CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. ANTHONY M. COLLINS

présentées le 26 octobre 2023(1)

Affaires jointes C‑182/22 et C‑189/22

JU (C‑182/22)

SO (C‑189/22)

contre

Scalable Capital GmbH

[demande de décision préjudicielle formée par l’Amtsgericht München (tribunal de district de Munich, Allemagne)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82, paragraphe 1 – Droit à réparation du dommage causé par le traitement de données effectué en violation de ce règlement – Dommage moral – Vol de données – Vol ou usurpation d’identité »

I. Introduction

1. Dans deux recours largement identiques formés par JU contre Scalable Capital GmbH (ci-après « Scalable Capital ») (affaire C‑182/22) et par SO contre Scalable Capital (affaire C‑189/22), les parties demanderesses au principal agissent en réparation du dommage moral découlant de la douleur et de la souffrance qu’elles affirment avoir subies en raison de ce que la juridiction de renvoi décrit comme étant le vol (2), commis par des tiers dont l’identité est inconnue, de leurs données à caractère personnel enregistrées sur une application de trading gérée par Scalable Capital. Les tiers n’ont, à ce jour, pas utilisé les données à des fins frauduleuses ou à d’autres fins. L’Amtsgericht München (tribunal de district de Munich, Allemagne) interroge la Cour sur l’interprétation de la notion de dommage moral figurant à l’article 82 du règlement (UE) 2016/679 (3) et sur les conditions auxquelles ce dommage peut être réparé. Il demande, en particulier, si le vol de ces données constitue un « vol d’identité » tel que visé au considérant 75 du RGPD.

II. Le cadre juridique – Le droit de l’Union

2. Le considérant 75 du RGPD énonce :

« Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; […] »

3. Le considérant 85 du RGPD se lit comme suit :

« Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. […] »

4. Le considérant 146 du RGPD indique ce qui suit :

« Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. […] La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. […] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. […] »

5. Conformément à l’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

[…] »

III. Les litiges au principal et les questions préjudicielles

6. JU et SO ont ouvert des comptes d’investissement sur une application de trading gérée par Scalable Capital. À des fins de vérification de leur identité, ils ont chacun enregistré des données à caractère personnel sur cette application, et notamment leur nom, leur date de naissance, leurs adresses postale et électronique ainsi que des copies numériques de leur carte d’identité (4). Il est constant que les données ont été volées par des délinquants dont l’identité est inconnue.

7. L’Amtsgericht München (tribunal de district de Munich) considère que les données volées sont relativement sensibles et que JU et SO ont droit à réparation au titre de l’article 82 du RGPD. Étant donné que le montant de la réparation à allouer à JU et SO dépend de l’interprétation de l’article 82 du RGPD, il a décidé de surseoir à statuer et de poser les questions préjudicielles suivantes à la Cour :

« 1) L’article 82 du [RGPD] doit-il être interprété en ce sens que le droit à réparation n’a pas de caractère punitif même dans le cadre du calcul de son montant et n’a en particulier pas de fonction dissuasive générale ou spéciale, le droit à réparation n’ayant qu’une fonction de compensation et le cas échéant de satisfaction ?

2)a) Faut-il pour l’évaluation du droit à la réparation du préjudice moral partir du principe que ce droit a également une fonction de satisfaction individuelle – comprise ici comme un intérêt privé de la personne lésée à voir sanctionné le comportement à l’origine du préjudice – ou le droit à réparation n’a-t-il qu’une fonction de compensation – comprise ici en tant que fonction de compensation des atteintes subies ?

2)b)1) S’il faut partir du principe que le droit à la réparation du préjudice moral a une fonction tant de compensation que de satisfaction : faut-il admettre lors de son évaluation que la fonction de compensation prime structurellement ou du moins dans un rapport de règle et d’exception sur la fonction de satisfaction ? Est‑ce que cela conduit à ce qu’une fonction de satisfaction n’entre en ligne de compte qu’en cas d’atteintes intentionnelles ou de négligence grave ?

