Édition provisoire
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. ANTHONY M. COLLINS
présentées le 26 octobre 2023(1)
Affaires jointes C‑182/22 et C‑189/22
JU (C‑182/22)
SO (C‑189/22)
contre
Scalable Capital GmbH
[demande de décision préjudicielle formée par l’Amtsgericht München (tribunal de district de Munich, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82, paragraphe 1 – Droit à réparation du dommage causé par le traitement de données effectué en violation de ce règlement – Dommage moral – Vol de données – Vol ou usurpation d’identité »
I. Introduction
1. Dans deux recours largement identiques formés par JU contre Scalable Capital GmbH (ci-après « Scalable Capital ») (affaire C‑182/22) et par SO contre Scalable Capital (affaire C‑189/22), les parties demanderesses au principal agissent en réparation du dommage moral découlant de la douleur et de la souffrance qu’elles affirment avoir subies en raison de ce que la juridiction de renvoi décrit comme étant le vol (2), commis par des tiers dont l’identité est inconnue, de leurs données à caractère personnel enregistrées sur une application de trading gérée par Scalable Capital. Les tiers n’ont, à ce jour, pas utilisé les données à des fins frauduleuses ou à d’autres fins. L’Amtsgericht München (tribunal de district de Munich, Allemagne) interroge la Cour sur l’interprétation de la notion de dommage moral figurant à l’article 82 du règlement (UE) 2016/679 (3) et sur les conditions auxquelles ce dommage peut être réparé. Il demande, en particulier, si le vol de ces données constitue un « vol d’identité » tel que visé au considérant 75 du RGPD.
II. Le cadre juridique – Le droit de l’Union
2. Le considérant 75 du RGPD énonce :
« Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; […] »
3. Le considérant 85 du RGPD se lit comme suit :
« Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. […] »
4. Le considérant 146 du RGPD indique ce qui suit :
« Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. […] La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. […] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. […] »
5. Conformément à l’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
[…] »
III. Les litiges au principal et les questions préjudicielles
6. JU et SO ont ouvert des comptes d’investissement sur une application de trading gérée par Scalable Capital. À des fins de vérification de leur identité, ils ont chacun enregistré des données à caractère personnel sur cette application, et notamment leur nom, leur date de naissance, leurs adresses postale et électronique ainsi que des copies numériques de leur carte d’identité (4). Il est constant que les données ont été volées par des délinquants dont l’identité est inconnue.
7. L’Amtsgericht München (tribunal de district de Munich) considère que les données volées sont relativement sensibles et que JU et SO ont droit à réparation au titre de l’article 82 du RGPD. Étant donné que le montant de la réparation à allouer à JU et SO dépend de l’interprétation de l’article 82 du RGPD, il a décidé de surseoir à statuer et de poser les questions préjudicielles suivantes à la Cour :
« 1) L’article 82 du [RGPD] doit-il être interprété en ce sens que le droit à réparation n’a pas de caractère punitif même dans le cadre du calcul de son montant et n’a en particulier pas de fonction dissuasive générale ou spéciale, le droit à réparation n’ayant qu’une fonction de compensation et le cas échéant de satisfaction ?
2)a) Faut-il pour l’évaluation du droit à la réparation du préjudice moral partir du principe que ce droit a également une fonction de satisfaction individuelle – comprise ici comme un intérêt privé de la personne lésée à voir sanctionné le comportement à l’origine du préjudice – ou le droit à réparation n’a-t-il qu’une fonction de compensation – comprise ici en tant que fonction de compensation des atteintes subies ?
2)b)1) S’il faut partir du principe que le droit à la réparation du préjudice moral a une fonction tant de compensation que de satisfaction : faut-il admettre lors de son évaluation que la fonction de compensation prime structurellement ou du moins dans un rapport de règle et d’exception sur la fonction de satisfaction ? Est‑ce que cela conduit à ce qu’une fonction de satisfaction n’entre en ligne de compte qu’en cas d’atteintes intentionnelles ou de négligence grave ?
2)b)2) Si le droit à la réparation du préjudice moral n’a pas de fonction de satisfaction : est-ce que lors de leur calcul, seules les atteintes intentionnelles ou par négligence grave à la protection des données ont un poids supplémentaire dans l’évaluation des facteurs contributifs à la cause ?
