Language of document :

ARRÊT DE LA COUR (troisième chambre)

14 décembre 2023 (*)

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 82 – Droit à réparation et responsabilité – Notion de “dommage moral” – Publication, en ligne, de l’ordre du jour de la réunion d’un conseil municipal comportant des données à caractère personnel – Publication sans le consentement des personnes concernées – Demande de ces personnes visant l’indemnisation du dommage moral »

Dans l’affaire C‑456/22,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Landgericht Ravensburg (tribunal régional de Ravensbourg, Allemagne), par décision du 30 juin 2022, parvenue à la Cour le 8 juillet 2022, dans la procédure

VX,

AT

contre

Gemeinde Ummendorf,

LA COUR (troisième chambre),

composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) et M. Gavalec, juges,

avocat général : M. N. Emiliou,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–        pour AT et VX, par Me O. Leuze, Rechtsanwalt,

–        pour la Gemeinde Ummendorf, par Me A. Staudacher, Rechtsanwalt,

–        pour l’Irlande, par Mme M. Browne, MM. A. Joyce et  M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,

–        pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant deux personnes physiques, AT et VX, à la Gemeinde Ummendorf (commune d’Ummendorf, Allemagne), au sujet de l’octroi de dommages-intérêts, au titre de l’article 82, paragraphe 1, du RGPD, à titre de réparation pour les souffrances endurées (pretium doloris) qu’elles affirment avoir subies du fait de la divulgation, sans leur consentement, de leurs données à caractère personnel sur le site Internet de cette commune.

 Le cadre juridique

3        Le considérant 146, première, troisième et sixième phrases, du RGPD est libellé comme suit :

« Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. [...] La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice [de l’Union européenne], d’une manière qui tienne pleinement compte des objectifs du présent règlement. [...] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »

4        L’article 5, paragraphe 1, sous a), de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :

« Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».

5        L’article 82 dudit règlement, intitulé « Droit à réparation et responsabilité », prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

6        Le 19 juin 2020, la commune d’Ummendorf a, sans le consentement des requérants au principal, publié sur Internet l’ordre du jour d’une réunion du conseil municipal, dans lequel les noms de ceux-ci étaient mentionnés à plusieurs reprises, ainsi qu’un jugement prononcé le 10 mars 2020 par le Verwaltungsgericht Sigmaringen (tribunal administratif de Sigmaringen, Allemagne), qui mentionnait également leurs noms et prénoms ainsi que l’adresse de leur domicile. Ces documents ont été accessibles sur la page d’accueil du site Internet de cette commune jusqu’au 22 juin 2020.

7        Estimant que cette publication violait le RGPD et que la commune d’Ummendorf avait agi intentionnellement dès lors que les noms des autres parties à la procédure ayant conduit audit jugement avaient été supprimés, les requérants au principal ont demandé à la commune de réparer le dommage moral qu’ils affirmaient avoir subi, au sens de l’article 82, paragraphe 1, de ce règlement. Ils considèrent que la divulgation illicite de données à caractère personnel d’un individu constitue un « dommage », au sens de cette disposition, sans que ne puisse être invoqué un « seuil de minimis », qui serait contraire à l’économie du RGPD et à l’effet dissuasif de ladite disposition.

8        La commune d’Ummendorf estime, en revanche, que la réparation d’un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD nécessite la démonstration d’un préjudice tangible et d’une atteinte objectivement concevable à des intérêts personnels.

9        Saisi en appel du litige entre les parties au principal, le Landgericht Ravensburg (tribunal régional de Ravensbourg, Allemagne), qui est la juridiction de renvoi, considère que, en publiant sur Internet des données à caractère personnel des requérants au principal, la commune d’Ummendorf a violé l’article 5, paragraphe 1, sous a), du RGPD. Cette juridiction s’interroge toutefois sur le point de savoir si cette publication a causé auxdits requérants un dommage moral, au sens de l’article 82, paragraphe 1, de ce règlement, de sorte qu’ils ont droit au versement d’une indemnisation pour les souffrances endurées.

10      En particulier, la juridiction de renvoi estime que la simple perte de contrôle sur des données à caractère personnel des requérants au principal ne suffit pas pour caractériser un dommage moral, au sens de l’article 82, paragraphe 1, du RGPD. Elle considère que, pour admettre l’existence d’un dommage moral, un « seuil de minimis » doit être dépassé et que tel n’est pas le cas lorsque les personnes concernées n’ont perdu le contrôle sur leurs données que pendant un court laps de temps, sans que cela leur ait causé un préjudice tangible et sans qu’une atteinte objectivement concevable à leurs intérêts personnels ait été démontrée.