2)b)2) Si le droit à la réparation du préjudice moral n’a pas de fonction de satisfaction : est-ce que lors de leur calcul, seules les atteintes intentionnelles ou par négligence grave à la protection des données ont un poids supplémentaire dans l’évaluation des facteurs contributifs à la cause ?

3) Convient-il, pour interpréter la réparation du préjudice moral dans son évaluation, d’admettre un rapport hiérarchique structurel ou, à tout le moins, un rapport de hiérarchie entre règle et exception, dans lequel le ressenti d’une atteinte résultant d’une violation de données a moins de poids que le ressenti de l’atteinte et de la douleur lié à une atteinte corporelle ?

4) Une juridiction nationale est-elle libre, lorsqu’un préjudice est présumé, de n’accorder, compte tenu de l’absence de gravité, qu’une réparation matériellement minime qui peut donc le cas échéant n’être perçue que comme symbolique par la partie lésée ou par la population en général ?

5) Faut-il pour l’interprétation de la réparation du préjudice moral, quant à l’appréciation de ses conséquences, partir du principe qu’il n’y a vol d’identité au sens du considérant 75 du règlement général sur la protection des données que lorsqu’un délinquant a effectivement pris l’identité de la personne concernée, s’est donc fait passer pour cette personne d’une manière ou d’une autre, ou y a-t-il déjà vol d’identité dès lors que les délinquants disposent de données qui permettent d’identifier la personne concernée ? »

IV. La procédure devant la Cour

8. Par décision du 19 avril 2022, le président de la Cour de justice a joint les affaires C‑182/22 et C‑189/22 aux fins de la procédure écrite et orale ainsi que de l’arrêt.

9. Le 1^er juin 2022, le président de la Cour a rejeté la demande de Scalable Capital visant à obtenir l’anonymisation de la présente procédure au titre de l’article 95, paragraphe 2, du règlement de procédure de la Cour.

10. SO, Scalable Capital, l’Irlande et la Commission européenne ont présenté des observations écrites.

11. J’examinerai, tout d’abord, les exceptions d’irrecevabilité soulevées à l’égard des questions préjudicielles avant de conseiller la Cour, conformément à sa demande, sur la manière dont il conviendrait de répondre à la cinquième question.

V. Appréciation

A. Sur la recevabilité

12. Selon Scalable Capital, la perte de contrôle sur les données à caractère personnel, sans autre conséquence pour la personne concernée, n’entraîne pas un dommage moral au sens de l’article 82, paragraphe 1, du RGPD. Le texte, l’économie générale et la finalité de l’article 82 du RGPD n’étayent pas l’existence d’une présomption selon laquelle un tel dommage se concrétise à la suite d’une telle perte de contrôle. La juridiction de renvoi a donc fait fausse route en présumant que JU et SO avaient subi un dommage moral. Partant, les demandes de décision préjudicielle sont dépourvues d’incidence sur la solution des litiges portés devant la juridiction de renvoi et sont donc irrecevables.

13. La Commission considère que l’on ne voit pas clairement dans quelle mesure la cinquième question serait pertinente pour la solution des litiges portés devant la juridiction de renvoi. Cette dernière se contente d’indiquer que les interprétations juridiques des parties divergent et relève qu’« il n’y a vol d’identité que lorsque quelqu’un utilise les données illégalement obtenues afin de feindre l’identité de la personne concernée ». En outre, par sa cinquième question, la juridiction de renvoi ne sollicite pas l’interprétation d’une disposition spécifique du RGPD par la Cour.

14. Conformément à la jurisprudence constante de la Cour, les questions portant sur l’interprétation du droit de l’Union posées par le juge national bénéficient d’une présomption de pertinence. La Cour ne peut refuser de statuer sur ces questions que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile auxdites questions (5).

15. L’exception d’irrecevabilité soulevée par Scalable Capital à l’égard de chacune des questions préjudicielles repose sur son interprétation de l’article 82 du RGPD, du droit à réparation et de l’absence alléguée de dommage moral. Les questions préjudicielles portent sur le droit à réparation des personnes concernées au titre de l’article 82 du RGPD. L’établissement de l’existence d’un dommage est un préalable nécessaire à l’obtention d’une telle réparation (6). L’exception d’irrecevabilité soulevée par Scalable Capital à l’égard des demandes de décision préjudicielle porte donc sur le fond des problématiques visées par ces questions. De par leur nature, les arguments qui concernent le fond des questions soulevées dans une demande de décision préjudicielle ne sauraient affecter la recevabilité de cette demande (7).

