CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 6 octobre 2022(1)

Affaire C‑300/21

UI

contre

Österreichische Post AG

[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Préjudice moral résultant d’un traitement illicite de données – Conditions du droit à réparation – Préjudice dépassant un certain seuil de gravité »

1.        Le règlement (UE) 2016/679 (2) confère à toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions le droit d’obtenir réparation de la part du responsable du traitement ou du sous-traitant.

2.        La possibilité de faire valoir le droit susmentionné en justice existait déjà dans la réglementation précédente (article 23 de la directive 95/46/CE) (3), bien qu’elle ait été peu exercée (4). Sauf erreur de ma part, la Cour n’a pas eu l’occasion d’interpréter spécifiquement cet article.

3.        Sous l’empire du RGPD, les actions en réparation ont gagné en importance (5). Leur augmentation est perceptible devant les juridictions des États membres et se reflète dans les renvois préjudiciels y afférents (6). Par la présente demande de décision préjudicielle, l’Oberster Gerichtshof (Cour suprême, Autriche) invite la Cour à préciser certaines caractéristiques communes du régime de responsabilité civile instauré par le RGPD.

I.      Le cadre juridique : le RGPD

4.        Sont pertinents aux fins du présent litige, notamment, les considérants 75, 85 et 146 du RGPD.

5.        L’article 6 du RGPD, intitulé « Licéité du traitement », se lit comme suit :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

6.        L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, en son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

7.        L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », énonce, en son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi. »

II.    Les faits, le litige et les questions préjudicielles

8.        Depuis l’année 2017, Österreichische Post AG, société éditrice d’adresses, collectait des informations sur les affinités partisanes de la population autrichienne. À l’aide d’un algorithme, elle définissait les « adresses de groupes cibles » selon des critères sociodémographiques.

9.        UI est une personne physique à l’égard de laquelle Österreichische Post a effectué une extrapolation, sur la base d’un calcul statistique, pour déterminer sa classification au sein de possibles groupes cibles pour la publicité électorale de plusieurs partis politiques. Il ressortait de cette extrapolation qu’UI présentait une forte affinité avec l’un d’entre eux. Ces données n’ont pas été transférées à des tiers.

10.      UI, qui n’avait pas consenti au traitement de ses données à caractère personnel, s’est senti contrarié par le fait que les données portant sur ses affinités partisanes aient été conservées ; il s’est également senti indigné et blessé par l’affinité qu’Österreichische Post lui avait concrètement attribuée.

11.      UI a demandé le versement de 1 000 euros de dommages-intérêts en réparation du préjudice moral subi (désagréments intérieurs). Il fait valoir que l’affinité politique qui lui est attribuée est une insulte et une honte, et qu’elle est en outre diffamante. Le comportement d’Österreichische Post, ajoute-t-il, a suscité chez lui une grave contrariété et une perte de confiance, ainsi qu’un sentiment d’humiliation.

12.      La juridiction de première instance a rejeté la demande de paiement d’UI (7).

13.      La juridiction d’appel a confirmé le jugement de première instance. Elle a déclaré que toute violation du RGPD n’entraînait pas automatiquement un droit à réparation du préjudice moral et que :

–        le droit autrichien étant applicable en sus du RGPD, seuls les préjudices allant au-delà du mécontentement ou de l’atteinte aux sentiments (« Gefühlsschaden ») causés par la violation des droits du requérant sont indemnisables ;

–        il convient de respecter le principe, qui sous-tend la réglementation autrichienne, selon lequel chacun doit supporter une simple gêne ou un simple désagrément, puisqu’ils sont sans conséquence en matière d’indemnisation. En d’autres termes, le droit à réparation exige que le préjudice allégué revête une certaine gravité.

14.      L’arrêt de la juridiction d’appel a fait l’objet d’un recours devant l’Oberster Gerichtshof (Cour suprême), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      Pour allouer des dommages-intérêts en vertu de l’article 82 du [RGPD], est‑il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages-intérêts ?

2)      Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?

3)      La position selon laquelle, pour accorder un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? »

III. La procédure devant la Cour

15.      La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 12 mai 2021.

16.      Des observations écrites ont été déposées par UI, Österreichische Post, les gouvernements autrichien, tchèque et irlandais ainsi que par la Commission européenne. La tenue d’une audience n’a pas été jugée nécessaire.

IV.    Analyse

A.      Observations liminaires

1.      Recevabilité

17.      UI soutient que la première question préjudicielle n’est pas pertinente aux fins du litige au principal, sa demande étant fondée non pas sur la « simple » violation d’une disposition du RGPD, mais sur les conséquences ou les effets d’une telle violation.

18.      L’exception d’irrecevabilité doit être rejetée. Même si l’on admettait que le traitement de données a violé le RGPD sans causer de préjudice à UI, celui-ci pourrait bénéficier d’un droit à réparation au titre de l’article 82 du RGPD, si, comme le demande la juridiction de renvoi, il devait être confirmé que la simple violation d’une règle relative au traitement ouvre droit à une telle réparation.

19.      Selon UI, la Cour pourrait également considérer la deuxième question préjudicielle comme étant irrecevable au motif qu’elle serait très ouverte quant à son contenu et excessivement limitée en ce qui concerne les exigences du droit de l’Union, dans la mesure où elle n’en mentionne aucune en particulier.

20.      Cette objection, bien que mieux fondée que la précédente, ne saurait pas davantage prospérer. Il est légitime pour une juridiction de chercher à savoir si, au‑delà du respect des principes d’équivalence et d’effectivité, elle doit apprécier d’autres exigences imposées par le droit de l’Union pour évaluer le préjudice.

2.      Délimitation de l’objet des présentes conclusions

21.      L’article 82 du RGPD comporte six paragraphes. La juridiction de renvoi n’en vise aucun en particulier, mais se réfère implicitement au premier d’entre eux. Elle ne précise pas non plus la règle dont la violation ouvrirait droit à réparation.

22.      Je fonderai les présentes conclusions sur les prémisses suivantes :

–        le traitement des données à caractère personnel d’UI a été effectué sans recueillir son consentement au sens de l’article 6, paragraphe 1, sous a), du RGPD ;

–        le droit à réparation appartient à toute personne ayant subi un dommage. En l’espèce, UI, en tant que personne physique identifiée et affectée par le traitement, est une « personne concernée » (8) ;

–        le RGPD prévoit la réparation des dommages matériels et moraux. La demande d’UI se limite à ces derniers et a un contenu pécuniaire.

B.      Sur la première question préjudicielle

23.      Par sa première question, la juridiction de renvoi souhaite savoir, en substance, si la simple violation des dispositions du RGPD ouvre droit à réparation, qu’elle ait causé ou non un dommage.

24.      On peut déduire des affirmations de la juridiction de renvoi et des observations déposées devant la Cour que cette question admet également une autre lecture, un peu plus complexe : il s’agirait de déterminer si la violation des dispositions du RGPD entraîne nécessairement un dommage ouvrant droit à réparation, sans laisser au défendeur la possibilité de démontrer le contraire.

25.      Il existe une certaine différence (théorique) entre ces deux approches : dans le cadre de la première, le dommage n’est pas une condition de la réparation ; il l’est, en revanche, dans la seconde. En pratique, l’obligation faite au requérant de prouver le dommage disparaît dans les deux cas ; il n’est pas non plus tenu de démontrer le lien de causalité entre la violation et ce dommage (9).

