CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MANUEL CAMPOS SÁNCHEZ-BORDONA
présentées le 6 octobre 2022(1)
Affaire C‑300/21
UI
contre
Österreichische Post AG
[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Préjudice moral résultant d’un traitement illicite de données – Conditions du droit à réparation – Préjudice dépassant un certain seuil de gravité »
1. Le règlement (UE) 2016/679 (2) confère à toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions le droit d’obtenir réparation de la part du responsable du traitement ou du sous-traitant.
2. La possibilité de faire valoir le droit susmentionné en justice existait déjà dans la réglementation précédente (article 23 de la directive 95/46/CE) (3), bien qu’elle ait été peu exercée (4). Sauf erreur de ma part, la Cour n’a pas eu l’occasion d’interpréter spécifiquement cet article.
3. Sous l’empire du RGPD, les actions en réparation ont gagné en importance (5). Leur augmentation est perceptible devant les juridictions des États membres et se reflète dans les renvois préjudiciels y afférents (6). Par la présente demande de décision préjudicielle, l’Oberster Gerichtshof (Cour suprême, Autriche) invite la Cour à préciser certaines caractéristiques communes du régime de responsabilité civile instauré par le RGPD.
I. Le cadre juridique : le RGPD
4. Sont pertinents aux fins du présent litige, notamment, les considérants 75, 85 et 146 du RGPD.
5. L’article 6 du RGPD, intitulé « Licéité du traitement », se lit comme suit :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
[...] »
6. L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, en son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
7. L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », énonce, en son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi. »
II. Les faits, le litige et les questions préjudicielles
8. Depuis l’année 2017, Österreichische Post AG, société éditrice d’adresses, collectait des informations sur les affinités partisanes de la population autrichienne. À l’aide d’un algorithme, elle définissait les « adresses de groupes cibles » selon des critères sociodémographiques.
9. UI est une personne physique à l’égard de laquelle Österreichische Post a effectué une extrapolation, sur la base d’un calcul statistique, pour déterminer sa classification au sein de possibles groupes cibles pour la publicité électorale de plusieurs partis politiques. Il ressortait de cette extrapolation qu’UI présentait une forte affinité avec l’un d’entre eux. Ces données n’ont pas été transférées à des tiers.
10. UI, qui n’avait pas consenti au traitement de ses données à caractère personnel, s’est senti contrarié par le fait que les données portant sur ses affinités partisanes aient été conservées ; il s’est également senti indigné et blessé par l’affinité qu’Österreichische Post lui avait concrètement attribuée.
11. UI a demandé le versement de 1 000 euros de dommages-intérêts en réparation du préjudice moral subi (désagréments intérieurs). Il fait valoir que l’affinité politique qui lui est attribuée est une insulte et une honte, et qu’elle est en outre diffamante. Le comportement d’Österreichische Post, ajoute-t-il, a suscité chez lui une grave contrariété et une perte de confiance, ainsi qu’un sentiment d’humiliation.
12. La juridiction de première instance a rejeté la demande de paiement d’UI (7).
13. La juridiction d’appel a confirmé le jugement de première instance. Elle a déclaré que toute violation du RGPD n’entraînait pas automatiquement un droit à réparation du préjudice moral et que :
– le droit autrichien étant applicable en sus du RGPD, seuls les préjudices allant au-delà du mécontentement ou de l’atteinte aux sentiments (« Gefühlsschaden ») causés par la violation des droits du requérant sont indemnisables ;
– il convient de respecter le principe, qui sous-tend la réglementation autrichienne, selon lequel chacun doit supporter une simple gêne ou un simple désagrément, puisqu’ils sont sans conséquence en matière d’indemnisation. En d’autres termes, le droit à réparation exige que le préjudice allégué revête une certaine gravité.
14. L’arrêt de la juridiction d’appel a fait l’objet d’un recours devant l’Oberster Gerichtshof (Cour suprême), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Pour allouer des dommages-intérêts en vertu de l’article 82 du [RGPD], est‑il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages-intérêts ?
2) Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?
3) La position selon laquelle, pour accorder un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? »
III. La procédure devant la Cour
15. La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 12 mai 2021.
16. Des observations écrites ont été déposées par UI, Österreichische Post, les gouvernements autrichien, tchèque et irlandais ainsi que par la Commission européenne. La tenue d’une audience n’a pas été jugée nécessaire.
IV. Analyse
A. Observations liminaires
1. Recevabilité
17. UI soutient que la première question préjudicielle n’est pas pertinente aux fins du litige au principal, sa demande étant fondée non pas sur la « simple » violation d’une disposition du RGPD, mais sur les conséquences ou les effets d’une telle violation.
18. L’exception d’irrecevabilité doit être rejetée. Même si l’on admettait que le traitement de données a violé le RGPD sans causer de préjudice à UI, celui-ci pourrait bénéficier d’un droit à réparation au titre de l’article 82 du RGPD, si, comme le demande la juridiction de renvoi, il devait être confirmé que la simple violation d’une règle relative au traitement ouvre droit à une telle réparation.
