Quelle réparation pour le préjudice moral du fait d’une violation du droit de la protection des données ?

Le régime de responsabilité civile découlant du règlement général sur la protection des données (RGPD) ne manque pas de questionner. Alors que son article 82 en pose les règles uniformes, les questions préjudicielles y relatives sont croissantes devant la Cour de justice de l’Union européenne (actuellement, sept autres questions préjudicielles sont pendantes en la matière : C-340/21, C-667/21, C-687/21, C-741/21, C-182/22, C-189/22 et C-456/22). Ce texte pourrait fonder un « contentieux de masse » dont toute la trame n’est pas encore tissée (J. Knetsch, Les actions civiles en réparations fondées sur une violation du RGPD. Vers un nouveau contentieux de masse ?, JCP 2022. Doctr. 1062). En l’occurrence, les conclusions discutées portent sur les conditions d’indemnisation du préjudice moral, ignoré par la directive 95/46 et désormais visé par l’article 82.1 du RGPD.

Au principal, la société mise en cause collectait des informations sur les affinités partisanes de la population autrichienne et définissait des adresses de groupe cible selon des critères sociodémographiques. Les données à caractère personnel de UI, une personne physique, ont été l’objet de ce traitement, sans que son consentement ait été recueilli. UI a été contrarié par ce traitement et surtout indignée et blessée de l’affinité qui lui a été attribuée. Elle a demandé 1 000 € de dommages et intérêts en réparation du préjudice moral subi. Sa demande fut rejetée en première et seconde instance au motif que, notamment, toute violation du RGPD n’entraîne pas automatiquement droit à réparation du préjudice moral. C’est l’Oberster Gerichtshof (Cour suprême autrichienne) qui, saisie d’un recours contre l’arrêt d’appel, a sursis à statuer pour porter trois questions préjudicielles devant la Cour de justice. La première porte sur la nécessité de rapporter l’existence d’un préjudice en sus de la violation du RGPD pour ouvrir droit au versement de dommages et intérêt au titre d’un préjudice moral. La seconde et la troisième sur la compatibilité des règles autrichiennes de réparation du dommage avec le droit de l’Union.

Alors que les questions appellent à la précision d’un régime de responsabilité autonome tiré du droit de l’Union, l’avocat général ne dessine ses réponses qu’à la stricte mesure des questions posées. Si tel est bien son office, et même s’il manque un peu du souffle qui a pu être le sien dans d’autres affaires, cela laisse augurer de questions préjudicielles nombreuses pour compléter les solutions proposées qui n’ont ici trait qu’à la nécessité de prouver le dommage et aux règles de qui encadrent la réparation.

La nécessité de prouver le dommage

La seule violation du RGPD ouvre-t-elle droit à réparation ? En d’autres termes, le dommage s’en déduit-il nécessairement, et le lien de causalité avec ? Ces questions font nécessairement écho, pour un lecteur français, au régime de responsabilité qui contribue à garantir le droit au respect de la vie privée protégé par l’article 9 du code civil : le seul constat d’une atteinte ouvre droit à réparation (Civ. 1^re, 5 nov. 1996, n° 94-14.798 P, D. 1997. 403 , note S. Laulom ; ibid. 289, obs. P. Jourdain ; RTD civ. 1997. 632, obs. J. Hauser