16. En ce qui concerne l’exception d’irrecevabilité soulevée par la Commission à l’égard de la cinquième question, il n’apparaît pas de manière manifeste que cette question n’ait aucun rapport avec les recours introduits devant la juridiction de renvoi, ni qu’elle soit de nature hypothétique. La juridiction de renvoi est saisie de recours en réparation au titre du RGPD. Les parties s’opposent quant à la question de savoir si le vol de données à caractère personnel constitue un vol d’identité au sens du considérant 75 du RGPD, ou si, pour qu’il y ait vol d’identité, un délinquant doit avoir « effectivement pris l’identité de la personne concernée » (8). Si les observations de la juridiction de renvoi sur sa cinquième question sont succinctes, il apparaît, à l’examen des demandes de décision préjudicielle, que cette question est liée aux quatre autres questions posées sur la notion de dommage moral et le droit à réparation au titre de l’article 82 du RGPD.

17. Partant, je propose à la Cour de rejeter les différentes exceptions d’irrecevabilité soulevées à l’égard des questions posées par l’Amtsgericht München (tribunal de district de Munich).

B. Sur le fond

1. Observations des parties

18. Selon SO, le considérant 85 du RGPD fait une distinction claire entre le vol d’identité et l’usurpation d’identité. Le vol d’identité suppose que le délinquant soit susceptible d’abuser de l’identité d’une personne en trompant autrui quant à cette identité. L’usurpation d’identité peut être commise à la suite d’un vol d’identité. Il s’ensuit que le vol d’identité n’exige pas qu’il y ait effectivement abus de l’identité d’une personne. La nature et la portée des données volées en l’espèce donnent lieu à une présomption de vol d’identité ouvrant droit à réparation à ce titre.

19. Scalable Capital soutient qu’il y a vol d’identité lorsqu’une personne abuse des données à caractère personnel d’un individu dans le but de « feindre l’identité » de cet individu. Le vol de certaines données peut conduire à un vol d’identité, ou le faciliter, mais il n’équivaut pas en soi à un vol d’identité. Cette approche est corroborée par une interprétation systématique du considérant 75 du RGPD, dès lors que les autres exemples qui y sont mentionnés montrent que la possibilité d’utiliser certaines données à caractère personnel ne constitue pas un vol d’identité. La finalité de l’article 82 du RGPD est de réparer les dommages concrètement subis par les individus. Une interprétation extensive de la notion de vol d’identité est contraire à cette finalité puisqu’elle reviendrait à fonder le recours en réparation sur la possibilité abstraite qu’un dommage puisse survenir à l’avenir.

20. L’Irlande soutient que le vol d’identité renvoie aux situations dans lesquelles une partie prend effectivement l’identité de la personne dont les données ont fait l’objet d’une appropriation illégitime. Par conséquent, pour qu’il y ait vol d’identité, il ne suffit pas qu’une partie soit en possession des données permettant d’identifier une personne. En tout état de cause, la réparation du dommage moral au titre de l’article 82 du RGPD doit faire l’objet d’une appréciation de fond au cas par cas.

21. La Commission fait observer que le RGPD ne définit pas le vol d’identité. Les considérants 75 et 85 du RGPD mentionnent le vol d’identité à titre d’exemple de traitement de données à caractère personnel susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral. Selon la Commission, le vol d’identité visé à ces considérants est l’obtention illégale de données dans le but de « feindre l’identité » de la personne concernée (9). Pour prouver le vol d’identité, l’intention du délinquant de se faire passer pour la personne concernée doit se traduire par des actions concrètes ou par des actes préparatoires effectués à cette fin. Étant donné qu’aux termes d’une jurisprudence constante, le dommage doit être « réel et certain » (10), la simple possession de données identifiant la personne concernée, sans qu’aucune mesure n’ait été prise pour se faire passer pour cette personne, ne saurait être qualifiée de vol d’identité.

