Le 14 décembre 2023, la Cour de justice de l’Union européenne a rendu l’arrêt dans l’affaire Natsionalna agentsia za prihodite (C‑340/21), ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE concernant le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données). La Cour a jugé que la crainte liée à un potentiel usage abusif de données personnelles peut constituer un dommage moral au sens dudit règlement.
Le 15 juillet 2019, la Natsionalna agentsia za prihodite (Agence nationale des recettes publiques, Bulgarie, « NAP ») a subi une cyberattaque, à la suite de laquelle des données personnelles concernant plus de six millions de personnes physiques ont été publiées sur Internet, dont celles de BV. BV a saisi l’Administrativen sad Sofia-grad (Tribunal administratif de la ville de Sofia, Bulgarie) d’un recours en réparation de dommages-intérêts, en vertu de l’article 82 du RGPD ainsi que des dispositions de droit bulgare, et d’un dommage moral, en vertu de l’article 4, point 12, du RGPD. Le tribunal administratif de Sofia a rejeté le recours au motif que l’accès aux données était le résultat d’une attaque informatique et que la requérante n’avait pas apporté la preuve que la NAP n’avait pas pris des mesures de sécurité suffisantes. VB a introduit un recours devant le Varhoven administrativen sad (Cour administrative suprême, Bulgarie) contre cette décision, qui est la juridiction de renvoi dans l’affaire en cause.
La Cour administrative suprême a décidé de surseoir à statuer et de poser plusieurs questions préjudicielles à la Cour de justice de l’Union européenne. En particulier, la juridiction de renvoi souhaiterait savoir si le constat d’une violation de données personnelles peut permettre de conclure, à lui seul, l’inefficacité des mesures prises par le responsable du traitement au sens des articles 24 et 32 du RGPD. De plus, la juridiction nationale s’interroge sur la question de savoir si la charge de la preuve de l’efficacité de ces mesures est supportée par le responsable du traitement et si le recours à une expertise judiciaire peut constituer un moyen de preuve nécessaire et suffisant pour établir l’inefficacité de telles mesures. Enfin, la juridiction de renvoi demande si les préoccupations, les craintes et la peur d’un éventuel usage abusif des données peuvent être considérées comme un préjudice moral justifiant une indemnisation au sens du RGPD.
Premièrement, la Cour de justice de l’Union rappelle que les termes d’une disposition du droit de l’Union doivent être interprétés de manière autonome et uniforme dans toute l’Union sur la base du libellé, des objectifs poursuivis et du contexte de ladite disposition (Ekro, 327/82 ; Planet49, C-673/13 ; Österreichische Post (préjudice moral lié au traitement de données personnelles), C‑300/21). En l’espèce, l’article 24 du RGPD prévoit une obligation générale vis-à-vis des responsables du traitement des données de mettre en œuvre les mesures nécessaires pour assurer un traitement des données conforme au RGPD. L’article 32 du RGPD prévoit, en outre, des obligations précises du responsable concernant la sécurité du traitement. La référence dans cet article à « un niveau de sécurité adapté au risque » ainsi qu’un « niveau de sécurité approprié » montrent que l’objectif du règlement n’est pas celui d’éliminer tout risque lié au traitement des données personnelles. Les articles 24 et 32 du RGPD ne doivent pas être interprétés, selon la Cour, dans le sens qu’une divulgation non autorisée de données personnelles ou un accès non autorisé à ces données par un tiers suffisent à conclure que les mesures adoptées par le responsable du traitement n’étaient pas appropriées. D’ailleurs, en vertu de l’article 82, paragraphes 2 et 3, du RGPD, si le fait causant le dommage n’est pas attribué au responsable du traitement, la responsabilité du dommage ne peut pas être imputée à ce dernier.
En outre, la Cour de justice considère que, conformément à l’article 32 du RGPD, le caractère approprié des mesures adoptées par le responsable du traitement doit être examiné en deux temps : il faut d’abord identifier les risques de violation des données personnelles et leurs conséquences sur les droits et libertés des personnes physiques ; et ensuite vérifier si les mesures de mise en œuvre sont adaptées à ces risques. Si le responsable du traitement dispose d’une marge de manœuvre dans cette appréciation, les juridictions nationales doivent pouvoir évaluer cette appréciation faite par le responsable par le biais d’un examen sur le fond des critères mentionnés dans le règlement, des éléments de preuve à sa disposition et des circonstances du cas d’espèce.
En vertu du principe de responsabilité posé à l’article 5, paragraphe 2, du RGPD, le responsable du traitement doit veiller à ce que les données soient traitées de manière conforme pour garantir leur sécurité et doit pouvoir démontrer que ce principe de responsabilité est respecté. Conformément à la jurisprudence de la Cour (Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22 ; Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21), la charge de la preuve incombe au responsable du traitement. En conformité avec le principe d’autonomie procédurale, il revient à l’ordre juridique de chaque Etat membre de fixer les modalités de sauvegarde des droits tirés de l’article 82 du RGPD et, en particulier, des règles concernant les moyens de preuve. Toutefois, une expertise judiciaire ne constitue pas un moyen de preuve systématiquement nécessaire et suffisant.
En suivant les conclusions de l’Avocat général Pitruzzella, la Cour de justice précise que la notion de dommage moral, figurant à l’article 82, paragraphe 1, du RGPD, inclut une situation où la personne concernée cherche à obtenir une réparation basée sur sa crainte que ses données personnelles fassent l’objet d’un futur usage abusif.
En conclusion, la Cour de justice considère qu’une divulgation non autorisée de données personnelles ou un accès non autorisé à ces dernières par un tiers ne suffisent pas, à eux seuls, pour considérer comme inappropriées les mesures adoptées par le responsable du traitement. L’article 32 du RGPD doit être interprété en ce sens que le caractère approprié des mesures doit être apprécié par les juridictions nationales de manière concrète. Enfin, le responsable du traitement est celui qui doit prouver que les mesures adoptées sont conformes au règlement et que le dommage concerné ne lui est nullement imputable. La crainte d’un futur usage abusif des données personnelles obtenues en violation du règlement peut constituer, au sens de l’article 82, paragraphe 1, du RGPD, un « dommage moral ».
Dans cette affaire, la Cour de justice a eu la possibilité de fournir des clarifications concernant l’appréciation de ce qui peut constituer un dommage moral au sens du RGPD, notamment dans le cadre d’usages abusifs de données personnelles résultant de cyberattaques.
Reproduction autorisée avec la référence suivante : Sara Notario, La crainte d’un futur usage abusif de données personnelles publiées suite à une cyberattaque peut constituer un « dommage moral » au sens du RGPD, actualité n° 44/2023, publiée le 20 décembre 2023, par le Centre d’études juridiques européennes, disponible sur www.ceje.ch