3) Convient-il, pour interpréter la réparation du préjudice moral dans son évaluation, d’admettre un rapport hiérarchique structurel ou, à tout le moins, un rapport de hiérarchie entre règle et exception, dans lequel le ressenti d’une atteinte résultant d’une violation de données a moins de poids que le ressenti de l’atteinte et de la douleur lié à une atteinte corporelle ?
4) Une juridiction nationale est-elle libre, lorsqu’un préjudice est présumé, de n’accorder, compte tenu de l’absence de gravité, qu’une réparation matériellement minime qui peut donc le cas échéant n’être perçue que comme symbolique par la partie lésée ou par la population en général ?
5) Faut-il pour l’interprétation de la réparation du préjudice moral, quant à l’appréciation de ses conséquences, partir du principe qu’il n’y a vol d’identité au sens du considérant 75 du règlement général sur la protection des données que lorsqu’un délinquant a effectivement pris l’identité de la personne concernée, s’est donc fait passer pour cette personne d’une manière ou d’une autre, ou y a-t-il déjà vol d’identité dès lors que les délinquants disposent de données qui permettent d’identifier la personne concernée ? »
IV. La procédure devant la Cour
8. Par décision du 19 avril 2022, le président de la Cour de justice a joint les affaires C‑182/22 et C‑189/22 aux fins de la procédure écrite et orale ainsi que de l’arrêt.
9. Le 1er juin 2022, le président de la Cour a rejeté la demande de Scalable Capital visant à obtenir l’anonymisation de la présente procédure au titre de l’article 95, paragraphe 2, du règlement de procédure de la Cour.
10. SO, Scalable Capital, l’Irlande et la Commission européenne ont présenté des observations écrites.
11. J’examinerai, tout d’abord, les exceptions d’irrecevabilité soulevées à l’égard des questions préjudicielles avant de conseiller la Cour, conformément à sa demande, sur la manière dont il conviendrait de répondre à la cinquième question.
V. Appréciation
A. Sur la recevabilité
12. Selon Scalable Capital, la perte de contrôle sur les données à caractère personnel, sans autre conséquence pour la personne concernée, n’entraîne pas un dommage moral au sens de l’article 82, paragraphe 1, du RGPD. Le texte, l’économie générale et la finalité de l’article 82 du RGPD n’étayent pas l’existence d’une présomption selon laquelle un tel dommage se concrétise à la suite d’une telle perte de contrôle. La juridiction de renvoi a donc fait fausse route en présumant que JU et SO avaient subi un dommage moral. Partant, les demandes de décision préjudicielle sont dépourvues d’incidence sur la solution des litiges portés devant la juridiction de renvoi et sont donc irrecevables.
13. La Commission considère que l’on ne voit pas clairement dans quelle mesure la cinquième question serait pertinente pour la solution des litiges portés devant la juridiction de renvoi. Cette dernière se contente d’indiquer que les interprétations juridiques des parties divergent et relève qu’« il n’y a vol d’identité que lorsque quelqu’un utilise les données illégalement obtenues afin de feindre l’identité de la personne concernée ». En outre, par sa cinquième question, la juridiction de renvoi ne sollicite pas l’interprétation d’une disposition spécifique du RGPD par la Cour.
14. Conformément à la jurisprudence constante de la Cour, les questions portant sur l’interprétation du droit de l’Union posées par le juge national bénéficient d’une présomption de pertinence. La Cour ne peut refuser de statuer sur ces questions que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile auxdites questions (5).
15. L’exception d’irrecevabilité soulevée par Scalable Capital à l’égard de chacune des questions préjudicielles repose sur son interprétation de l’article 82 du RGPD, du droit à réparation et de l’absence alléguée de dommage moral. Les questions préjudicielles portent sur le droit à réparation des personnes concernées au titre de l’article 82 du RGPD. L’établissement de l’existence d’un dommage est un préalable nécessaire à l’obtention d’une telle réparation (6). L’exception d’irrecevabilité soulevée par Scalable Capital à l’égard des demandes de décision préjudicielle porte donc sur le fond des problématiques visées par ces questions. De par leur nature, les arguments qui concernent le fond des questions soulevées dans une demande de décision préjudicielle ne sauraient affecter la recevabilité de cette demande (7).