2. Analyse

22. Par sa cinquième question, la juridiction de renvoi cherche à déterminer si le simple vol des données à caractère personnel sensibles d’une personne concernée (11), commis par un délinquant dont l’identité est inconnue, constitue un vol d’identité ouvrant droit à réparation, ou si, pour qu’il y ait vol d’identité, le délinquant doit effectivement prendre l’identité de la personne concernée ou prendre des mesures à cette fin. Cette question s’inscrit dans le contexte de la constatation d’un vol, commis par des délinquants dont l’identité est inconnue, de certaines données à caractère personnel sensibles de JU et SO qui étaient enregistrées sur l’application de trading de Scalable Capital. Bien que les données ne semblent pas avoir été utilisées (de manière abusive), on ne saurait exclure une telle utilisation (ou un tel abus) à l’avenir dès lors que l’identité des délinquants demeure inconnue et que ces derniers n’ont pas encore été arrêtés.

23. L’article 82 du RGPD confirme, en termes généraux (12), le droit de toute personne concernée ayant subi « un dommage matériel ou moral » du fait d’une violation du RGPD d’en obtenir réparation, et en attribue la responsabilité au(x) responsable(s) du traitement et/ou au(x) sous-traitant(s). Cette disposition ne précise ni la nature spécifique, ni la forme de ce dommage. Le RGPD ne renvoie pas au droit des États membres pour déterminer le sens et la portée des termes « dommage moral » (13). Ces termes doivent donc être considérés comme constituant une notion autonome du droit de l’Union, qui doit être interprétée de manière uniforme dans l’ensemble des États membres (14).

24. La réparation au titre de l’article 82 du RGPD est due à condition de prouver une violation du RGPD, un « préjudice concrètement subi » et un lien de causalité entre cette violation et ce préjudice (15). Le RGPD n’institue pas un régime de responsabilité objective (16). La nature indemnitaire du régime instauré par l’article 82, paragraphe 1, du RGPD exclut également l’octroi de dommages-intérêts punitifs (17). Une telle réparation doit être complète et effective, en ce sens qu’elle doit permettre « de compenser intégralement le préjudice concrètement subi du fait de la violation [du RGPD] » (18). Le dommage moral subi par la personne concernée ne doit pas nécessairement atteindre un certain degré de gravité (19). Bien qu’il n’y ait pas de seuil de minimis quant à la gravité du dommage moral, des éléments de preuve clairs et précis doivent attester que la personne concernée a subi un tel dommage. Le dommage potentiel ou hypothétique (20), ou la simple inquiétude liée au vol des données à caractère personnel d’un individu, ne suffisent pas.

25. L’article 82, paragraphe 3, du RGPD exonère de responsabilité le responsable du traitement ou le sous-traitant « s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ». La Cour n’a pas eu l’occasion d’examiner cette disposition en détail. Une interprétation littérale de l’article 82, paragraphe 3, du RGPD semble indiquer que toute négligence (faute concurrente) ou défaillance du responsable du traitement ou du sous-traitant suffisent à exclure l’application de l’exonération. En outre, la charge de la preuve (21) imposée par cette disposition au(x) responsable(s) du traitement ou au(x) sous-traitant(s) qui souhaitent se prévaloir de l’exonération peut nécessiter la mise en œuvre de mesures continues visant à prévenir les violations de données (22).

26. Le vol des données à caractère personnel d’une personne concernée ouvre droit à réparation du dommage moral au titre de l’article 82, paragraphe 1, du RGPD si les trois conditions établies dans l’arrêt Österreichische Post (23) sont remplies. Conformément au septième considérant du RGPD, « [l]es personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant ». Lorsque les personnes concernées sont « empêchées d’exercer le contrôle sur leurs données à caractère personnel »(24) ou lorsque les personnes physiques perdent le « contrôle sur leurs données à caractère personnel » (25), de telles situations sont susceptibles d’entraîner un dommage moral. C’est dans ce contexte que la juridiction de renvoi cherche à déterminer si le vol de données à caractère personnel constitue un vol d’identité.

