préjudice subi par la personne qui l'a saisie. Donner au juge la possibilité d'ordonner des dommages et intérêts punitifs ferait « double emploi » (pt 49 des concl. Discutées), voire vider la saisine des autorités de contrôle de leur intérêt et nuire à l'activité de traitement. À quoi pourrait s 'ajouter qu'imposer une sanction au cas particulier pourrait manquer à la recherche d’une protection efficace s 'agissant de problématiques systémiques ou structurelles quasi inhérente à l'activité de traitement et pourrait susciter quelques complications supplémentaires en cas de saisines parallèles rendant nécessaires l'application du principe ne bis in idem.
L'avocat général fait preuve d'une grande prudence. Il paraît craindre les conséquences d'actions en responsabilité civile facilitées sur le terrain probatoire pour les responsables de traitement, au détriment de la recherche d’une protection effective et d'un niveau élevé (RGPD, consid. 10 et 11). Ses propositions de réponses aux questions relatives aux règles de réparation le confirment.
IV. Les règles de réparation
Les deuxième et troisième questions préjudicielles portent sur les exigences applicables aux mesures de réparation et aux conditions minimales pour l’octroi de dommages et intérêts au titre d’un préjudice moral.
A. Les exigences relatives aux mesures de réparation
La juridiction de renvoi cherche à savoir s 'il convenait de compléter les principes d'équivalence et d'effectivité par d'autres exigences du droit de l'Union. La prémisse de cette question est fausse. Elle suppose que joue l'autonomie procédurale des États membres. Le régime responsabilité du fait de la violation du RGPD est autonome et uniformisé. En ce sens, le considérant 146 du RGPD prescrit une réparation qui soit complète et effective. Le texte demeure sans précision sur les mesures de réparation qui peuvent être ordonnées par le juge (réparation par équivalent ou en nature, réparation symbolique, etc.). Toutefois, l'avocat général présente ce régime comme harmonisé. Et les mesures de réparation de dépendre du droit national du juge saisi, sans que le cadre méthodologique ne soit clairement établi (autonomie procédurale, renvoi tacite au droit national).
La solution proposée n'est guère satisfaisante. D'abord, ces mesures sont désolidarisées du régime de responsabilité, ce qui est une occasion manquée de construire un ensemble législatif présumé par les règles uniformes existantes et l'absence de renvoi explicite au droit national. Il ne s 'agit pas d'écarter tout rôle du droit national, mais de le faire intervenir pour limiter les mesures susceptibles d'être adoptées, et non les définir.
Pour comparaison, en droit international privé de l'Union, les mesures de réparation susceptibles d'être ordonnées relèvent du domaine du droit substantiel désigné applicable à l'obligation extracontractuelle, « dans les limites des pouvoirs conférés au tribunal par le droit procédural de l'État dont il relève » (art.15, d, du règl. (CE) n° 864/2007 du Parlement européen et du Conseil du 11 juill. 2007 sur la loi applicable aux obligations non contractuelles [Rome II]). Ensuite, cela ne manquera d'encourager le forum shopping permis par l'option de compétence ouverte à la personne concernée pour exercer son droit à un recours juridictionnel effectif (RGPD, art.79. 2) en fonction des mesures qui peuvent être ordonnées par les juges des différents États membres.
B. Les conditions minimales d'octroi de dommages et intérêts
La juridiction de renvoi demande si l'octroi de dommages et intérêts au titre d’un préjudice moral est subordonné à l'existence d’une violation d’une gravité minimale dont les conséquences dépassent le simple mécontentement. Sur ce point, l'avocat général est à juste titre dépourvu. Difficile de faire parler les motifs ou dispositifs du RGPD autrement qu'en appliquant à l'article 82. 1 du RGPD l'adage ubi lex non distinguit. Pourtant, les conclusions appellent à distinguer suivant l'adage de minimis non curat praetor. Le désagrément ou le mécontentement ne sont pas suffisants pour ouvrir droit à réparation. Ces sentiments ne sont pas pour autant sans défouloirs, considérant la possibilité de saisir les autorités de contrôle.
La solution proposée n'est pas acceptable, d'autant qu'elle contredit partiellement la compatibilité avec le droit de l'Union des réparations symboliques (concl., pt 92) et le principe de réparation complète et effective (RGPD, consid.146). Elle néglige encore la gravité du comportement en cause (traitement illicite de catégories particulières de données). Par ailleurs, l'intensité du préjudice moral reste difficile à démontrer ; la frontière entre le minime et le suffisant pour déclencher la réparation le sera d'autant plus. Dans le prolongement, la solution proposée réduit considérablement la portée et l'intérêt du private enforcement alors que, au-delà des considérations économiques, sont en jeu des considérations fondamentales, celle du respect de l'article 8 de la Charte des droits fondamentaux de l'Union européenne tel que mis en œuvre par le RGPD (comp. avec les débats suscités par la condition de recevabilité tenant au préjudice important devant la CEDH).
Alors qu'ils ont pris le risque d'une activité par elle-même attentatoire aux droits fondamentaux, l'avocat général entend épargner aux responsables de traitement d'avoir à se défendre dans le prétoire contre des actions qui n'auront qu'une portée symbolique compte tenu du caractère minime de l'éventuel dommage subi. Ces actions, qui devraient rester rares, à considérer leur bilan coût-avantage, devraient se reporter devant les autorités de contrôle qui ont le mérite de pouvoir prononcer des amendes. C'est jeter le voile sur leur manque de moyens ou de volonté.
En somme, deux défauts majeurs émaillent ces conclusions. Tout d'abord, elles manquent l'occasion de dessiner un régime de responsabilité autonome par principe, pourvu, par exception, de limites tenant aux règles procédurales nationales. Ensuite, elles sont marquées par une survalorisation des intérêts des responsables de traitement, dans un contexte peu approprié, le traitement de données relatives aux affinités politiques, au regard de l'enjeu stratégique qui s ' y attache dans nos démocraties surexposées aux manipulations des scrutins. Gageons que le volontarisme de la Cour de justice de l'Union européenne en matière de protection des données saura imprimer à sa réponse un esprit plus conforme à la recherche d’une protection effective contre les traitements de données.
Sources :
Concl. de l'avocat général Manuel Campos Sánchez-Bordona (https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62021CC0300)
Ludovic Pailler, Professeur agrégé de droit privé et sciences criminelles Centre de recherche sur le Droit international privé (EDIEC – EA4185), Université Jean Moulin Lyon III
Dossier très complet et informatif