19. Selon UI, la Cour pourrait également considérer la deuxième question préjudicielle comme étant irrecevable au motif qu’elle serait très ouverte quant à son contenu et excessivement limitée en ce qui concerne les exigences du droit de l’Union, dans la mesure où elle n’en mentionne aucune en particulier.
20. Cette objection, bien que mieux fondée que la précédente, ne saurait pas davantage prospérer. Il est légitime pour une juridiction de chercher à savoir si, au‑delà du respect des principes d’équivalence et d’effectivité, elle doit apprécier d’autres exigences imposées par le droit de l’Union pour évaluer le préjudice.
2. Délimitation de l’objet des présentes conclusions
21. L’article 82 du RGPD comporte six paragraphes. La juridiction de renvoi n’en vise aucun en particulier, mais se réfère implicitement au premier d’entre eux. Elle ne précise pas non plus la règle dont la violation ouvrirait droit à réparation.
22. Je fonderai les présentes conclusions sur les prémisses suivantes :
– le traitement des données à caractère personnel d’UI a été effectué sans recueillir son consentement au sens de l’article 6, paragraphe 1, sous a), du RGPD ;
– le droit à réparation appartient à toute personne ayant subi un dommage. En l’espèce, UI, en tant que personne physique identifiée et affectée par le traitement, est une « personne concernée » (8) ;
– le RGPD prévoit la réparation des dommages matériels et moraux. La demande d’UI se limite à ces derniers et a un contenu pécuniaire.
B. Sur la première question préjudicielle
23. Par sa première question, la juridiction de renvoi souhaite savoir, en substance, si la simple violation des dispositions du RGPD ouvre droit à réparation, qu’elle ait causé ou non un dommage.
24. On peut déduire des affirmations de la juridiction de renvoi et des observations déposées devant la Cour que cette question admet également une autre lecture, un peu plus complexe : il s’agirait de déterminer si la violation des dispositions du RGPD entraîne nécessairement un dommage ouvrant droit à réparation, sans laisser au défendeur la possibilité de démontrer le contraire.
25. Il existe une certaine différence (théorique) entre ces deux approches : dans le cadre de la première, le dommage n’est pas une condition de la réparation ; il l’est, en revanche, dans la seconde. En pratique, l’obligation faite au requérant de prouver le dommage disparaît dans les deux cas ; il n’est pas non plus tenu de démontrer le lien de causalité entre la violation et ce dommage (9).
26. En tout état de cause, je considère qu’aucune des deux lectures de la première question préjudicielle n’appelle, à mon sens, de réponse affirmative. Je les analyserai séparément.
1. Réparation en l’absence de dommage ?
27. Soutenir qu’il existe un droit à réparation, même si aucun dommage n’est causé à la personne concernée par la violation du RGPD, soulève des difficultés évidentes, à commencer par celle due au libellé de l’article 82, paragraphe 1, de ce règlement.
28. En vertu de cette disposition, la réparation (10) est accordée précisément parce qu’il y a eu un dommage préalable. Il est donc exigé, sans équivoque, que la personne physique ait subi un dommage du fait d’une violation du RGPD.
29. L’interprétation qui associe, de manière automatique, la notion de « violation » à celle de « compensation » en l’absence de dommage n’est donc pas conforme au libellé de l’article 82 du RGPD. Elle ne cadre pas non plus avec le but premier de la responsabilité civile instaurée par le RGPD, qui est de donner satisfaction à la personne concernée, précisément au moyen de la réparation « complète et effective » du dommage qu’elle a subi (11).
30. En l’absence de dommage, la réparation n’aurait plus pour fonction de compenser les conséquences négatives de la violation, mais remplirait une fonction d’une autre nature, plus proche de la sanction.
31. Il est vrai, toutefois, que l’ordre juridique d’un État membre peut prévoir le paiement d’une indemnisation à titre punitif (12). On entend par là la condamnation au paiement d’une somme substantielle, au-delà de la stricte réparation du dommage.
32. Les dommages-intérêts punitifs ne font généralement pas abstraction de l’existence préalable d’un dommage. Si tel est leur point de départ, ils dissocient néanmoins les conséquences patrimoniales du dommage du montant de la réparation qui lui correspond.
33. Il n’est cependant pas inconcevable que les dommages-intérêts punitifs fassent abstraction du dommage ou le considèrent comme étant sans incidence pour donner satisfaction à celui qui les a réclamés.
34. La réponse à la première question préjudicielle m’impose d’examiner l’adéquation de ce type de dommages-intérêts avec le RGPD, d’autant plus que la décision de renvoi ainsi que les observations des parties au principal et des autres intéressés à la procédure préjudicielle s’y sont référées.
2. Des dommages-intérêts punitifs ?
a) Interprétation littérale
35. À la fonction classique de la responsabilité civile peut s’ajouter une autre fonction de nature « punitive » ou « exemplaire », en vertu de laquelle, comme je l’ai déjà décrit, le montant de la réparation n’équivaut pas au préjudice subi, mais est augmenté, voire multiplié.
36. Le droit de l’Union ne s’oppose pas, en principe, à l’octroi de tels dommages‑intérêts en cas de violation de ses règles, s’ils peuvent être accordés dans le cadre d’actions similaires fondées sur le droit interne (13).