26.      En tout état de cause, je considère qu’aucune des deux lectures de la première question préjudicielle n’appelle, à mon sens, de réponse affirmative. Je les analyserai séparément.

1.      Réparation en l’absence de dommage ?

27.      Soutenir qu’il existe un droit à réparation, même si aucun dommage n’est causé à la personne concernée par la violation du RGPD, soulève des difficultés évidentes, à commencer par celle due au libellé de l’article 82, paragraphe 1, de ce règlement.

28.      En vertu de cette disposition, la réparation (10) est accordée précisément parce qu’il y a eu un dommage préalable. Il est donc exigé, sans équivoque, que la personne physique ait subi un dommage du fait d’une violation du RGPD.

29.      L’interprétation qui associe, de manière automatique, la notion de « violation » à celle de « compensation » en l’absence de dommage n’est donc pas conforme au libellé de l’article 82 du RGPD. Elle ne cadre pas non plus avec le but premier de la responsabilité civile instaurée par le RGPD, qui est de donner satisfaction à la personne concernée, précisément au moyen de la réparation « complète et effective » du dommage qu’elle a subi (11).

30.      En l’absence de dommage, la réparation n’aurait plus pour fonction de compenser les conséquences négatives de la violation, mais remplirait une fonction d’une autre nature, plus proche de la sanction.

31.      Il est vrai, toutefois, que l’ordre juridique d’un État membre peut prévoir le paiement d’une indemnisation à titre punitif (12). On entend par là la condamnation au paiement d’une somme substantielle, au-delà de la stricte réparation du dommage.

32.      Les dommages-intérêts punitifs ne font généralement pas abstraction de l’existence préalable d’un dommage. Si tel est leur point de départ, ils dissocient néanmoins les conséquences patrimoniales du dommage du montant de la réparation qui lui correspond.

33.      Il n’est cependant pas inconcevable que les dommages-intérêts punitifs fassent abstraction du dommage ou le considèrent comme étant sans incidence pour donner satisfaction à celui qui les a réclamés.

34.      La réponse à la première question préjudicielle m’impose d’examiner l’adéquation de ce type de dommages-intérêts avec le RGPD, d’autant plus que la décision de renvoi ainsi que les observations des parties au principal et des autres intéressés à la procédure préjudicielle s’y sont référées.

2.      Des dommages-intérêts punitifs ?

a)      Interprétation littérale

35.      À la fonction classique de la responsabilité civile peut s’ajouter une autre fonction de nature « punitive » ou « exemplaire », en vertu de laquelle, comme je l’ai déjà décrit, le montant de la réparation n’équivaut pas au préjudice subi, mais est augmenté, voire multiplié.

36.      Le droit de l’Union ne s’oppose pas, en principe, à l’octroi de tels dommages‑intérêts en cas de violation de ses règles, s’ils peuvent être accordés dans le cadre d’actions similaires fondées sur le droit interne (13).

37.      Les dommages-intérêts punitifs ont une finalité dissuasive. Cette même finalité est poursuivie lorsque, en présence de la violation d’une directive, les États membres doivent prendre des mesures destinées à produire « un effet dissuasif réel » (14). Certaines directives prévoient expressément que les dommages‑intérêts, conçus comme des sanctions, doivent avoir un caractère dissuasif (15).

38.      En revanche, dans d’autres textes, le législateur déclare que l’objectif d’une directive n’est pas d’« introduire une obligation de prévoir des dommages-intérêts punitifs » (16) ou que les États membres doivent éviter ce type de dommages-intérêts à l’occasion de la transposition de ces actes (17). En droit de l’Union, la condamnation directe à des dommages-intérêts dits « punitifs » est exceptionnelle (18).

39.      Or, le RGPD ne contient aucune référence à la nature punitive des dommages-intérêts au titre du préjudice matériel ou moral subi, au fait que le calcul de leur montant doive refléter cette nature, ni à l’exigence que ces dommages‑intérêts soient dissuasifs (caractère qu’il attribue, en revanche, aux sanctions pénales et aux amendes administratives) (19). Sur la base d’une interprétation littérale, le RGPD ne permet donc pas l’octroi de dommages-intérêts punitifs.

b)      Interprétation à la lumière de l’historique de la disposition

40.      L’article 82, paragraphe 1, du RGPD a succédé à l’article 23, paragraphe 1, de la directive 95/46. Ce dernier s’inscrivait dans le cadre d’un système dont l’effectivité reposait sur la mise en œuvre par la sphère publique et la mise en œuvre sur l’initiative de la sphère privée (20), mais dans lequel l’indemnisation (privée) et la sanction (publique) ne se confondaient pas (21). La surveillance du respect des règles incombait principalement à des autorités de contrôle indépendantes (22).

41.      Le RGPD reprend ce modèle, mais renforce les outils permettant de garantir l’efficacité de ses dispositions, désormais plus détaillées, ainsi que des réactions qu’il prévoit, aujourd’hui plus fortes, en cas de violation ou de menace de violation de ses règles :

–        d’une part, il renforce le rôle des autorités de contrôle, lesquelles sont chargées, entre autres tâches, d’imposer les sanctions harmonisées prévues par le RGPD lui-même (23). Il met ainsi en exergue l’élément tenant à la mise en œuvre des règles par la sphère publique ;

–        d’autre part, il prévoit que les particuliers peuvent assumer la défense des droits que le RGPD leur confère (24), soit en déclenchant l’action des autorités de contrôle (article 77 de ce règlement), soit en recourant à la voie juridictionnelle (articles 79 et 82 dudit règlement). En outre, l’article 80 du même règlement autorise certains organismes à intenter des actions représentatives (25), ce qui facilite la défense d’intérêts généraux que les particuliers ont la possibilité d’assurer (26).

42.      Le développement du régime uniforme de responsabilité civile en cas de dommages dans le RGPD a été limité. Des aspects qui pouvaient susciter des incertitudes dans le cadre de la directive 95/46, tels que l’inclusion du préjudice moral parmi les préjudices indemnisables (27), ont été rapidement éclaircis. La négociation s’est concentrée sur d’autres aspects de ce régime (28).

43.      Je n’ai trouvé dans les travaux préparatoires aucune discussion relative à une éventuelle fonction punitive de la responsabilité civile telle qu’elle est envisagée dans le RGPD. Il n’est donc pas possible de conclure qu’elle a sa place dans l’article 82 de ce règlement, en l’absence de tout débat à cet égard, d’autant moins qu’une discussion a eu lieu sur son inclusion dans d’autres textes du droit de l’Union (29).

44.      Dans ces conditions, j’estime que la voie de droit prévue à l’article 82, paragraphe 1, du RGPD a été conçue et définie pour remplir les fonctions typiques de la responsabilité civile : réparer le préjudice (pour la personne lésée) et, accessoirement, prévenir des dommages futurs (pour l’auteur de la violation).

c)      Interprétation contextuelle

45.      Ainsi que je l’ai exposé, l’article 82 du RGPD fait partie intégrante d’un système de garanties de l’effectivité des règles dans le cadre duquel l’initiative privée complète leur mise en œuvre par la sphère publique. La réparation due par les responsables du traitement de données à caractère personnel ou par les sous‑traitants contribue à cette effectivité.