27. Le vol d’identité n’est ni mentionné ni défini dans le dispositif du RGPD. Les considérants 75 et 85 du RGPD font simplement référence à « un vol ou [à] une usurpation d’identité ». Le considérant 75 mentionne le « vol ou [l’]usurpation d’identité » dans une liste non exhaustive d’exemples (26)de risques pour les droits et libertés des personnes physiques pouvant résulter du traitement de données à caractère personnel. De même, le considérant 85 du RGPD cite le « vol ou [l’]usurpation d’identité » comme exemple (27)de dommages pouvant découler d’une violation de données à caractère personnel si l’on n’intervient pas à temps et de manière appropriée (28).

28. Plusieurs considérants (29) et dispositions (30) d’autres actes législatifs de l’Union mentionnent les termes « usurpation d’identité » (31), « fraude à l’identité » et « vol ou usurpation d’identité » (32). Je n’ai trouvé aucune disposition du droit de l’Union qui définit ces termes (33). Le législateur de l’Union se réfère donc à ces termes à titre illustratif (34).

29. C’est ce qui ressort également d’un examen des différentes versions linguistiques de ces termes mentionnés aux considérants 75 et 85 du RGPD. Si les versions allemande (Identitätsdiebstahl oder ‑betrug), anglaise (identity theft or fraud), estonienne (identiteedivargust või -pettust), irlandaise (goid aitheantais nó calaois aitheantais), lituanienne (būti pavogta ar suklastota tapatybė), néerlandaise (identiteitsdiefstal of -fraude), polonaise (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), roumaine (furt sau fraudă a identității) et slovaque (krádeži totožnosti alebo podvodu) sont largement similaires, d’autres versions linguistiques s’en écartent à des degrés divers : les versions tchèque (krádeži či zneužití identity), française (un vol ou une usurpation d’identité), grecque (κατάχρηση ή υποκλοπή ταυτότητας), portugaise (usurpação ou roubo da identidade), italienne (furto o usurpazione d’identità) et espagnole (usurpación de identidad o fraude). Les différentes versions linguistiques des considérants pertinents du RGPD montrent que les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » se chevauchent et que l’on peut les considérer comme étant interchangeables, du moins dans une certaine mesure. Il s’ensuit que les considérants 75 et 85 n’opèrent pas une distinction claire entre le vol d’identité et l’usurpation d’identité, contrairement aux affirmations de SO telles que nous les avons exposées au point 18 des présentes conclusions.

30. Les considérants 75 et 85 du RGPD distinguent l’exemple de la « perte de contrôle » ou de l’empêchement « d’exercer le contrôle » sur les données à caractère personnel de l’exemple du « vol ou [de l’]usurpation d’identité ». Par conséquent, le vol de données à caractère personnel (35) ne constitue pas à lui seul un vol d’identité, quand bien même ce vol peut conduire à une utilisation (ou à un abus) de ces données dans le futur. Le vol d’identité nécessite une action ou une étape supplémentaires dont les effets préjudiciables pour la personne concernée vont au-delà du vol de données à caractère personnel (36). Un individu qui vole les données à caractère personnel d’une personne concernée doit les utiliser (ou en abuser) à des fins illicites, sans le consentement de cette personne, ou prendre des mesures concrètes à cet effet (37). Une telle action implique le plus souvent une fraude ou une autre forme de tromperie, et est généralement accomplie à des fins financières ou pour obtenir un autre avantage, ou encore pour nuire à la personne concernée ou à son entourage (38).

31. Il découle de ce qui précède que, si le vol de données à caractère personnel ne constitue pas un vol ou une usurpation d’identité, il est susceptible d’entraîner un préjudice moral et d’ouvrir droit à réparation au titre de l’article 82, paragraphe 1, du RGPD (39). Le dommage moral peut être plus facile à établir s’il s’avère que la personne concernée a été victime d’un vol ou d’une usurpation d’identité à la suite du vol de ses données à caractère personnel (40). Le droit à réparation du dommage moral causé par le vol de données à caractère personnel, au titre de l’article 82, paragraphe 1, du RGPD, ne dépend toutefois pas de l’existence d’un vol ou d’une usurpation d’identité (41). Le dommage moral et le droit à réparation au titre de l’article 82, paragraphe 1, du RGPD doivent être appréciés au cas par cas en tenant compte de toutes les circonstances pertinentes.