37. Les dommages-intérêts punitifs ont une finalité dissuasive. Cette même finalité est poursuivie lorsque, en présence de la violation d’une directive, les États membres doivent prendre des mesures destinées à produire « un effet dissuasif réel » (14). Certaines directives prévoient expressément que les dommages‑intérêts, conçus comme des sanctions, doivent avoir un caractère dissuasif (15).
38. En revanche, dans d’autres textes, le législateur déclare que l’objectif d’une directive n’est pas d’« introduire une obligation de prévoir des dommages-intérêts punitifs » (16) ou que les États membres doivent éviter ce type de dommages-intérêts à l’occasion de la transposition de ces actes (17). En droit de l’Union, la condamnation directe à des dommages-intérêts dits « punitifs » est exceptionnelle (18).
39. Or, le RGPD ne contient aucune référence à la nature punitive des dommages-intérêts au titre du préjudice matériel ou moral subi, au fait que le calcul de leur montant doive refléter cette nature, ni à l’exigence que ces dommages‑intérêts soient dissuasifs (caractère qu’il attribue, en revanche, aux sanctions pénales et aux amendes administratives) (19). Sur la base d’une interprétation littérale, le RGPD ne permet donc pas l’octroi de dommages-intérêts punitifs.
b) Interprétation à la lumière de l’historique de la disposition
40. L’article 82, paragraphe 1, du RGPD a succédé à l’article 23, paragraphe 1, de la directive 95/46. Ce dernier s’inscrivait dans le cadre d’un système dont l’effectivité reposait sur la mise en œuvre par la sphère publique et la mise en œuvre sur l’initiative de la sphère privée (20), mais dans lequel l’indemnisation (privée) et la sanction (publique) ne se confondaient pas (21). La surveillance du respect des règles incombait principalement à des autorités de contrôle indépendantes (22).
41. Le RGPD reprend ce modèle, mais renforce les outils permettant de garantir l’efficacité de ses dispositions, désormais plus détaillées, ainsi que des réactions qu’il prévoit, aujourd’hui plus fortes, en cas de violation ou de menace de violation de ses règles :
– d’une part, il renforce le rôle des autorités de contrôle, lesquelles sont chargées, entre autres tâches, d’imposer les sanctions harmonisées prévues par le RGPD lui-même (23). Il met ainsi en exergue l’élément tenant à la mise en œuvre des règles par la sphère publique ;
– d’autre part, il prévoit que les particuliers peuvent assumer la défense des droits que le RGPD leur confère (24), soit en déclenchant l’action des autorités de contrôle (article 77 de ce règlement), soit en recourant à la voie juridictionnelle (articles 79 et 82 dudit règlement). En outre, l’article 80 du même règlement autorise certains organismes à intenter des actions représentatives (25), ce qui facilite la défense d’intérêts généraux que les particuliers ont la possibilité d’assurer (26).
42. Le développement du régime uniforme de responsabilité civile en cas de dommages dans le RGPD a été limité. Des aspects qui pouvaient susciter des incertitudes dans le cadre de la directive 95/46, tels que l’inclusion du préjudice moral parmi les préjudices indemnisables (27), ont été rapidement éclaircis. La négociation s’est concentrée sur d’autres aspects de ce régime (28).
43. Je n’ai trouvé dans les travaux préparatoires aucune discussion relative à une éventuelle fonction punitive de la responsabilité civile telle qu’elle est envisagée dans le RGPD. Il n’est donc pas possible de conclure qu’elle a sa place dans l’article 82 de ce règlement, en l’absence de tout débat à cet égard, d’autant moins qu’une discussion a eu lieu sur son inclusion dans d’autres textes du droit de l’Union (29).
44. Dans ces conditions, j’estime que la voie de droit prévue à l’article 82, paragraphe 1, du RGPD a été conçue et définie pour remplir les fonctions typiques de la responsabilité civile : réparer le préjudice (pour la personne lésée) et, accessoirement, prévenir des dommages futurs (pour l’auteur de la violation).
c) Interprétation contextuelle
45. Ainsi que je l’ai exposé, l’article 82 du RGPD fait partie intégrante d’un système de garanties de l’effectivité des règles dans le cadre duquel l’initiative privée complète leur mise en œuvre par la sphère publique. La réparation due par les responsables du traitement de données à caractère personnel ou par les sous‑traitants contribue à cette effectivité.
46. L’obligation de réparation fonctionne (idéalement) comme une incitation à agir plus prudemment à l’avenir, en respectant les règles et en évitant de nouveaux dommages. Ainsi, en réclamant une réparation pour lui-même, chaque individu contribue à l’efficacité générale des règles.
47. Dans ce cadre, la fonction compensatoire et la fonction punitive sont séparées :
– les amendes susceptibles d’être infligées par les autorités de contrôle ou les juridictions (article 83, paragraphes 1 et 9, du RGPD) et les autres sanctions que les États membres adoptent en application de l’article 84 du RGPD (30) relèvent de la seconde fonction ;
– les réclamations introduites par les particuliers (article 77 du RGPD) et les procédures juridictionnelles (article 79 de ce règlement) relèvent de la première fonction. Il n’appartient toutefois pas aux autorités de contrôle de se prononcer sur le droit à réparation.