46.      L’obligation de réparation fonctionne (idéalement) comme une incitation à agir plus prudemment à l’avenir, en respectant les règles et en évitant de nouveaux dommages. Ainsi, en réclamant une réparation pour lui-même, chaque individu contribue à l’efficacité générale des règles.

47.      Dans ce cadre, la fonction compensatoire et la fonction punitive sont séparées :

–        les amendes susceptibles d’être infligées par les autorités de contrôle ou les juridictions (article 83, paragraphes 1 et 9, du RGPD) et les autres sanctions que les États membres adoptent en application de l’article 84 du RGPD (30) relèvent de la seconde fonction ;

–        les réclamations introduites par les particuliers (article 77 du RGPD) et les procédures juridictionnelles (article 79 de ce règlement) relèvent de la première fonction. Il n’appartient toutefois pas aux autorités de contrôle de se prononcer sur le droit à réparation.

48.      Selon le même principe de séparation de la fonction compensatoire et de la fonction punitive :

–        en imposant une amende et en en fixant le montant, l’autorité doit tenir compte des facteurs énumérés à l’article 83 du RGPD, qui ne sont pas prévus dans le domaine de la responsabilité civile et qui ne sont, en principe, pas transposables au calcul de la réparation (31) ;

–        si le niveau de dommage subi par les personnes concernées est un facteur de gradation de l’amende (32), le calcul de son montant n’a pas à prendre en compte l’indemnisation qu’elles ont pu recevoir (33).

49.      D’un point de vue théorique, une interprétation qui, en l’absence de tout dommage, attribuerait un rôle punitif à la responsabilité civile créerait le risque d’un double emploi entre les mécanismes d’indemnisation et les mécanismes de sanction.

50.      En pratique, s’il leur était facile d’obtenir un gain « punitif » à titre de réparation, les personnes concernées pourraient être incitées à préférer cette voie à celle prévue à l’article 77 du RGPD. La généralisation d’une telle voie priverait les autorités de contrôle d’un outil (la réclamation introduite par la personne concernée) qui leur permet d’avoir connaissance d’éventuelles violations du RGPD et, partant, d’enquêter sur celles-ci et de les sanctionner, et ce au détriment des instruments les plus adaptés à la défense de l’intérêt général.

d)      Interprétation téléologique

51.      Pour l’essentiel, les objectifs du RGPD, qui sont énoncés dès son titre, sont au nombre de deux : d’une part, « la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant » et, d’autre part, la nécessité que cette protection s’articule de telle manière que « la libre circulation de ces données » au sein de l’Union ne soit ni interdite ni limitée (34).

52.      J’estime que, pour atteindre ces objectifs, le RGPD n’exige pas que la simple violation de la règle régissant le traitement donne lieu à réparation, en dotant la responsabilité civile de fonctions répressives.

53.      S’agissant du premier objectif, il n’est pas nécessaire, pour l’atteindre, d’élargir par voie d’interprétation le champ d’application de l’article 82 du RGPD pour qu’il couvre les cas dans lesquels il y a eu violation d’une règle, mais pas de dommage. En revanche, une telle extension pourrait avoir un effet négatif sur le second objectif.

54.      J’ai déjà souligné que le RGPD prévoit plusieurs mécanismes de garantie du respect de ses règles, qui coexistent et se complètent. Les États membres n’ont pas à choisir parmi les mécanismes du chapitre VIII de ce règlement pour garantir la protection des données (et, de fait, ne le peuvent pas). En présence d’une violation qui ne cause pas de dommage, la personne concernée conserve (au moins) le droit d’introduire une réclamation auprès d’une autorité de contrôle, au titre de l’article 77, paragraphe 1, du RGPD.

55.      En outre, la perspective d’obtenir réparation en l’absence de tout dommage encouragerait probablement les litiges civils et l’introduction de demandes qui ne seraient peut-être pas toujours justifiées (35), et pourrait, dans cette mesure, décourager l’activité de traitement de données (36).

3.      Présomption de dommage ?

56.      Certaines observations des parties au principal proposent une lecture de la première question préjudicielle différente de celle que j’ai examinée jusqu’à présent. Si je comprends bien leur position (37), elles semblent défendre l’idée qu’il existerait une présomption irréfragable de dommage, à partir du moment où la règle a été violée.

57.      Une telle violation, ajoutent-elles, entraînerait nécessairement une perte de contrôle sur les données, ce qui constituerait, en soi, un dommage indemnisable au titre de l’article 82, paragraphe 1, du RGPD.

58.      En théorie, cette présomption ne permet pas d’exclure le dommage, de sorte que la structure classique de la responsabilité civile ainsi que le libellé de la disposition du RGPD sont respectés. En pratique, toutefois, pour le requérant et le défendeur, la reconnaissance d’une telle présomption aurait des effets similaires à ceux qui surviennent lorsque la réparation prévue à l’article 82, paragraphe 1, du RGPD est associée à la simple violation de la règle.

59.      Je recourrai de nouveau aux critères herméneutiques habituels pour expliquer en quoi cette interprétation ne me paraît pas correcte.

a)      Interprétation littérale

60.      Lorsque le législateur a considéré, dans d’autres domaines du droit de l’Union, qu’un droit à réparation découle automatiquement de la violation d’une règle, il n’a pas hésité à le prévoir (38). Tel n’est pas le cas dans le RGPD, qui comporte des règles en matière de preuve, ou ayant des conséquences directes à cet égard (39), mais qui n’instaure pas ce lien automatique, qu’il soit direct ou qu’il résulte d’une présomption irréfragable.

61.      Les références au contrôle des données (ou à la perte de ce contrôle) figurant dans les considérants 75 (40) et 85 (41) du RGPD ne me semblent pas contrebalancer cette absence. Au-delà du fait que, en tant que tels, ces considérants sont dépourvus de valeur normative, aucun des deux n’indique que la violation d’une règle entraîne, par elle-même, un dommage indemnisable :

–        le considérant 75 de ce règlement évoque le fait que les personnes concernées puissent être empêchées d’exercer le contrôle sur leurs données à caractère personnel comme l’un des risques possibles du traitement ;

–        le considérant 85 dudit règlement se réfère à la perte de contrôle comme étant l’une des conséquences qui pourraient survenir à la suite d’une violation de données à caractère personnel (42).

62.      La perte de contrôle des données n’entraîne pas nécessairement un dommage. Cette expression peut être considérée comme une facilité de langage faisant référence à des dommages consécutifs à une telle perte, s’ils se matérialisent (43).

b)      Interprétation à la lumière de l’historique de la disposition

63.      L’analyse de l’historique de la disposition ne corrobore pas non plus l’existence d’une telle présomption, qui ne figurait pas dans la directive 95/46 (44), et les documents de la Commission, du Parlement européen ou du Conseil préparatoires à l’adoption du RGPD que j’ai examinés ne la prévoyaient pas.

c)      Interprétation contextuelle

64.      Si l’on se place dans la perspective du consentement de la personne concernée, le système instauré par le RGPD comporte des éléments permettant de réfuter l’hypothèse selon laquelle il reconnaîtrait la présomption en cause (45). En tant que vecteur du contrôle qu’exerce la personne concernée sur ses données, ce consentement légitime le traitement desdites données au même titre que les autres bases juridiques (article 6 du RGPD) (46).