VI. Conclusion

32. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit à la cinquième question préjudicielle de l’Amtsgericht München (tribunal de district de Munich, Allemagne) :

L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le vol des données à caractère personnel sensibles d’une personne concernée, commis par un délinquant dont l’identité est inconnue, peut ouvrir droit à réparation du dommage moral à condition de prouver une violation du règlement général sur la protection des données, un dommage concrètement subi et un lien de causalité entre le dommage et cette violation. Il n’est pas nécessaire que le délinquant prenne l’identité de la personne concernée pour pouvoir accorder une telle réparation, et la possession des données permettant d’identifier la personne concernée ne constitue pas en soi un vol d’identité.

1 Langue originale : l’anglais

2 La juridiction de renvoi ne qualifie pas précisément sur le plan juridique les agissements des délinquants en droit national. Le terme « vol » est général et peut inclure l’appropriation illégitime de données par des tiers.

3 Règlement du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

4 La juridiction de renvoi indique également, dans ses décisions de renvoi, que « [l]e portefeuille de titres était géré par un “Robo-Advisor” (robot-conseiller) de sorte qu’aucun profil quant à la propension au risque du requérant ne pouvait être déduit des opérations de trading effectuées ».

5 Voir, en ce sens, arrêt du 2 septembre 2021, OTP Jelzálogbank e.a. (C‑932/19, EU:C:2021:673, point 26 et jurisprudence citée).

6 La Cour a interprété l’article 82 du RGPD en ce sens que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des trois conditions à remplir pour obtenir réparation au titre de cette disposition. Une violation du RGPD ne confère pas, en soi, un droit à réparation. Arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2023:370, points 32 et 42) (ci-après l’arrêt « Österreichische Post »).

7 Voir, par analogie, arrêt du 12 décembre 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, point 29).

8 Voir texte de la cinquième question de la juridiction de renvoi.

9 Voir comité européen de la protection des données, Lignes directrices 01/2021 – Exemples concernant la notification de violations de données à caractère personnel – Adoptées le 14 décembre 2021 – Version 2.0, disponible à l’adresse https://edpb.europa.eu/system/files/202209/edpb_guidelines_012021_pdbnotification_adopted_fr.pdf (ci-après les « lignes directrices de 2021 »).

10 Arrêt du 4 avril 2017, Médiateur/Staelen (C‑337/15 P, EU:C:2017:256, points 91 à 95 et 127 à 131).

11 L’article 4, point 1, du RGPD dispose que, par « données à caractère personnel », on entend « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

12 Voir considérant 146 du RGPD.

13 La Cour n’a pas défini la notion de « dommage moral » dans le contexte de l’article 82 du RGPD. Je souscris à l’analyse de l’avocat général Pitruzzella selon laquelle le mécontentement ou le désagrément causé par le fait que les données d’un individu aient fait l’objet d’une « attaque de hackers » ne suffisent pas. Pour obtenir gain de cause, la personne concernée doit établir que la crainte d’une utilisation abusive de ses données lui a causé un « préjudice émotionnel ». Voir conclusions de l’avocat général Pitruzzella dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, points 81 à 83).

14 Arrêt Österreichische Post, point 30.

15 Voir article 82, paragraphe 2, du RGPD et arrêt Österreichische Post, points 32 et 50.

16 Arrêt Österreichische Post, points 33 et 34. Voir également conclusions de l’avocat général Pitruzzella dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, point 61).

17 Arrêt Österreichische Post, point 58. Voir également conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2022:756, points 27 à 55), et conclusions de l’avocat général Pitruzzella dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, point 74).

18 Arrêt Österreichische Post, point 58.

19 Arrêt Österreichische Post, points 31 à 33, 51 et 58. Voir également considérant 146 du RGPD. Voir, en sens contraire, conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2022:756, point 105), et conclusions de l’avocat général Pitruzzella dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, point 78).