48. Selon le même principe de séparation de la fonction compensatoire et de la fonction punitive :
– en imposant une amende et en en fixant le montant, l’autorité doit tenir compte des facteurs énumérés à l’article 83 du RGPD, qui ne sont pas prévus dans le domaine de la responsabilité civile et qui ne sont, en principe, pas transposables au calcul de la réparation (31) ;
– si le niveau de dommage subi par les personnes concernées est un facteur de gradation de l’amende (32), le calcul de son montant n’a pas à prendre en compte l’indemnisation qu’elles ont pu recevoir (33).
49. D’un point de vue théorique, une interprétation qui, en l’absence de tout dommage, attribuerait un rôle punitif à la responsabilité civile créerait le risque d’un double emploi entre les mécanismes d’indemnisation et les mécanismes de sanction.
50. En pratique, s’il leur était facile d’obtenir un gain « punitif » à titre de réparation, les personnes concernées pourraient être incitées à préférer cette voie à celle prévue à l’article 77 du RGPD. La généralisation d’une telle voie priverait les autorités de contrôle d’un outil (la réclamation introduite par la personne concernée) qui leur permet d’avoir connaissance d’éventuelles violations du RGPD et, partant, d’enquêter sur celles-ci et de les sanctionner, et ce au détriment des instruments les plus adaptés à la défense de l’intérêt général.
d) Interprétation téléologique
51. Pour l’essentiel, les objectifs du RGPD, qui sont énoncés dès son titre, sont au nombre de deux : d’une part, « la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant » et, d’autre part, la nécessité que cette protection s’articule de telle manière que « la libre circulation de ces données » au sein de l’Union ne soit ni interdite ni limitée (34).
52. J’estime que, pour atteindre ces objectifs, le RGPD n’exige pas que la simple violation de la règle régissant le traitement donne lieu à réparation, en dotant la responsabilité civile de fonctions répressives.
53. S’agissant du premier objectif, il n’est pas nécessaire, pour l’atteindre, d’élargir par voie d’interprétation le champ d’application de l’article 82 du RGPD pour qu’il couvre les cas dans lesquels il y a eu violation d’une règle, mais pas de dommage. En revanche, une telle extension pourrait avoir un effet négatif sur le second objectif.
54. J’ai déjà souligné que le RGPD prévoit plusieurs mécanismes de garantie du respect de ses règles, qui coexistent et se complètent. Les États membres n’ont pas à choisir parmi les mécanismes du chapitre VIII de ce règlement pour garantir la protection des données (et, de fait, ne le peuvent pas). En présence d’une violation qui ne cause pas de dommage, la personne concernée conserve (au moins) le droit d’introduire une réclamation auprès d’une autorité de contrôle, au titre de l’article 77, paragraphe 1, du RGPD.
55. En outre, la perspective d’obtenir réparation en l’absence de tout dommage encouragerait probablement les litiges civils et l’introduction de demandes qui ne seraient peut-être pas toujours justifiées (35), et pourrait, dans cette mesure, décourager l’activité de traitement de données (36).
3. Présomption de dommage ?
56. Certaines observations des parties au principal proposent une lecture de la première question préjudicielle différente de celle que j’ai examinée jusqu’à présent. Si je comprends bien leur position (37), elles semblent défendre l’idée qu’il existerait une présomption irréfragable de dommage, à partir du moment où la règle a été violée.
57. Une telle violation, ajoutent-elles, entraînerait nécessairement une perte de contrôle sur les données, ce qui constituerait, en soi, un dommage indemnisable au titre de l’article 82, paragraphe 1, du RGPD.
58. En théorie, cette présomption ne permet pas d’exclure le dommage, de sorte que la structure classique de la responsabilité civile ainsi que le libellé de la disposition du RGPD sont respectés. En pratique, toutefois, pour le requérant et le défendeur, la reconnaissance d’une telle présomption aurait des effets similaires à ceux qui surviennent lorsque la réparation prévue à l’article 82, paragraphe 1, du RGPD est associée à la simple violation de la règle.
59. Je recourrai de nouveau aux critères herméneutiques habituels pour expliquer en quoi cette interprétation ne me paraît pas correcte.
a) Interprétation littérale
60. Lorsque le législateur a considéré, dans d’autres domaines du droit de l’Union, qu’un droit à réparation découle automatiquement de la violation d’une règle, il n’a pas hésité à le prévoir (38). Tel n’est pas le cas dans le RGPD, qui comporte des règles en matière de preuve, ou ayant des conséquences directes à cet égard (39), mais qui n’instaure pas ce lien automatique, qu’il soit direct ou qu’il résulte d’une présomption irréfragable.