65.      Le traitement licite de données à caractère personnel est concevable sans l’autorisation de la personne concernée et, partant, sans le contrôle qu’implique l’octroi ou le refus de cette autorisation. L’importance du contrôle au sein du système n’est, en définitive, pas absolue.

66.      En outre, le RGPD prévoit d’autres possibilités d’exercice de ce contrôle, dont le droit à l’effacement, qui oblige le responsable du traitement à supprimer « dans les meilleurs délais » les informations correspondantes (47).

67.      Pour la personne dont les données sont traitées, ce droit agit comme une « soupape de sécurité » du régime de protection : il subsiste (en tant que règle générale) lorsque le responsable n’a pas obtenu le consentement de la personne concernée, ainsi que lorsqu’il n’existe aucune autre base légitimant le traitement de données ; et il ne dépend pas du fait que le traitement ait causé un dommage (48).

d)      Interprétation téléologique

1)      Le contrôle de la personne concernée sur ses propres données constitue-t-il un objectif du RGPD ?

68.      La correspondance automatique entre un traitement de données à caractère personnel pour lequel le consentement de la personne concernée n’a pas été obtenu et un préjudice indemnisable présuppose que ce contrôle, dont le consentement est le vecteur, constitue une valeur en soi.

69.      J’admets que, à première vue, cette opinion n’est pas sans fondement. Le fait que les citoyens doivent avoir le contrôle de leurs données figure dans la proposition de la Commission comme l’un des principaux motifs de la réforme (49). Le considérant 7 du RGPD énonce que « [l]es personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant ».

70.      Le fait est que, au-delà des débats doctrinaux qu’elle a suscités, la prudence s’impose dans l’interprétation de la notion de « contrôle des données à caractère personnel ». Il n’y a pas de définition précise du terme « contrôle » dans le RGPD (et je n’en ai trouvé nulle part ailleurs) (50). Il existe au moins deux acceptions de ce terme, lesquelles ne s’excluent pas mutuellement : « pouvoir » ou « maîtrise », d’une part, et « surveillance », d’autre part.

71.      Le libellé du considérant 7 du RGPD suscite un certain degré d’incertitude, puisqu’il diverge selon les versions linguistiques (51). Au regard de son contenu, je suis d’avis que le RGPD attribue à la personne concernée des pouvoirs de surveillance et d’intervention à l’égard d’opérations menées sur les données par d’autres personnes, en tant qu’instrument (parmi d’autres) au service de la protection de ces données.

72.      La personne concernée contribue elle-même à la protection des informations constituant les données et assume une responsabilité à cet égard, dans la mesure envisagée par le RGPD (c’est-à-dire selon le niveau et les modalités qu’il prévoit). Le périmètre de l’action individuelle est réduit : celle-ci se limite, en ce qui concerne les droits que le RGPD énumère, à les exercer dans des conditions précises.

73.      Le consentement de la personne concernée, en tant qu’expression ultime du contrôle (52), n’est que l’une des bases juridiques de la licéité du traitement, mais ne permet pas de remédier au non‑respect des autres obligations et conditions qui pèsent sur le responsable du traitement et le sous-traitant.

74.      Il m’apparaît difficile de déduire du RGPD qu’il a pour objectif d’attribuer à la personne concernée le contrôle de données à caractère personnel comme une valeur en soi, ou encore que la personne concernée doive exercer le plus grand contrôle possible sur ces données.

75.      Ce constat n’est pas surprenant. D’une part, il n’est pas évident que le contrôle, entendu comme la maîtrise des données, fasse partie du contenu essentiel du droit fondamental à la protection des données à caractère personnel (53). D’autre part, la caractérisation de ce droit en tant que droit à l’autodétermination en matière d’information est loin de faire l’unanimité : l’article 8 de la Charte n’emploie pas ces termes (54).

76.      Dans le même ordre d’idées, un considérant selon lequel « [l]e droit à la protection des données à caractère personnel est basé sur le droit de la personne concernée d’exercer un contrôle sur les données à caractère personnel qui sont traitées » n’a pas non plus été inclus dans le texte final du RGPD (55).

77.      Les réflexions qui précèdent, peut-être excessivement abstraites, m’amènent à soutenir que, lorsque la personne concernée ne consent pas au traitement des données à caractère personnel et que celui-ci est effectué sans autre base juridique légitime, cette personne ne doit pas pour autant être indemnisée financièrement en raison de la perte de contrôle sur les données la concernant, comme si cette perte entraînait, en soi, un préjudice indemnisable (56). Il reste à déterminer si la personne concernée a, en outre, subi ou non un dommage (qui devra être prouvé) (57).

2)      Le contrôle exercé par la personne concernée au regard du contexte

78.      Enfin, il m’apparaît utile de rappeler que la protection des données à caractère personnel figure parmi les objectifs du RGPD, aux côtés de celui visant à favoriser la libre circulation des données (58).

79.      Le renforcement du contrôle du citoyen sur ses informations personnelles dans l’environnement numérique est l’une des finalités reconnues de la modernisation du régime de protection des données à caractère personnel, mais ne constitue pas un objectif indépendant ou isolé.

80.      La Commission, dans la communication accompagnant sa proposition de RGPD, associait un niveau élevé de protection des données à la confiance dans les services en ligne, qui permet de réaliser le potentiel de l’économie numérique et de stimuler « la croissance économique et la compétitivité des entreprises de l’Union ». La modernisation (et l’harmonisation accrue) de la législation de l’Union « consolide la dimension “marché unique” de la protection des données » (59).

81.      Compte tenu de la valeur évidente des données (à caractère personnel ou non) pour le progrès économique et social en Europe, le RGPD vise non pas à mettre en avant le contrôle de l’individu sur les informations le concernant, en se pliant purement et simplement aux préférences de ce dernier, mais à concilier le droit à la protection des données à caractère personnel de chacun avec les intérêts des tiers et de la société (60).

82.      Le RGPD, j’insiste, a pour finalité non pas de limiter systématiquement le traitement des données à caractère personnel, mais de le légitimer dans certaines conditions strictes. Cet objectif est servi, avant tout, par le renforcement de la confiance de la personne concernée dans le fait que le traitement sera effectué dans un contexte sûr (61), auquel elle contribue elle-même. Est ainsi encouragée la disposition volontaire de la personne concernée à autoriser l’accès à ses données et l’utilisation de ces dernières, notamment dans le domaine des transactions commerciales en ligne.

C.      Sur la deuxième question préjudicielle

83.      La juridiction de renvoi cherche à savoir s’il existe, « [a]ux fins de l’évaluation des dommages-intérêts [...], à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ».

84.      En réalité, il ne semble pas que le principe d’équivalence joue ici un rôle pertinent : le régime harmonisé du RGPD s’applique directement en la matière et l’article 82 de ce dernier vise tous les dommages moraux résultant d’une violation, quelle que soit leur origine.

85.      La même réflexion s’impose pour ce qui est du principe d’effectivité. Il en va différemment en ce qui concerne le fait que la compensation, selon le considérant 146 du RGPD (les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi), doit avoir tel ou tel contenu.

86.      L’article 82 du RGPD n’impose aucune exigence autre que la violation de ses règles lorsque celle-ci a pour conséquence de causer un dommage matériel ou moral à toute personne. S’agissant du calcul concret du montant de la réparation de ce dommage, le RGPD ne fournit aucune indication aux juridictions nationales.