11      Dans ces conditions, le Landgericht Ravensburg (tribunal régional de Ravensbourg) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Convient-il d’interpréter la notion de dommage moral visée à l’article 82, paragraphe 1, du [RGPD] en ce sens qu’un dommage moral suppose un préjudice tangible et une atteinte objectivement concevable à des intérêts personnels ou suffit-il que la personne concernée ait simplement perdu, pendant une courte durée, le contrôle sur ses données du fait de la publication de données à caractère personnel sur Internet pendant une période de quelques jours, sans que cela ait entraîné de conséquence tangible ou négative pour la personne concernée ? »

 Sur la question préjudicielle

12      Par sa question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement.

13      À cet égard, il y a lieu de rappeler que cette disposition prévoit que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi ».

14      Ainsi que la Cour l’a souligné, il ressort du libellé de l’article 82, paragraphe 1, du RGPD que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cette disposition, tout comme l’existence d’une violation de ce règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 32, et de ce jour, Natsionalna agentsia za prihodite, C‑340/21, point 77]. Il s’ensuit que ces trois conditions sont nécessaires et suffisantes pour avoir un droit à réparation, au sens de ladite disposition.

15      Eu égard à l’absence de toute référence dans l’article 82, paragraphe 1, du RGPD au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 30 et 44].

16      Dans cette perspective, en se fondant sur des considérations d’ordre à la fois littéral, systémique et téléologique, la Cour a interprété l’article 82, paragraphe 1, du RGPD en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un « dommage moral », au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 51, et de ce jour, Natsionalna agentsia za prihodite, C‑340/21, point 78].

17      Ainsi, il ne saurait être considéré que, en sus des trois conditions énoncées au point 14 du présent arrêt, d’autres conditions d’engagement de la responsabilité prévue à l’article 82, paragraphe 1, du RGPD, telles que le caractère tangible du dommage ou le caractère objectif de l’atteinte, puissent être ajoutées.

18      Il s’ensuit que l’article 82, paragraphe 1, du RGPD n’exige pas que, à la suite d’une violation avérée de dispositions de ce règlement, le « dommage moral » allégué par la personne concernée doive atteindre un « seuil de minimis » pour que ce dommage puisse être réparé.

19      Cette interprétation est corroborée par le considérant 146, troisième phrase, du RGPD qui énonce que « la notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour [...], d’une manière qui tienne pleinement compte des objectifs [de ce règlement] ». Or, cette conception large de la notion de « dommage » ou de « préjudice », privilégiée par le législateur de l’Union, serait contredite si ladite notion était circonscrite aux seuls dommages ou aux seuls préjudices d’une certaine gravité, en particulier quant à la durée de la période pendant laquelle les conséquences négatives de la violation dudit règlement ont été subies par les personnes concernées [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 46, et de ce jour, Natsionalna agentsia za prihodite, C‑340/21, point 81].

20      En outre, une telle interprétation est conforme à l’un des objectifs du RGPD consistant à assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union. En effet, subordonner la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par ce règlement, puisque la graduation d’un tel seuil, dont dépendrait la possibilité ou non d’obtenir ladite réparation, serait susceptible de fluctuer en fonction de l’appréciation des juges saisis [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 48 et 49].

21      Une personne concernée par une violation du RGPD qui a produit des conséquences négatives à son encontre est toutefois tenue de démontrer que ces conséquences sont constitutives d’un dommage moral, au sens de l’article 82 de ce règlement [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 50, et de ce jour, Natsionalna agentsia za prihodite, C‑340/21, point 84]. En effet, la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 42].

22      Dans ces conditions, si rien ne s’oppose à ce que la publication sur Internet de données à caractère personnel et la perte consécutive de contrôle sur celles-ci pendant un court laps de temps puissent causer aux personnes concernées un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, encore faut-il que ces personnes démontrent qu’elles ont effectivement subi un tel dommage, aussi minime fût-il.

23      Eu égard aux motifs qui précèdent, il convient de répondre à la question posée que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. La personne concernée est tenue de démontrer que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions dudit règlement.

 Sur les dépens

24      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :

L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

il s’oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation de ce règlement. La personne concernée est tenue de démontrer que les conséquences de cette violation qu’elle prétend avoir subies sont constitutives d’un préjudice qui se différencie de la simple violation des dispositions dudit règlement.

Signatures

*      Langue de procédure : l’allemand.