61. Les références au contrôle des données (ou à la perte de ce contrôle) figurant dans les considérants 75 (40) et 85 (41) du RGPD ne me semblent pas contrebalancer cette absence. Au-delà du fait que, en tant que tels, ces considérants sont dépourvus de valeur normative, aucun des deux n’indique que la violation d’une règle entraîne, par elle-même, un dommage indemnisable :
– le considérant 75 de ce règlement évoque le fait que les personnes concernées puissent être empêchées d’exercer le contrôle sur leurs données à caractère personnel comme l’un des risques possibles du traitement ;
– le considérant 85 dudit règlement se réfère à la perte de contrôle comme étant l’une des conséquences qui pourraient survenir à la suite d’une violation de données à caractère personnel (42).
62. La perte de contrôle des données n’entraîne pas nécessairement un dommage. Cette expression peut être considérée comme une facilité de langage faisant référence à des dommages consécutifs à une telle perte, s’ils se matérialisent (43).
b) Interprétation à la lumière de l’historique de la disposition
63. L’analyse de l’historique de la disposition ne corrobore pas non plus l’existence d’une telle présomption, qui ne figurait pas dans la directive 95/46 (44), et les documents de la Commission, du Parlement européen ou du Conseil préparatoires à l’adoption du RGPD que j’ai examinés ne la prévoyaient pas.
c) Interprétation contextuelle
64. Si l’on se place dans la perspective du consentement de la personne concernée, le système instauré par le RGPD comporte des éléments permettant de réfuter l’hypothèse selon laquelle il reconnaîtrait la présomption en cause (45). En tant que vecteur du contrôle qu’exerce la personne concernée sur ses données, ce consentement légitime le traitement desdites données au même titre que les autres bases juridiques (article 6 du RGPD) (46).
65. Le traitement licite de données à caractère personnel est concevable sans l’autorisation de la personne concernée et, partant, sans le contrôle qu’implique l’octroi ou le refus de cette autorisation. L’importance du contrôle au sein du système n’est, en définitive, pas absolue.
66. En outre, le RGPD prévoit d’autres possibilités d’exercice de ce contrôle, dont le droit à l’effacement, qui oblige le responsable du traitement à supprimer « dans les meilleurs délais » les informations correspondantes (47).
67. Pour la personne dont les données sont traitées, ce droit agit comme une « soupape de sécurité » du régime de protection : il subsiste (en tant que règle générale) lorsque le responsable n’a pas obtenu le consentement de la personne concernée, ainsi que lorsqu’il n’existe aucune autre base légitimant le traitement de données ; et il ne dépend pas du fait que le traitement ait causé un dommage (48).
d) Interprétation téléologique
1) Le contrôle de la personne concernée sur ses propres données constitue-t-il un objectif du RGPD ?
68. La correspondance automatique entre un traitement de données à caractère personnel pour lequel le consentement de la personne concernée n’a pas été obtenu et un préjudice indemnisable présuppose que ce contrôle, dont le consentement est le vecteur, constitue une valeur en soi.
69. J’admets que, à première vue, cette opinion n’est pas sans fondement. Le fait que les citoyens doivent avoir le contrôle de leurs données figure dans la proposition de la Commission comme l’un des principaux motifs de la réforme (49). Le considérant 7 du RGPD énonce que « [l]es personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant ».
70. Le fait est que, au-delà des débats doctrinaux qu’elle a suscités, la prudence s’impose dans l’interprétation de la notion de « contrôle des données à caractère personnel ». Il n’y a pas de définition précise du terme « contrôle » dans le RGPD (et je n’en ai trouvé nulle part ailleurs) (50). Il existe au moins deux acceptions de ce terme, lesquelles ne s’excluent pas mutuellement : « pouvoir » ou « maîtrise », d’une part, et « surveillance », d’autre part.
71. Le libellé du considérant 7 du RGPD suscite un certain degré d’incertitude, puisqu’il diverge selon les versions linguistiques (51). Au regard de son contenu, je suis d’avis que le RGPD attribue à la personne concernée des pouvoirs de surveillance et d’intervention à l’égard d’opérations menées sur les données par d’autres personnes, en tant qu’instrument (parmi d’autres) au service de la protection de ces données.
72. La personne concernée contribue elle-même à la protection des informations constituant les données et assume une responsabilité à cet égard, dans la mesure envisagée par le RGPD (c’est-à-dire selon le niveau et les modalités qu’il prévoit). Le périmètre de l’action individuelle est réduit : celle-ci se limite, en ce qui concerne les droits que le RGPD énumère, à les exercer dans des conditions précises.
73. Le consentement de la personne concernée, en tant qu’expression ultime du contrôle (52), n’est que l’une des bases juridiques de la licéité du traitement, mais ne permet pas de remédier au non‑respect des autres obligations et conditions qui pèsent sur le responsable du traitement et le sous-traitant.
74. Il m’apparaît difficile de déduire du RGPD qu’il a pour objectif d’attribuer à la personne concernée le contrôle de données à caractère personnel comme une valeur en soi, ou encore que la personne concernée doive exercer le plus grand contrôle possible sur ces données.
75. Ce constat n’est pas surprenant. D’une part, il n’est pas évident que le contrôle, entendu comme la maîtrise des données, fasse partie du contenu essentiel du droit fondamental à la protection des données à caractère personnel (53). D’autre part, la caractérisation de ce droit en tant que droit à l’autodétermination en matière d’information est loin de faire l’unanimité : l’article 8 de la Charte n’emploie pas ces termes (54).