87.      Eu égard aux deux adjectifs indiqués plus haut (« complète et effective »), la réparation dépendra, d’emblée, de la demande formulée par chaque requérant.

88.      Si cette demande vise l’octroi de dommages-intérêts punitifs (62), la réponse à la première question préjudicielle est suffisante : ce type de réparation n’apparaît pas dans le RGPD. Dans ce dernier, la responsabilité civile remplit une fonction de compensation « privée », tandis que les amendes et les sanctions pénales remplissent une fonction dissuasive et, le cas échéant, répressive de nature publique.

89.      Il ne peut être exclu que la réparation demandée au titre du préjudice moral incorpore des éléments autres que le seul élément pécuniaire, tels que la reconnaissance de l’existence de la violation, ce qui permet au requérant d’obtenir une certaine satisfaction morale. L’arrêt de la Cour du 15 avril 2021 (63), bien que rendu dans un domaine ne coïncidant pas avec celui de la protection des données, permettrait, par analogie, de faire droit à cette demande.

90.      Dans les ordres juridiques qui l’envisagent, le régime de responsabilité civile peut prévoir des condamnations au titre de la reconnaissance d’un droit (paiement d’une indemnisation symbolique) ou de la neutralisation d’un avantage indu (versement du gain injustement obtenu).

91.      La première de ces catégories de condamnations repose sur l’idée d’assurer la continuité et la réalisation du droit (« Rechtsfortsetzungsfunktion ») au moyen d’une réparation purement symbolique qui s’ajoute à la constatation que le défendeur a commis un acte illicite et violé les droits du requérant. Cette possibilité n’est pas prévue à l’article 82 du RGPD et n’est envisagée nulle part dans les travaux préparatoires, ce qui n’est pas surprenant, car elle n’est pas commune aux systèmes juridiques des États membres (64) et fait l’objet de débats dans ceux où elle existe (65).

92.      L’économie et les objectifs du RGPD ne s’opposent toutefois pas à ce que les États membres qui prévoient cette réparation la mettent à la disposition des personnes affectées par la violation d’une règle, dans le cadre des recours visés à son article 79, en cas d’absence totale de dommage. Lorsque, en revanche, le requérant prétend avoir subi un dommage pécuniaire, la situation est régie par l’article 82 du RGPD et la difficulté à prouver le dommage ne doit pas donner lieu à l’octroi d’une réparation symbolique (66).

93.      S’agissant des condamnations consistant dans le versement d’un montant à la suite de la violation d’un droit, elles peuvent avoir pour objet de priver le contrevenant du bénéfice obtenu. En dehors du domaine de la propriété intellectuelle (67), cette finalité n’est pas commune en droit de la responsabilité civile, qui s’intéresse non pas au gain de l’auteur de la violation, mais plutôt à la perte subie par la personne lésée (68). Le RGPD ne l’inclut pas dans ses dispositions.

94.      J’ai développé ces réflexions afin de faciliter la tâche de la juridiction de renvoi, eu égard à l’ampleur de sa deuxième question préjudicielle. Je ne cache toutefois pas que leur utilité pourrait être réduite aux fins d’apprécier s’il convient d’accueillir ou de rejeter une demande par laquelle la personne concernée cherche à obtenir une réparation strictement pécuniaire d’un préjudice moral.

D.      Sur la troisième question préjudicielle

95.      La juridiction de renvoi souhaite savoir si, dans le RGPD, l’octroi de dommages-intérêts au titre du préjudice moral est subordonné à l’existence d’une « violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit ».

96.      La demande de décision préjudicielle prend en compte, à titre de critère de ce qui est indemnisable, l’intensité des sentiments éprouvés par la personne lésée. En revanche, elle ne cherche pas à déterminer (tout au moins directement) si, en raison de leur contenu, certaines sensations ou émotions ressenties par la personne lésée sont pertinentes ou non aux fins de l’article 82, paragraphe 1, du RGPD (69).

97.      Se pose ainsi la question de savoir si les États membres peuvent subordonner la réparation du préjudice moral à l’importance des conséquences découlant de la violation de la règle, en prenant uniquement en considération celles qui dépassent un certain seuil de gravité. La question ne porterait donc pas sur les éléments susceptibles de donner lieu à réparation (70), ni sur le montant de celle-ci, mais sur l’existence d’un seuil minimal de réaction de la personne lésée, en deçà duquel elle ne serait pas indemnisée.

98.      L’article 82 du RGPD n’apporte pas de réponse directe à cette interrogation. Tel n’est pas non plus le cas, selon moi, de ses considérants 75 et 85. L’un et l’autre contiennent une liste d’exemples de dommages, laquelle se termine par une clause ouverte qui semble limiter les dommages indemnisables à ceux qui sont « importants ».

99.      Je ne crois pas, cependant, que les considérants 75 et 85 du RGPD soient utiles pour dissiper le doute éprouvé par la juridiction de renvoi :

–        le considérant 75 du RGPD concerne, d’une part, l’identification et l’évaluation des risques liés au traitement des données et, d’autre part, l’adoption de mesures visant à éviter ou à atténuer ces risques. Il décrit les conséquences indésirables de tout traitement et met l’accent, « en particulier », sur certaines d’entre elles, sans doute en raison de leur degré de gravité plus élevé ;

–        le considérant 85 du RGPD fait référence aux violations de données à caractère personnel et signale que leurs conséquences peuvent se révéler importantes.

100. De même, aucun critère permettant de répondre à cette interrogation ne peut être déduit du libellé du considérant 146 du RGPD (les responsables doivent réparer « tout dommage ») (71).

101. La transposition de ce considérant dans le texte du RGPD s’est traduite par l’introduction explicite des dommages moraux dans ce dernier, en lieu et place du silence qui caractérisait la directive 95/46 sur ce point (72). En revanche, la question qui est aujourd’hui soulevée devant la Cour n’a, en particulier, pas été abordée.

102. Ce même considérant 146 du RGPD énonce que « [l]a notion de [“]dommage[”] devrait être interprétée au sens large, à la lumière de la jurisprudence de la [Cour], d’une manière qui tienne pleinement compte des objectifs du présent règlement ».

103. Je ne suis pas certain que cette indication ait été d’une grande utilité dans le contexte de la protection des données, dans la mesure où la Cour ne s’était pas encore prononcée à cet égard lorsque le RGPD a été adopté (73). Si l’intention avait été de renvoyer à des arrêts relatifs à la responsabilité civile régie par d’autres directives ou règlements, une référence à l’analogie aurait été bienvenue.

104. En fait, la Cour n’a pas élaboré de définition générale de la notion de « dommage » applicable indistinctement dans n’importe quel domaine (74). Pour ce qui importe ici (les dommages moraux), il peut être déduit de sa jurisprudence que :

–        lorsque l’objectif (ou l’un des objectifs) de la disposition interprétée est la protection de l’individu ou d’une certaine catégorie d’individus (75), la notion de « dommage » doit être large ;

–        conformément à ce critère, la réparation s’étend aux dommages moraux, bien qu’ils ne soient pas mentionnés dans la disposition interprétée (76).

105. Si la jurisprudence de la Cour autorise à soutenir que, dans les conditions précédemment décrites, il existe en droit de l’Union un principe de réparation du préjudice moral, je ne crois pas que l’on puisse en déduire, en revanche, une règle selon laquelle tout préjudice moral, quelle que soit sa gravité, est indemnisable.

