Entreprises privées, administrations publiques et centres hospitaliers ont été la cible de nombreuses cyberattaques au cours des dernières années. Leur coût est estimé à 2 milliards d’euros en France en 2022[1]. Ce montant n’inclut cependant pas celui qui pourrait être octroyé à titre de dommages-intérêts aux personnes victimes desdites attaques. Près de deux ans après avoir été saisie des premières questions préjudicielles relatives à l'interprétation de l’article 82 du RGPD relatif à la responsabilité du responsable du traitement et au droit à réparation des personnes concernées, la Cour de justice de l'Union européenne (« CJUE ») vient d’apporter un début d’éclaircissement.
Le 4 mai 2023, la Cour[2]a en effet clarifié (i) la nature de la responsabilité du responsable du traitement en cas de violation du RGPD et (ii) le type de dommages susceptibles d’être indemnisés lorsque la responsabilité de ce dernier est établie.
Une responsabilité pour faute présumée ?
Dans cet arrêt, la CJUE a considéré que la simple violation du RGPD ne suffisait pas à conférer un droit à réparation, mais qu’il était nécessaire de démontrer les trois conditions classiques de la responsabilité : un manquement au RGPD, un dommage et un lien de causalité entre les deux.
Cette décision a été rendue quelques jours après les conclusions de l'Avocat Général Giovanni Pitruzzella dans une affaire distincte mais relative elle aussi à l’interprétation de l’article 82 du RGPD[3]. Dans cette affaire, l’Avocat Général a considéré que l'accès illicite à des données personnelles par des tiers ne constitue pas, en tant que tel, une violation du RGPD de la part du responsable du traitement. Plus précisément, l'accès non-autorisé à des données personnelles dans le contexte d'une cyberattaque n’est pas suffisant pour conclure à un manquement, de la part du responsable du traitement, à son obligation d’assurer la sécurité des données personnelles traitées.
L’Avocat Général et la Cour semblent donc en ligne puisque cette dernière a confirmé, le 4 mai dernier, l’absence de responsabilité automatique du responsable du traitement en cas de violation du RGPD.
Les juges européens devraient prochainement apporter d’autres clarifications dans l’affaire ayant donné lieu aux conclusions de l’Avocat Général Pitruzzella. Ce dernier a en effet considéré que le responsable du traitement doit démontrer qu'il n’est pas responsable du fait dommageable pour s’exonérer de sa responsabilité. Concrètement, ce dernier doit prouver que les mesures techniques et organisationnelles mises en place étaient de nature à garantir un niveau de sécurité adapté au risque. À ce sujet, l’Avocat Général a indiqué que le responsable du traitement ne peut pas s’exonérer de sa responsabilité du simple fait que le manquement au RGPD résulte des agissements d’un tiers (e.g. d’une cyberattaque).
Si cette interprétation devait être suivie par la CJUE, on se dirigerait donc vers un régime de responsabilité pour faute présumée du responsable du traitement.
Indemnisation des dommages moraux, oui mais lesquels ?
La question du type de dommage indemnisable en cas de manquement au RGPD appelle encore quelques clarifications.
Dans l’affaire VB c/Natsionalnaagentsiazaprihodite, l’Avocat Général Pitruzzella a considéré que la personne dont les données personnelles ont fait l’objet d’un accès non-autorisé doit démontrer qu'elle a « concrètement et spécifiquement » subi « un préjudice émotionnel réel et certain », sans qu’ « un simple mécontentement » ne puisse être indemnisable. Or, dans son arrêt rendu dans l’affaire UI c/Österreichische Post AG, la Cour n’a pas semblé vouloir subordonner la réparation d’un dommage moral à un quelconque niveau de gravité et a retenu une « conception large de la notion de « dommage » »[4].
Si la Cour confirme sa position dans l’affaire C-340/21, la responsabilité des responsables du traitement serait susceptible d’être engagée pour des violations du RGPD à l’origine de préjudices mineurs pour les personnes concernées. En tout état de cause, il appartiendra aux tribunaux nationaux de déterminer le montant des dommages-intérêts dus au titre du droit à réparation.
D'autres arrêts préjudiciels relatifs à l’interprétation de l’article 82 du RGPD sont attendus prochainement[5].
Mathilde Gérot, counsel, et Inès Aramouni, avocate, Signature Litigation
__________________________________________________________________
[1]Asterès – Le coût des cyberattaques réussies en France – juin 2023,ASTERES-CRIP-Cout-des-cyberattaques-reussies-16062023.pdf
[2]Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/Österreichische Post AG.
[3]Affaire C-340/21, VB c/Natsionalnaagentsiazaprihodite.
[4]Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/Österreichische Post AG, § 46.
[5]Voir par exemple les affaires C-687/21, C-741/21, C-590/22 et C-456/22.