76. Dans le même ordre d’idées, un considérant selon lequel « [l]e droit à la protection des données à caractère personnel est basé sur le droit de la personne concernée d’exercer un contrôle sur les données à caractère personnel qui sont traitées » n’a pas non plus été inclus dans le texte final du RGPD (55).
77. Les réflexions qui précèdent, peut-être excessivement abstraites, m’amènent à soutenir que, lorsque la personne concernée ne consent pas au traitement des données à caractère personnel et que celui-ci est effectué sans autre base juridique légitime, cette personne ne doit pas pour autant être indemnisée financièrement en raison de la perte de contrôle sur les données la concernant, comme si cette perte entraînait, en soi, un préjudice indemnisable (56). Il reste à déterminer si la personne concernée a, en outre, subi ou non un dommage (qui devra être prouvé) (57).
2) Le contrôle exercé par la personne concernée au regard du contexte
78. Enfin, il m’apparaît utile de rappeler que la protection des données à caractère personnel figure parmi les objectifs du RGPD, aux côtés de celui visant à favoriser la libre circulation des données (58).
79. Le renforcement du contrôle du citoyen sur ses informations personnelles dans l’environnement numérique est l’une des finalités reconnues de la modernisation du régime de protection des données à caractère personnel, mais ne constitue pas un objectif indépendant ou isolé.
80. La Commission, dans la communication accompagnant sa proposition de RGPD, associait un niveau élevé de protection des données à la confiance dans les services en ligne, qui permet de réaliser le potentiel de l’économie numérique et de stimuler « la croissance économique et la compétitivité des entreprises de l’Union ». La modernisation (et l’harmonisation accrue) de la législation de l’Union « consolide la dimension “marché unique” de la protection des données » (59).
81. Compte tenu de la valeur évidente des données (à caractère personnel ou non) pour le progrès économique et social en Europe, le RGPD vise non pas à mettre en avant le contrôle de l’individu sur les informations le concernant, en se pliant purement et simplement aux préférences de ce dernier, mais à concilier le droit à la protection des données à caractère personnel de chacun avec les intérêts des tiers et de la société (60).
82. Le RGPD, j’insiste, a pour finalité non pas de limiter systématiquement le traitement des données à caractère personnel, mais de le légitimer dans certaines conditions strictes. Cet objectif est servi, avant tout, par le renforcement de la confiance de la personne concernée dans le fait que le traitement sera effectué dans un contexte sûr (61), auquel elle contribue elle-même. Est ainsi encouragée la disposition volontaire de la personne concernée à autoriser l’accès à ses données et l’utilisation de ces dernières, notamment dans le domaine des transactions commerciales en ligne.
C. Sur la deuxième question préjudicielle
83. La juridiction de renvoi cherche à savoir s’il existe, « [a]ux fins de l’évaluation des dommages-intérêts [...], à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ».
84. En réalité, il ne semble pas que le principe d’équivalence joue ici un rôle pertinent : le régime harmonisé du RGPD s’applique directement en la matière et l’article 82 de ce dernier vise tous les dommages moraux résultant d’une violation, quelle que soit leur origine.
85. La même réflexion s’impose pour ce qui est du principe d’effectivité. Il en va différemment en ce qui concerne le fait que la compensation, selon le considérant 146 du RGPD (les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi), doit avoir tel ou tel contenu.
86. L’article 82 du RGPD n’impose aucune exigence autre que la violation de ses règles lorsque celle-ci a pour conséquence de causer un dommage matériel ou moral à toute personne. S’agissant du calcul concret du montant de la réparation de ce dommage, le RGPD ne fournit aucune indication aux juridictions nationales.
87. Eu égard aux deux adjectifs indiqués plus haut (« complète et effective »), la réparation dépendra, d’emblée, de la demande formulée par chaque requérant.
88. Si cette demande vise l’octroi de dommages-intérêts punitifs (62), la réponse à la première question préjudicielle est suffisante : ce type de réparation n’apparaît pas dans le RGPD. Dans ce dernier, la responsabilité civile remplit une fonction de compensation « privée », tandis que les amendes et les sanctions pénales remplissent une fonction dissuasive et, le cas échéant, répressive de nature publique.
89. Il ne peut être exclu que la réparation demandée au titre du préjudice moral incorpore des éléments autres que le seul élément pécuniaire, tels que la reconnaissance de l’existence de la violation, ce qui permet au requérant d’obtenir une certaine satisfaction morale. L’arrêt de la Cour du 15 avril 2021 (63), bien que rendu dans un domaine ne coïncidant pas avec celui de la protection des données, permettrait, par analogie, de faire droit à cette demande.
90. Dans les ordres juridiques qui l’envisagent, le régime de responsabilité civile peut prévoir des condamnations au titre de la reconnaissance d’un droit (paiement d’une indemnisation symbolique) ou de la neutralisation d’un avantage indu (versement du gain injustement obtenu).