106. La Cour a admis la compatibilité avec la législation de l’Union d’une réglementation nationale qui, aux fins du calcul de la réparation, opère une distinction entre les dommages moraux résultant de lésions corporelles causées par un accident en fonction de l’origine de celui-ci (77).

107. Elle a également apprécié les circonstances susceptibles de causer des dommages moraux, conformément à la disposition applicable dans chaque affaire (78), mais elle ne s’est pas explicitement prononcée (si je ne fais pas erreur) sur l’exigence de gravité de ces dommages (79).

108. À ce stade, je suis d’avis qu’il convient de répondre par l’affirmative à la troisième question préjudicielle.

109. Pour étayer mon propos, je rappelle que le RGPD n’a pas pour seul objectif la sauvegarde du droit fondamental à la protection des données à caractère personnel (80) et que son système de garanties intègre des mécanismes de natures diverses (81).

110. Dans ce contexte, la distinction suggérée à la Cour entre un préjudice moral indemnisable et d’autres inconvénients résultant du non‑respect de la légalité qui, en raison de leur faible importance, n’ouvriraient pas nécessairement droit à réparation, est pertinente.

111. Cette dichotomie est présente dans certains ordres juridiques nationaux, en tant que corollaire inévitable de la vie en société (82). La Cour n’ignore pas cette distinction, qu’elle admet lorsqu’elle se réfère aux difficultés et aux désagréments en tant que catégorie autonome par rapport à celle des dommages, dans des domaines où elle estime qu’ils doivent être réparés (83). Rien n’empêche de transposer cette distinction au RGPD.

112. Par ailleurs, le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD ne me paraît pas être l’instrument adéquat pour contrer des violations commises lors du traitement de données à caractère personnel, si la seule réaction que ces violations engendrent chez la personne concernée est le désagrément ou le mécontentement.

113. De façon générale, toute violation d’une règle relative à la protection des données à caractère personnel entraînera une réaction négative de la personne concernée. Une réparation fondée sur un simple sentiment de désagrément face au non‑respect de la loi par autrui peut aisément être confondue avec une réparation sans dommage, que j’ai déjà rejetée précédemment.

114. D’un point de vue pratique, il ne serait pas efficace d’inclure le simple mécontentement parmi les dommages moraux indemnisables, compte tenu des inconvénients et des difficultés qui caractérisent, pour le requérant (84), l’introduction d’un recours juridictionnel et, pour le défendeur, l’organisation de sa défense (85).

115. Refuser un droit à réparation pour les émotions ou sentiments passagers ou de faible intensité (86) liés à la violation de règles relatives au traitement ne laisse pas la personne concernée complètement démunie. Comme je l’ai indiqué dans le cadre de la réponse à la première question préjudicielle, le système du RGPD lui offre d’autres recours.

116. Je n’ai aucun doute sur le fait que la frontière entre un simple mécontentement (non indemnisable) et de véritables dommages moraux (indemnisables) est ténue, et je n’ignore pas à quel point il est compliqué de délimiter ces deux catégories de manière abstraite et de les appliquer concrètement à un litige. Cette tâche difficile incombe aux juges des États membres, qui ne pourront probablement pas, dans leurs décisions, faire abstraction de la perception qu’a la société, à un moment déterminé, de ce qu’il est tolérable d’admettre, lorsque les conséquences subjectives de la violation d’une règle en la matière ne dépassent pas un niveau de minimis (87).

V.      Conclusion

117. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre à l’Oberster Gerichtshof (Cour suprême, Autriche) de la manière suivante :

L’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

pour allouer des dommages-intérêts au titre d’un préjudice causé à une personne par une violation du règlement susmentionné, la simple violation de la règle ne suffit pas en soi si elle ne s’accompagne pas du dommage matériel ou moral correspondant.

La réparation du préjudice moral qu’il prévoit ne s’étend pas au simple mécontentement que la personne lésée est susceptible d’éprouver du fait de la violation des dispositions du règlement 2016/679. Il appartient aux juridictions nationales de déterminer quand, en raison de ses caractéristiques, la sensation subjective de désagrément peut être considérée, dans chaque cas, comme un préjudice moral.

1      Langue originale : l’espagnol.

2      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

3      Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

4      Selon le rapport de l’Agence des droits fondamentaux de l’Union européenne (FRA) intitulé Access to data protection remedies in EU Member States, Office des publications de l’Union européenne, 2013, sections 3 et 4.

5      La reconnaissance législative de ce droit constitue, dans une large mesure, une particularité du système de protection de l’Union. L’examen de la validité d’instruments juridiques relatifs au transfert de données à caractère personnel vers des pays tiers tient spécifiquement compte de l’existence ou non d’une disposition ayant la même finalité. Voir points 226 et 227 de l’avis 1/15 (Accord PNR UE‑Canada), du 26 juillet 2017 (EU:C:2017:592), ainsi que arrêts du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559), et du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      Au moment de la rédaction des présentes conclusions, sept autres demandes de décision préjudicielle sont en cours d’examen dans ce domaine (affaires C‑340/21 ; C‑667/21 ; C‑687/21 ; C‑741/21 ; C‑182/22 ; C‑189/22 et C‑456/22). Parallèlement, il a été demandé à la commission des pétitions du Parlement européen de « préciser les considérants du RGPD, en particulier concernant les dommages moraux, afin d’éviter d’autres erreurs de jugement des tribunaux allemands » (pétition n^o 0386/2021).

7      Elle a, en revanche, fait droit à l’action en cessation, décision qui a été confirmée en appel. Le recours en « Revision » formé par Österreichische Post contre l’injonction de cessation a été rejeté.

8      J’utilise ce terme au sens de l’article 4, point 1, du RGPD.

9      Parfois, la personne concernée n’aura même pas à prouver qu’elle n’a pas consenti au traitement de ses données à caractère personnel, puisque, selon l’article 7, paragraphe 1, du RGPD, « [d]ans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». En revanche, le requérant peut être tenu de fournir des éléments permettant de quantifier le dommage.

10      C’est le terme « indemnización » qui est utilisé dans les versions en langue espagnole et en langue portugaise (« indemnização »). Le terme « Schadenersatz », dans la version en langue allemande, est également très explicite. La version en langue française n’utilise pas le terme « indemnisation », mais le terme « réparation », et la version en langue anglaise emploie le terme « compensation ». J’estime que, dans chacune de ces versions et dans d’autres semblables, le résultat est identique : le dommage demeure un élément indispensable de la responsabilité civile.

11      Considérant 146 du RGPD. La réparation vise à rétablir l’équilibre de la situation juridique affectée négativement (détériorée) par la violation du droit.

12      Les dommages-intérêts punitifs (punitive damages) sont caractéristiques du droit anglo-saxon. D’autres systèmes juridiques les utilisent en réaction à des comportements particulièrement malveillants ou gravement négligents. Ils sont parfois associés à l’évaluation du préjudice moral résultant d’une atteinte à l’intégrité physique ou à la sphère d’intimité de l’individu.

13      Arrêt du 13 juillet 2006, Manfredi e.a. (C‑295/04 à C‑298/04, EU:C:2006:461, point 92) : « En ce qui concerne l’allocation de dommages‑intérêts et une éventuelle possibilité d’accorder des indemnités ayant un caractère de sanction, en l’absence de dispositions communautaires en ce domaine, il appartient à l’ordre juridique interne de chaque État membre de fixer les critères permettant de déterminer l’étendue de la réparation, pour autant que les principes de l’équivalence et d’effectivité soient respectés ». Mise en italique par mes soins.