20 Voir, en ce sens, arrêt Österreichische Post, point 37.

21 Il semble que, pour relever du champ d’application de l’exonération, le(s) responsable(s) du traitement et/ou le(s) sous-traitant(s) puissent être tenus de produire des preuves négatives.

22 L’avocat général Pitruzzella considère que, pour échapper à la responsabilité au titre de l’article 82 du RGPD, les responsables du traitement des systèmes d’entités publiques ou privées détentrices d’une grande quantité de données à caractère personnel doivent mettre en place des mesures appropriées pour faire face, tout particulièrement, aux attaques externes. Voir ses conclusions dans l’affaire Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, points 65 à 67). De telles mesures proactives peuvent être contraignantes et onéreuses. L’article 82 du RGPD impose, en lui-même, un niveau très élevé de vigilance aux responsables du traitement et aux sous-traitants.

23 Voir points 32 et 50 de cet arrêt. Voir également point 24 et note en bas de page 6 des présentes conclusions.

24 Considérant 75 du RGPD.

25 Considérant 85 du RGPD.

26 C’est ce qui ressort clairement de l’utilisation des termes « peuvent », « est susceptible » et « en particulier » dans ce considérant.

27 C’est ce qui ressort clairement de l’utilisation des termes « risque » et « tels qu’ » dans ce considérant. Voir, par analogie, arrêt du 22 décembre 2008, WallentinHermann (C‑549/07, EU:C:2008:771, point 22).

28 L’article 4, point 12, du RGPD dispose que, par « violation de données à caractère personnel », on entend « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

29 Le préambule facilite l’interprétation et la compréhension d’un acte législatif de l’Union en indiquant, notamment, les objectifs qu’il poursuit et le contexte dans lequel il a été adopté. Il aide à préciser le sens des dispositions législatives ambiguës. Il ne saurait être utilisé pour interpréter une disposition contra legem. Arrêt du 19 novembre 1998, Nilsson e.a. (C‑162/97, EU:C:1998:554, point 54).

30 Voir, notamment, article 86, sous e), de la décision 2013/490/UE, Euratom du Conseil et de la Commission, du 22 juillet 2013, concernant la conclusion de l’accord de stabilisation et d’association entre les Communautés européennes et leurs États membres, d’une part, et la République de Serbie, d’autre part (JO 2013, L 278, p. 14), et article 2, paragraphe 2, sous b), et articles 21 et 25 du règlement (UE) 2019/817 du Parlement européen et du Conseil, du 20 mai 2019, portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) n^o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO 2019, L 135, p. 27).

31 Le considérant 14 de la directive 2013/40/UE du Parlement européen et du Conseil, du 12 août 2013, relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO 2013, L 218, p. 8) énonce que « [l]a mise en place de mesures efficaces contre l’usurpation d’identité et d’autres infractions liées à l’identité constitue un autre élément important d’une approche intégrée contre la cybercriminalité ». Selon le considérant 31 de la directive (UE) 2019/713 du Parlement européen et du Conseil, du 17 avril 2019, concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil (JO 2019, L 123, p. 18), « [l]a fraude et la contrefaçon des moyens de paiement autres que les espèces peuvent avoir de graves conséquences économiques et non économiques pour leurs victimes. Lorsque ce type de fraude comprend, par exemple, une usurpation d’identité, ses conséquences en sont souvent aggravées, à cause de l’atteinte à la réputation, y compris professionnelle, de la dégradation de la cote de crédit de la personne et du grave dommage émotionnel ». Le considérant 33 de cette directive énonce que « [l]es États membres devraient adopter des mesures d’aide et de soutien à ces victimes qui soient inspirées des mesures requises par ladite directive mais qui répondent plus directement aux besoins spécifiques des victimes d’une fraude liée à une usurpation d’identité ».