16. En ce qui concerne l’exception d’irrecevabilité soulevée par la Commission à l’égard de la cinquième question, il n’apparaît pas de manière manifeste que cette question n’ait aucun rapport avec les recours introduits devant la juridiction de renvoi, ni qu’elle soit de nature hypothétique. La juridiction de renvoi est saisie de recours en réparation au titre du RGPD. Les parties s’opposent quant à la question de savoir si le vol de données à caractère personnel constitue un vol d’identité au sens du considérant 75 du RGPD, ou si, pour qu’il y ait vol d’identité, un délinquant doit avoir « effectivement pris l’identité de la personne concernée » (8). Si les observations de la juridiction de renvoi sur sa cinquième question sont succinctes, il apparaît, à l’examen des demandes de décision préjudicielle, que cette question est liée aux quatre autres questions posées sur la notion de dommage moral et le droit à réparation au titre de l’article 82 du RGPD.
17. Partant, je propose à la Cour de rejeter les différentes exceptions d’irrecevabilité soulevées à l’égard des questions posées par l’Amtsgericht München (tribunal de district de Munich).
B. Sur le fond
1. Observations des parties
18. Selon SO, le considérant 85 du RGPD fait une distinction claire entre le vol d’identité et l’usurpation d’identité. Le vol d’identité suppose que le délinquant soit susceptible d’abuser de l’identité d’une personne en trompant autrui quant à cette identité. L’usurpation d’identité peut être commise à la suite d’un vol d’identité. Il s’ensuit que le vol d’identité n’exige pas qu’il y ait effectivement abus de l’identité d’une personne. La nature et la portée des données volées en l’espèce donnent lieu à une présomption de vol d’identité ouvrant droit à réparation à ce titre.
19. Scalable Capital soutient qu’il y a vol d’identité lorsqu’une personne abuse des données à caractère personnel d’un individu dans le but de « feindre l’identité » de cet individu. Le vol de certaines données peut conduire à un vol d’identité, ou le faciliter, mais il n’équivaut pas en soi à un vol d’identité. Cette approche est corroborée par une interprétation systématique du considérant 75 du RGPD, dès lors que les autres exemples qui y sont mentionnés montrent que la possibilité d’utiliser certaines données à caractère personnel ne constitue pas un vol d’identité. La finalité de l’article 82 du RGPD est de réparer les dommages concrètement subis par les individus. Une interprétation extensive de la notion de vol d’identité est contraire à cette finalité puisqu’elle reviendrait à fonder le recours en réparation sur la possibilité abstraite qu’un dommage puisse survenir à l’avenir.
20. L’Irlande soutient que le vol d’identité renvoie aux situations dans lesquelles une partie prend effectivement l’identité de la personne dont les données ont fait l’objet d’une appropriation illégitime. Par conséquent, pour qu’il y ait vol d’identité, il ne suffit pas qu’une partie soit en possession des données permettant d’identifier une personne. En tout état de cause, la réparation du dommage moral au titre de l’article 82 du RGPD doit faire l’objet d’une appréciation de fond au cas par cas.
21. La Commission fait observer que le RGPD ne définit pas le vol d’identité. Les considérants 75 et 85 du RGPD mentionnent le vol d’identité à titre d’exemple de traitement de données à caractère personnel susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral. Selon la Commission, le vol d’identité visé à ces considérants est l’obtention illégale de données dans le but de « feindre l’identité » de la personne concernée (9). Pour prouver le vol d’identité, l’intention du délinquant de se faire passer pour la personne concernée doit se traduire par des actions concrètes ou par des actes préparatoires effectués à cette fin. Étant donné qu’aux termes d’une jurisprudence constante, le dommage doit être « réel et certain » (10), la simple possession de données identifiant la personne concernée, sans qu’aucune mesure n’ait été prise pour se faire passer pour cette personne, ne saurait être qualifiée de vol d’identité.
2. Analyse
22. Par sa cinquième question, la juridiction de renvoi cherche à déterminer si le simple vol des données à caractère personnel sensibles d’une personne concernée (11), commis par un délinquant dont l’identité est inconnue, constitue un vol d’identité ouvrant droit à réparation, ou si, pour qu’il y ait vol d’identité, le délinquant doit effectivement prendre l’identité de la personne concernée ou prendre des mesures à cette fin. Cette question s’inscrit dans le contexte de la constatation d’un vol, commis par des délinquants dont l’identité est inconnue, de certaines données à caractère personnel sensibles de JU et SO qui étaient enregistrées sur l’application de trading de Scalable Capital. Bien que les données ne semblent pas avoir été utilisées (de manière abusive), on ne saurait exclure une telle utilisation (ou un tel abus) à l’avenir dès lors que l’identité des délinquants demeure inconnue et que ces derniers n’ont pas encore été arrêtés.