14      Arrêt du 11 octobre 2007, Paquay (C‑460/06, EU:C:2007:601, points 44 et suiv.), qui concerne l’article 6 de la directive 76/207/CEE du Conseil, du 9 février 1976, relative à la mise en œuvre du principe de l’égalité de traitement entre hommes et femmes en ce qui concerne l’accès à l’emploi, à la formation et à la promotion professionnelles, et les conditions de travail (JO 1976, L 39, p. 40).

15      Article 28 de la directive 2004/109/CE du Parlement européen et du Conseil, du 15 décembre 2004, sur l’harmonisation des obligations de transparence concernant l’information sur les émetteurs dont les valeurs mobilières sont admises à la négociation sur un marché réglementé et modifiant la directive 2001/34/CE (JO 2004, L 390, p. 38), ou article 25 de la directive 2006/54/CE du Parlement européen et du Conseil, du 5 juillet 2006, relative à la mise en œuvre du principe de l’égalité des chances et de l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail (JO 2006, L 204, p. 23).

16      Voir, en ce sens, considérant 26 de la directive 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle (JO 2004, L 157, p. 45). En pareil cas, l’adoption de la mesure punitive n’est pas interdite, mais n’est pas obligatoire : arrêt du 25 janvier 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, point 28).

17      Article 3, paragraphe 3, de la directive 2014/104/UE du Parlement européen et du Conseil, du 26 novembre 2014, relative à certaines règles régissant les actions en dommages et intérêts en droit national pour les infractions aux dispositions du droit de la concurrence des États membres et de l’Union européenne (JO 2014, L 349, p. 1), ou considérants 10 et 42 de la directive (UE) 2020/1828 du Parlement européen et du Conseil, du 25 novembre 2020, relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO 2020, L 409, p. 1), qui couvre le domaine de la protection des données.

18      L’exemple fréquemment cité est l’article 18, paragraphe 2, du règlement (CE) n^o 1768/95 de la Commission, du 24 juillet 1995, établissant les modalités d’application de la dérogation prévue à l’article 14, paragraphe 3, du règlement (CE) n^o 2100/94 du Conseil instituant un régime de protection communautaire des obtentions végétales (JO 1995, L 173, p. 14) : « la réparation du dommage subi par le titulaire [...] représentera au moins un montant forfaitaire qui sera calculé sur la base du quadruple du montant [...] perçu ».

19      Voir point 47 des présentes conclusions.

20      J’utilise ici les expressions « mise en œuvre par la sphère publique » et « mise en œuvre [...] sur l’initiative de la sphère privée » dans le même sens que la directive 2014/104.

21      Le considérant 55 annonçait le contenu du chapitre III (intitulé « Recours juridictionnels, responsabilité et sanctions ») de la directive 95/46. Ses articles 22, 23 et 24 correspondaient respectivement à chacune de ces expressions. Le chapitre VI de cette directive était consacré aux autorités de contrôle.

22      La Cour a confirmé le rôle central joué par ces autorités au sein du système : voir, par exemple, arrêt du 9 mars 2010, Commission/Allemagne (C‑518/07, EU:C:2010:125, point 23). L’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») et l’article 16, paragraphe 2, in fine, TFUE mentionnent lesdites autorités.

23      L’Estonie et le Danemark bénéficient d’un régime spécial mentionné au considérant 151 du RGPD.

24      Nonobstant l’absence, dans le RGPD, d’une référence directe à l’importance de la mise en œuvre des règles sur l’initiative de la sphère privée, semblable à celle qui figure au considérant 3 de la directive 2014/104.

25      La possibilité d’intenter des actions de groupe existait déjà avant le RGPD : arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629). Aux termes de l’article 80, paragraphe 1, du RGPD, les organismes de protection des personnes concernées ne peuvent agir, en matière indemnitaire, que si les États membres le prévoient et si la personne concernée accorde le mandat nécessaire. La situation est susceptible d’évoluer du fait de la directive 2020/1828.

26      Comme l’indique l’avocat général Richard de la Tour dans ses conclusions dans l’affaire Meta Platforms Ireland (C‑319/20, EU:C:2021:979), l’action prévue à l’article 80 du RGPD est propre à servir la protection d’intérêts particuliers et généraux. Cette affaire concernait l’action en cessation.

27      En particulier dans des États membres qui étaient réticents à accepter des condamnations à verser des dommages-intérêts en réparation d’un préjudice moral en l’absence d’une disposition légale à cet effet.

28      Comme la qualité pour être attrait en justice, les causes d’exonération et le régime de responsabilité des responsables conjoints du traitement et des sous-traitants. Un document du Conseil reproduit la question suivante de la délégation belge : « une violation des principes du règlement est-elle suffisante pour constituer un dommage ou la personne concernée doit-elle prouver l’existence d’un dommage spécifique ? » (traduction libre). La Commission a répondu que la preuve du dommage était nécessaire, comme il est indiqué pour la première fois dans la note de la présidence n^o 17831/13, du 16 décembre 2013, note 541. Il n’apparaît pas que cette question ait été discutée plus avant.

29      Je me réfère aux travaux préparatoires à l’adoption des directives 2004/48 et 2014/104. Une interprétation qui étendrait l’article 82 du RGPD de manière à ce qu’il inclue les dommages‑intérêts punitifs aurait des conséquences importantes pour les États membres : ils devraient déterminer, par exemple, qui devrait être le bénéficiaire de l’indemnisation faisant office de sanction, de quelle manière la calculer pour qu’elle réponde à l’objectif poursuivi ou l’articuler avec les amendes administratives et les sanctions pénales, afin d’éviter un effet de sanction excessif.

30      Ces « autres sanctions », de nature pénale ou administrative, ne sont pas harmonisées. Comme les amendes, elles doivent être « effectives, proportionnées et dissuasives » (article 84, paragraphe 1, in fine, du RGPD).

31      Je n’exclus pas que, en théorie, certains d’entre eux puissent également l’être dans le cadre de la responsabilité civile [je pense, par exemple, au « fait que la violation a été commise délibérément ou par négligence », conformément à l’article 83, paragraphe 2, sous b), du RGPD] ou se refléter dans la réparation [par exemple, la « catégorie de données à caractère personnel concernée par la violation », conformément à l’article 83, paragraphe 2, sous g), du RGPD]. Toutefois, même dans ces cas, la transposition de chaque facteur d’un domaine à l’autre ne s’effectuerait pas automatiquement.

32      Article 83, paragraphe 2, sous a), du RGPD.

33      Qui ne peut être ni utilisée en tant que paramètre de calcul ni déduite du montant de l’amende.

34      Article 1^er et considérants 6, 9 et 170 du RGPD. Le considérant 9 de ce règlement rappelle que ces objectifs étaient ceux de la directive 95/46 et insiste sur le fait qu’ils demeurent valables. Il est fréquemment souligné que, dans cette directive, l’objectif de la libre circulation des données à caractère personnel primait sur celui de la protection de ces données, alors que le RGPD prévoit le contraire, ce qui pourrait s’expliquer par la reconnaissance formelle du droit énoncé à l’article 8 de la Charte, qui devait imprégner la nouvelle réglementation. Toutefois, l’article 1^er du RGPD est clair quant à la volonté de concilier la protection des données à caractère personnel avec leur libre circulation. Il s’agit, bien évidemment, de veiller à ce que le niveau de protection soit équivalent dans tous les États membres, en évitant les obstacles découlant de la fragmentation réglementaire, mais aussi de vaincre les réticences des particuliers à partager ou à fournir des données à caractère personnel en vue de leur traitement en suscitant chez eux un sentiment de confiance dans le fait qu’elles sont protégées.

