La crainte d'un potentiel usage abusif des données personnelles suffit à constituer un dommage

La troisième chambre de la Cour de justice de l'Union européenne (CJUE) a dû trancher un cas particulièrement intéressant dans un arrêt rendu le 14 décembre. Il s'agissait d'une fuite de données personnelles issue d'une cyberattaque dont l'Agence nationale des recettes publiques bulgare (NAP) avait été victime ; information révélée par les médias nationaux en juillet 2019. Rattachée au ministre des Finances bulgare, cette autorité a pour mission l'identification, la sécurisation et le recouvrement des créances publiques. Parmi les six millions de victimes de cette fuite, quelques centaines avaient introduit des actions en réparation de préjudices moraux découlant de la divulgation de leurs informations.

Un préjudice moral issu de la fuite

La requérante, dont est à l'origine le litige devant l'instance européenne, avait saisi le tribunal administratif de Sofia réclamant la somme de 1000 leva bulgares (environ 510 euros) à la NAP. Elle soutenait avoir subi un préjudice moral constitué par la crainte que ses données personnelles ayant été publiées sans son consentement fassent l'objet d'une utilisation abusive dans le futur ou qu'elle subisse un chantage, une agression voire un enlèvement. Le tribunal a rejeté sa demande estimant que la requérante n'avait pas subi de préjudice moral ouvrant droit à réparation et qu'elle n'avait pas prouvé la carence de la NAP quant à l'adoption de mesures de sécurité. 

La Cour administrative suprême a décidé de saisir la CJUE pour avoir des précisions sur certaines dispositions du Règlement général sur la protection des données (RGPD) et ainsi trancher le litige dont elle a été saisie en appel. Elle se demandait notamment si la crainte ressentie par une personne que ses données personnelles puissent faire l'objet d'un usage abusif dans le futur est susceptible à elle seule de constituer un dommage moral au sens de l'article 82 de ce texte. Ce qui signifie que la personne serait ainsi dispensée d'établir que des tiers ont fait, antérieurement à sa demande de réparation, un usage illicite de ces données.

Quelle responsabilité pour le responsable du traitement ?

Les juges européens ont statué sur deux questions principales. La première porte sur les mesures à mettre en oeuvre par un responsable du traitement pour sécuriser les données personnelles. Plus précisément, il s'agissait de savoir si une fuite de données suffit à elle seule à considérer que les mesures techniques et organisationnelles mises en oeuvre par le responsable du traitement n'étaient pas appropriées. La Cour a répondu par la négative. Elle a ainsi rappelé que le responsable doit seulement être en mesure de démontrer la conformité avec le RGPD des mesures qu'il a mises en oeuvre, "possibilité dont il sera privé si une présomption irréfragable était admise". 

La seconde question portait sur le dommage issu d'une fuite de données provoquée par un tiers ; en l'espèce, des hackers qui ont pénétré dans le système d'information de la NAP. Les juges rappellent ainsi que le responsable du traitement en cause doit en principe réparer le dommage causé par une violation du règlement. De plus, il ne peut être exonéré de sa responsable "que s'il apporte la preuve que le fait qui a provoqué ce dommage ne lui est nullement imputable". Ainsi, si la violation a été provoqué par un tiers, elle ne saurait être imputable au responsable du traitement sauf si certaines obligations du RGPD n'ont pas été respectées. 

La crainte suffit à constituer un dommage moral

Sur la crainte que ses données soient utilisées ultérieurement, la CJUE répond que cela peut constituer un dommage moral au sens de l'article 82 du RGPD. En effet, elle estime qu'une interprétation contraire ne serait pas conforme "à la garantie d'un niveau élevé de protection des personnes physiques à l'égard du traitement des données à caractère personnel au sein de l'Union, qui est visée par cet instrument [le RGPD, ndlr]".