91. La première de ces catégories de condamnations repose sur l’idée d’assurer la continuité et la réalisation du droit (« Rechtsfortsetzungsfunktion ») au moyen d’une réparation purement symbolique qui s’ajoute à la constatation que le défendeur a commis un acte illicite et violé les droits du requérant. Cette possibilité n’est pas prévue à l’article 82 du RGPD et n’est envisagée nulle part dans les travaux préparatoires, ce qui n’est pas surprenant, car elle n’est pas commune aux systèmes juridiques des États membres (64) et fait l’objet de débats dans ceux où elle existe (65).
92. L’économie et les objectifs du RGPD ne s’opposent toutefois pas à ce que les États membres qui prévoient cette réparation la mettent à la disposition des personnes affectées par la violation d’une règle, dans le cadre des recours visés à son article 79, en cas d’absence totale de dommage. Lorsque, en revanche, le requérant prétend avoir subi un dommage pécuniaire, la situation est régie par l’article 82 du RGPD et la difficulté à prouver le dommage ne doit pas donner lieu à l’octroi d’une réparation symbolique (66).
93. S’agissant des condamnations consistant dans le versement d’un montant à la suite de la violation d’un droit, elles peuvent avoir pour objet de priver le contrevenant du bénéfice obtenu. En dehors du domaine de la propriété intellectuelle (67), cette finalité n’est pas commune en droit de la responsabilité civile, qui s’intéresse non pas au gain de l’auteur de la violation, mais plutôt à la perte subie par la personne lésée (68). Le RGPD ne l’inclut pas dans ses dispositions.
94. J’ai développé ces réflexions afin de faciliter la tâche de la juridiction de renvoi, eu égard à l’ampleur de sa deuxième question préjudicielle. Je ne cache toutefois pas que leur utilité pourrait être réduite aux fins d’apprécier s’il convient d’accueillir ou de rejeter une demande par laquelle la personne concernée cherche à obtenir une réparation strictement pécuniaire d’un préjudice moral.
D. Sur la troisième question préjudicielle
95. La juridiction de renvoi souhaite savoir si, dans le RGPD, l’octroi de dommages-intérêts au titre du préjudice moral est subordonné à l’existence d’une « violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit ».
96. La demande de décision préjudicielle prend en compte, à titre de critère de ce qui est indemnisable, l’intensité des sentiments éprouvés par la personne lésée. En revanche, elle ne cherche pas à déterminer (tout au moins directement) si, en raison de leur contenu, certaines sensations ou émotions ressenties par la personne lésée sont pertinentes ou non aux fins de l’article 82, paragraphe 1, du RGPD (69).
97. Se pose ainsi la question de savoir si les États membres peuvent subordonner la réparation du préjudice moral à l’importance des conséquences découlant de la violation de la règle, en prenant uniquement en considération celles qui dépassent un certain seuil de gravité. La question ne porterait donc pas sur les éléments susceptibles de donner lieu à réparation (70), ni sur le montant de celle-ci, mais sur l’existence d’un seuil minimal de réaction de la personne lésée, en deçà duquel elle ne serait pas indemnisée.
98. L’article 82 du RGPD n’apporte pas de réponse directe à cette interrogation. Tel n’est pas non plus le cas, selon moi, de ses considérants 75 et 85. L’un et l’autre contiennent une liste d’exemples de dommages, laquelle se termine par une clause ouverte qui semble limiter les dommages indemnisables à ceux qui sont « importants ».
99. Je ne crois pas, cependant, que les considérants 75 et 85 du RGPD soient utiles pour dissiper le doute éprouvé par la juridiction de renvoi :
– le considérant 75 du RGPD concerne, d’une part, l’identification et l’évaluation des risques liés au traitement des données et, d’autre part, l’adoption de mesures visant à éviter ou à atténuer ces risques. Il décrit les conséquences indésirables de tout traitement et met l’accent, « en particulier », sur certaines d’entre elles, sans doute en raison de leur degré de gravité plus élevé ;
– le considérant 85 du RGPD fait référence aux violations de données à caractère personnel et signale que leurs conséquences peuvent se révéler importantes.
100. De même, aucun critère permettant de répondre à cette interrogation ne peut être déduit du libellé du considérant 146 du RGPD (les responsables doivent réparer « tout dommage ») (71).
101. La transposition de ce considérant dans le texte du RGPD s’est traduite par l’introduction explicite des dommages moraux dans ce dernier, en lieu et place du silence qui caractérisait la directive 95/46 sur ce point (72). En revanche, la question qui est aujourd’hui soulevée devant la Cour n’a, en particulier, pas été abordée.
102. Ce même considérant 146 du RGPD énonce que « [l]a notion de [“]dommage[”] devrait être interprétée au sens large, à la lumière de la jurisprudence de la [Cour], d’une manière qui tienne pleinement compte des objectifs du présent règlement ».
103. Je ne suis pas certain que cette indication ait été d’une grande utilité dans le contexte de la protection des données, dans la mesure où la Cour ne s’était pas encore prononcée à cet égard lorsque le RGPD a été adopté (73). Si l’intention avait été de renvoyer à des arrêts relatifs à la responsabilité civile régie par d’autres directives ou règlements, une référence à l’analogie aurait été bienvenue.