32 Les termes « vol ou usurpation d’identité » sont utilisés, sans être définis, dans le préambule d’autres actes législatifs de l’Union. Voir, notamment, considérant 46 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO 2018, L 295, p. 39), ainsi que considérants 51 et 61 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

33 L’annexe II du règlement (UE) 2018/1798 de la Commission, du 21 novembre 2018, portant application, pour l’année de référence 2019, du règlement (CE) n^o 808/2004 du Parlement européen et du Conseil concernant les statistiques communautaires sur la société de l’information (JO 2018, L 296, p. 2) contient plusieurs exemples ou références à des cas d’usurpation d’identité. Le fait que « quelqu’un vole les données personnelles du répondant et se [fasse] passer pour lui, afin, par exemple, d’effectuer des achats sous le nom du répondant » est notamment cité comme exemple d’« usurpation d’identité en ligne ».

34 Voir, en sens contraire, article 226‑4‑1 du code pénal français (modifié par la loi n^o 2020‑936 du 30 juillet 2020, article 19) qui dispose que « [l]e fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. Lorsqu’ils sont commis par le conjoint ou le concubin de la victime ou par le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis de deux ans d’emprisonnement et de 30 000 euros d’amende ». L’article 1028A(a)(1) du titre 18 du code des États-Unis institue l’infraction fédérale américaine de vol d’identité aggravé. Cette disposition prévoit que « whoever, during and in relation to any felony violation enumerated in subsection (c), knowingly transfers, possesses, or uses, without lawful authority, a means of identification of another person shall, in addition to the punishment provided for such felony, be sentenced to a term of imprisonment of 2 years » [traduction libre : « quiconque, lors d’une infraction grave mentionnée à la sous-section c), et dans le cadre de cette infraction grave, transfère, possède ou utilise, en toute connaissance de cause et sans autorisation licite, un moyen d’identification d’une autre personne sera, outre la peine encourue pour cette infraction grave, puni d’un emprisonnement de deux ans »]. Voir également article 1028(a)(7) du titre 18 du code des États‑Unis qui institue l’infraction fédérale américaine de vol d’identité.

35 Et la perte de contrôle sur les données à caractère personnel volées qui en découle.

36 Le vol d’identité exige que le délinquant donne une fausse image de la personne concernée, notamment en l’imitant ou en se faisant passer pour elle.

37 Contrairement aux affirmations de SO telles que nous les avons exposées au point 18 des présentes conclusions, en l’absence d’utilisation (abusive) des données volées ou de mesures concrètes prises à cette fin, la nature et la portée de ces données n’entraînent pas une présomption de vol d’identité.

38 Pour des exemples de vol/usurpation d’identité, voir Agence européenne pour la cybersécurité, L’usurpation d’identité – Paysage des menaces de l’ENISA – De janvier 2019 à avril 2020, disponible à l’adresse https://www.enisa.europa.eu/publications/report-files/ETL-translations/fr/etl2020-identity-theft-ebook-en-fr.pdf ; section 7.1 des lignes directrices de 2021, disponibles à l’adresse https://edpb.europa.eu/system/files/202209/edpb_guidelines_012021_pdbnotification_adopted_fr.pdf, et comité européen de la protection des données, Guidelines 01/2022 on data subject rights – Right of access – Version 1.0 – Adopted on 18 January 2022, point 105, disponibles à l’adresse https://edpb.europa.eu/system/files/202201/edpb_guidelines_012022_right-of-access_0.pdf.

39 Si les trois conditions décrites au point 24 des présentes conclusions sont remplies.

40 Dans ses conclusions dans l’affaire Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2022:756, points 98 et 99), l’avocat général Campos Sánchez-Bordona a indiqué que les exemples donnés aux considérants 75 et 85 du RGPD semblent concerner des risques ou des dommages qui sont « importants » ou « d’un degré de gravité plus élevé ». En pratique, la présence d’un vol ou d’une usurpation d’identité aidera à établir l’existence d’un dommage.

41 C’est ce qui ressort du fait que les termes « un vol ou une usurpation d’identité » mentionnés aux considérants 75 et 85 du RGPD apparaissent aux côtés d’autres exemples de risque ou de dommage tels que la « discrimination », la « perte financière » et l’« atteinte à la réputation ».