23. L’article 82 du RGPD confirme, en termes généraux (12), le droit de toute personne concernée ayant subi « un dommage matériel ou moral » du fait d’une violation du RGPD d’en obtenir réparation, et en attribue la responsabilité au(x) responsable(s) du traitement et/ou au(x) sous-traitant(s). Cette disposition ne précise ni la nature spécifique, ni la forme de ce dommage. Le RGPD ne renvoie pas au droit des États membres pour déterminer le sens et la portée des termes « dommage moral » (13). Ces termes doivent donc être considérés comme constituant une notion autonome du droit de l’Union, qui doit être interprétée de manière uniforme dans l’ensemble des États membres (14).
24. La réparation au titre de l’article 82 du RGPD est due à condition de prouver une violation du RGPD, un « préjudice concrètement subi » et un lien de causalité entre cette violation et ce préjudice (15). Le RGPD n’institue pas un régime de responsabilité objective (16). La nature indemnitaire du régime instauré par l’article 82, paragraphe 1, du RGPD exclut également l’octroi de dommages-intérêts punitifs (17). Une telle réparation doit être complète et effective, en ce sens qu’elle doit permettre « de compenser intégralement le préjudice concrètement subi du fait de la violation [du RGPD] » (18). Le dommage moral subi par la personne concernée ne doit pas nécessairement atteindre un certain degré de gravité (19). Bien qu’il n’y ait pas de seuil de minimis quant à la gravité du dommage moral, des éléments de preuve clairs et précis doivent attester que la personne concernée a subi un tel dommage. Le dommage potentiel ou hypothétique (20), ou la simple inquiétude liée au vol des données à caractère personnel d’un individu, ne suffisent pas.
25. L’article 82, paragraphe 3, du RGPD exonère de responsabilité le responsable du traitement ou le sous-traitant « s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ». La Cour n’a pas eu l’occasion d’examiner cette disposition en détail. Une interprétation littérale de l’article 82, paragraphe 3, du RGPD semble indiquer que toute négligence (faute concurrente) ou défaillance du responsable du traitement ou du sous-traitant suffisent à exclure l’application de l’exonération. En outre, la charge de la preuve (21) imposée par cette disposition au(x) responsable(s) du traitement ou au(x) sous-traitant(s) qui souhaitent se prévaloir de l’exonération peut nécessiter la mise en œuvre de mesures continues visant à prévenir les violations de données (22).
26. Le vol des données à caractère personnel d’une personne concernée ouvre droit à réparation du dommage moral au titre de l’article 82, paragraphe 1, du RGPD si les trois conditions établies dans l’arrêt Österreichische Post (23) sont remplies. Conformément au septième considérant du RGPD, « [l]es personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant ». Lorsque les personnes concernées sont « empêchées d’exercer le contrôle sur leurs données à caractère personnel »(24) ou lorsque les personnes physiques perdent le « contrôle sur leurs données à caractère personnel » (25), de telles situations sont susceptibles d’entraîner un dommage moral. C’est dans ce contexte que la juridiction de renvoi cherche à déterminer si le vol de données à caractère personnel constitue un vol d’identité.
27. Le vol d’identité n’est ni mentionné ni défini dans le dispositif du RGPD. Les considérants 75 et 85 du RGPD font simplement référence à « un vol ou [à] une usurpation d’identité ». Le considérant 75 mentionne le « vol ou [l’]usurpation d’identité » dans une liste non exhaustive d’exemples (26)de risques pour les droits et libertés des personnes physiques pouvant résulter du traitement de données à caractère personnel. De même, le considérant 85 du RGPD cite le « vol ou [l’]usurpation d’identité » comme exemple (27)de dommages pouvant découler d’une violation de données à caractère personnel si l’on n’intervient pas à temps et de manière appropriée (28).