104. En fait, la Cour n’a pas élaboré de définition générale de la notion de « dommage » applicable indistinctement dans n’importe quel domaine (74). Pour ce qui importe ici (les dommages moraux), il peut être déduit de sa jurisprudence que :
– lorsque l’objectif (ou l’un des objectifs) de la disposition interprétée est la protection de l’individu ou d’une certaine catégorie d’individus (75), la notion de « dommage » doit être large ;
– conformément à ce critère, la réparation s’étend aux dommages moraux, bien qu’ils ne soient pas mentionnés dans la disposition interprétée (76).
105. Si la jurisprudence de la Cour autorise à soutenir que, dans les conditions précédemment décrites, il existe en droit de l’Union un principe de réparation du préjudice moral, je ne crois pas que l’on puisse en déduire, en revanche, une règle selon laquelle tout préjudice moral, quelle que soit sa gravité, est indemnisable.
106. La Cour a admis la compatibilité avec la législation de l’Union d’une réglementation nationale qui, aux fins du calcul de la réparation, opère une distinction entre les dommages moraux résultant de lésions corporelles causées par un accident en fonction de l’origine de celui-ci (77).
107. Elle a également apprécié les circonstances susceptibles de causer des dommages moraux, conformément à la disposition applicable dans chaque affaire (78), mais elle ne s’est pas explicitement prononcée (si je ne fais pas erreur) sur l’exigence de gravité de ces dommages (79).
108. À ce stade, je suis d’avis qu’il convient de répondre par l’affirmative à la troisième question préjudicielle.
109. Pour étayer mon propos, je rappelle que le RGPD n’a pas pour seul objectif la sauvegarde du droit fondamental à la protection des données à caractère personnel (80) et que son système de garanties intègre des mécanismes de natures diverses (81).
110. Dans ce contexte, la distinction suggérée à la Cour entre un préjudice moral indemnisable et d’autres inconvénients résultant du non‑respect de la légalité qui, en raison de leur faible importance, n’ouvriraient pas nécessairement droit à réparation, est pertinente.
111. Cette dichotomie est présente dans certains ordres juridiques nationaux, en tant que corollaire inévitable de la vie en société (82). La Cour n’ignore pas cette distinction, qu’elle admet lorsqu’elle se réfère aux difficultés et aux désagréments en tant que catégorie autonome par rapport à celle des dommages, dans des domaines où elle estime qu’ils doivent être réparés (83). Rien n’empêche de transposer cette distinction au RGPD.
112. Par ailleurs, le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne me paraît pas être l’instrument adéquat pour contrer des violations commises lors du traitement de données à caractère personnel, si la seule réaction que ces violations engendrent chez la personne concernée est le désagrément ou le mécontentement.
113. De façon générale, toute violation d’une règle relative à la protection des données à caractère personnel entraînera une réaction négative de la personne concernée. Une réparation fondée sur un simple sentiment de désagrément face au non‑respect de la loi par autrui peut aisément être confondue avec une réparation sans dommage, que j’ai déjà rejetée précédemment.
114. D’un point de vue pratique, il ne serait pas efficace d’inclure le simple mécontentement parmi les dommages moraux indemnisables, compte tenu des inconvénients et des difficultés qui caractérisent, pour le requérant (84), l’introduction d’un recours juridictionnel et, pour le défendeur, l’organisation de sa défense (85).
115. Refuser un droit à réparation pour les émotions ou sentiments passagers ou de faible intensité (86) liés à la violation de règles relatives au traitement ne laisse pas la personne concernée complètement démunie. Comme je l’ai indiqué dans le cadre de la réponse à la première question préjudicielle, le système du RGPD lui offre d’autres recours.
116. Je n’ai aucun doute sur le fait que la frontière entre un simple mécontentement (non indemnisable) et de véritables dommages moraux (indemnisables) est ténue, et je n’ignore pas à quel point il est compliqué de délimiter ces deux catégories de manière abstraite et de les appliquer concrètement à un litige. Cette tâche difficile incombe aux juges des États membres, qui ne pourront probablement pas, dans leurs décisions, faire abstraction de la perception qu’a la société, à un moment déterminé, de ce qu’il est tolérable d’admettre, lorsque les conséquences subjectives de la violation d’une règle en la matière ne dépassent pas un niveau de minimis (87).
V. Conclusion
117. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre à l’Oberster Gerichtshof (Cour suprême, Autriche) de la manière suivante :
L’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
pour allouer des dommages-intérêts au titre d’un préjudice causé à une personne par une violation du règlement susmentionné, la simple violation de la règle ne suffit pas en soi si elle ne s’accompagne pas du dommage matériel ou moral correspondant.
La réparation du préjudice moral qu’il prévoit ne s’étend pas au simple mécontentement que la personne lésée est susceptible d’éprouver du fait de la violation des dispositions du règlement 2016/679. Il appartient aux juridictions nationales de déterminer quand, en raison de ses caractéristiques, la sensation subjective de désagrément peut être considérée, dans chaque cas, comme un préjudice moral.