28. Plusieurs considérants (29) et dispositions (30) d’autres actes législatifs de l’Union mentionnent les termes « usurpation d’identité » (31), « fraude à l’identité » et « vol ou usurpation d’identité » (32). Je n’ai trouvé aucune disposition du droit de l’Union qui définit ces termes (33). Le législateur de l’Union se réfère donc à ces termes à titre illustratif (34).
29. C’est ce qui ressort également d’un examen des différentes versions linguistiques de ces termes mentionnés aux considérants 75 et 85 du RGPD. Si les versions allemande (Identitätsdiebstahl oder ‑betrug), anglaise (identity theft or fraud), estonienne (identiteedivargust või -pettust), irlandaise (goid aitheantais nó calaois aitheantais), lituanienne (būti pavogta ar suklastota tapatybė), néerlandaise (identiteitsdiefstal of -fraude), polonaise (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), roumaine (furt sau fraudă a identității) et slovaque (krádeži totožnosti alebo podvodu) sont largement similaires, d’autres versions linguistiques s’en écartent à des degrés divers : les versions tchèque (krádeži či zneužití identity), française (un vol ou une usurpation d’identité), grecque (κατάχρηση ή υποκλοπή ταυτότητας), portugaise (usurpação ou roubo da identidade), italienne (furto o usurpazione d’identità) et espagnole (usurpación de identidad o fraude). Les différentes versions linguistiques des considérants pertinents du RGPD montrent que les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » se chevauchent et que l’on peut les considérer comme étant interchangeables, du moins dans une certaine mesure. Il s’ensuit que les considérants 75 et 85 n’opèrent pas une distinction claire entre le vol d’identité et l’usurpation d’identité, contrairement aux affirmations de SO telles que nous les avons exposées au point 18 des présentes conclusions.
30. Les considérants 75 et 85 du RGPD distinguent l’exemple de la « perte de contrôle » ou de l’empêchement « d’exercer le contrôle » sur les données à caractère personnel de l’exemple du « vol ou [de l’]usurpation d’identité ». Par conséquent, le vol de données à caractère personnel (35) ne constitue pas à lui seul un vol d’identité, quand bien même ce vol peut conduire à une utilisation (ou à un abus) de ces données dans le futur. Le vol d’identité nécessite une action ou une étape supplémentaires dont les effets préjudiciables pour la personne concernée vont au-delà du vol de données à caractère personnel (36). Un individu qui vole les données à caractère personnel d’une personne concernée doit les utiliser (ou en abuser) à des fins illicites, sans le consentement de cette personne, ou prendre des mesures concrètes à cet effet (37). Une telle action implique le plus souvent une fraude ou une autre forme de tromperie, et est généralement accomplie à des fins financières ou pour obtenir un autre avantage, ou encore pour nuire à la personne concernée ou à son entourage (38).
31. Il découle de ce qui précède que, si le vol de données à caractère personnel ne constitue pas un vol ou une usurpation d’identité, il est susceptible d’entraîner un préjudice moral et d’ouvrir droit à réparation au titre de l’article 82, paragraphe 1, du RGPD (39). Le dommage moral peut être plus facile à établir s’il s’avère que la personne concernée a été victime d’un vol ou d’une usurpation d’identité à la suite du vol de ses données à caractère personnel (40). Le droit à réparation du dommage moral causé par le vol de données à caractère personnel, au titre de l’article 82, paragraphe 1, du RGPD, ne dépend toutefois pas de l’existence d’un vol ou d’une usurpation d’identité (41). Le dommage moral et le droit à réparation au titre de l’article 82, paragraphe 1, du RGPD doivent être appréciés au cas par cas en tenant compte de toutes les circonstances pertinentes.
VI. Conclusion
32. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit à la cinquième question préjudicielle de l’Amtsgericht München (tribunal de district de Munich, Allemagne) :
L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le vol des données à caractère personnel sensibles d’une personne concernée, commis par un délinquant dont l’identité est inconnue, peut ouvrir droit à réparation du dommage moral à condition de prouver une violation du règlement général sur la protection des données, un dommage concrètement subi et un lien de causalité entre le dommage et cette violation. Il n’est pas nécessaire que le délinquant prenne l’identité de la personne concernée pour pouvoir accorder une telle réparation, et la possession des données permettant d’identifier la personne concernée ne constitue pas en soi un vol d’identité.