35      Au point 53 de ses observations, le gouvernement irlandais affirme que « de très nombreuses actions en réparation au titre de l’article 82 du RGPD ont été introduites sur le fondement de prétendus dommages moraux très mineurs, marginaux ou conjecturaux » (mise en italique par mes soins). En Allemagne, une partie de la doctrine met en garde contre le risque d’un excès d’actions et souligne la nécessité d’éviter que ne se développe une « industrie des recours » en matière de protection des données : Wybitul, T., Neu, L., Strauch, M., « Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen », Zeitschrift für Datenschutz, 2018, p. 202 et suiv., en particulier p. 206 ; Paal, B. P., Kritzer, I., « Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell », Neue Juristische Wochenschrift, 2022, p. 2433 et suiv.

36      Un effet d’« appel » ou un effet multiplicateur, résultant du succès de l’action en responsabilité civile non fondée sur un dommage, ne peut être exclu. Cet effet augmenterait la probabilité que les opérateurs économiques soient confrontés à des actions de groupe ou à une pluralité d’actions individuelles (le cas échéant, plus ou moins abusives), en sus d’éventuelles sanctions administratives ou pénales.

37      Les observations des parties se bornent à l’esquisser, mais ne la développent pas. Elles ne précisent pas, par exemple, s’il s’agit d’une présomption irréfragable ou non. La première possibilité étant la plus compatible avec la question de la juridiction de renvoi, je me limiterai à celle-ci.

38      Voir article 7 du règlement (CE) n^o 261/2004 du Parlement européen et du Conseil, du 11 février 2004, établissant des règles communes en matière d’indemnisation et d’assistance des passagers en cas de refus d’embarquement et d’annulation ou de retard important d’un vol, et abrogeant le règlement (CEE) n^o 295/91 (JO 2004, L 46, p. 1), ou article 19 du règlement (UE) n^o 1177/2010 du Parlement européen et du Conseil, du 24 novembre 2010, concernant les droits des passagers voyageant par mer ou par voie de navigation intérieure et modifiant le règlement (CE) n^o 2006/2004 (JO 2010, L 334, p. 1).

39      Pour ne citer que les paragraphes 3 et 4 de l’article 82 du RGPD lui-même.

40      « [L]orsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel. »

41      « Une violation de données à caractère personnel risque [...] de causer aux personnes physiques concernées [...] une perte de contrôle sur leurs données [...] »

42      Les conséquences que ce considérant énumère ne sont pas automatiques. Conformément à l’article 34 du RGPD, le responsable du traitement doit apprécier au cas par cas s’il est nécessaire de communiquer la violation à la personne concernée.

43      Les conséquences émotionnelles attachées à la perte de contrôle sur les données, telles que la peur ou l’angoisse de ce qui pourrait advenir de ces données, résultent de cette perte, mais ne se confondent pas avec celle-ci.

44      Certains États membres avaient instauré une présomption de dommage dans des domaines proches de celui de la protection des données. Ainsi, en Espagne, l’article 9, paragraphe 3, de la Ley Orgánica 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (loi organique 1/1982 sur la protection civile du droit à l’honneur, à l’intimité personnelle et familiale et à l’image), du 5 mai 1982 (BOE n^o 115, du 14 mai 1982, p. 12546 à 12548), disposait que « l’existence d’un dommage est présumée dès lors que l’immixtion illégitime [dans les droits garantis par cette loi] est prouvée ».

45      Je rappelle que, dans ce litige, l’illicéité du comportement est précisément liée à l’absence de consentement de la personne concernée. Les arguments sur la place du droit à réparation parmi les garanties du respect des règles du RGPD valent également ici.

46      Il ne s’agit cependant que d’une des bases de la licéité du traitement ; toutes celles qui sont énumérées dans le RGPD sont également valables. Voir avis 06/2014 du groupe de travail « article 29 » sur la protection des données, sur la notion d’« intérêt légitime » poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46, adopté le 9 avril 2014, p. 10. Toutefois, le responsable ne peut pas modifier la base du traitement une fois qu’il l’a initié : Comité européen de la protection des données, lignes directrices 5/2020 sur le consentement au sens du [RGPD], paragraphes 121 à 123.

47      Article 17, paragraphe 1, du RGPD. Ce qui ne signifie pas qu’il n’existe pas de droit à réparation pour les dommages que le traitement effectué a pu causer jusqu’à l’effacement des données.

48      Arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 4 du dispositif).

49      Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) [COM(2012) 011 final], p. 2, et considérant 6 du texte proposé. Voir également le point 2 de la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée « Protection de la vie privée dans un monde en réseau. Un cadre européen relatif à la protection des données, adapté aux défis du 21^e siècle » [COM(2012) 9 final].

50      Il me semble que ce silence n’est pas fortuit. Au-delà des réflexions d’ordre conceptuel sur la propriété des données à caractère personnel, la question est de savoir si le contrôle que les personnes physiques exercent sur leurs données signifie qu’elles disposent de droits de propriété sur les informations qui les concernent (ce qui ne serait probablement pas compatible avec les intérêts des tiers et de la société dans son ensemble). La recommandation relative à la reconnaissance de droits de propriété sur les données à caractère personnel figure dans l’avis du Comité économique et social européen sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données) [COM(2020) 767 final] (JO 2021, C 286, p. 38), au point 4.18 : « [l]e CESE recommande [...] de reconnaître un droit de propriété européen des données à caractère personnel afin de permettre aux citoyens (travailleurs, consommateurs, chefs d’entreprise) de contrôler et de gérer l’utilisation de leurs données ou de l’interdire » (mise en italique par mes soins). En revanche, le CESE conteste que les données à caractère personnel soient une marchandise : voir note 53, in fine, des présentes conclusions.

51      La version en langue espagnole prévoit que « [l]as personas físicas deben tener el control de sus propios datos personales » (mise en italique par mes soins) ; la version en langue anglaise dispose que « [n]atural persons should have control of their own personal data » (et non the control). Dans d’autres versions linguistiques, comme dans la version en langue portugaise, il est indiqué que « [a]s pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais ». En vertu de l’article 4 du RGPD, le contrôle sur les données à caractère personnel porte sur les informations qu’elles contiennent. Le contrôle sur l’utilisation des données porterait, plutôt, sur leur traitement.

52      En pratique, le consentement se limite à l’acceptation ou au rejet de la proposition de la personne qui cherche à traiter les données.

53      Je n’exclus pas que ce régime juridique puisse évoluer vers la reconnaissance de droits de propriété à la personne concernée. Toutefois, je doute que cette évolution entraîne la maximisation du contrôle individuel : l’attribution à la personne concernée de la propriété sur les données à caractère personnel pourrait ne pas bien cadrer avec le développement de l’économie et de l’innovation ; sa compatibilité avec le caractère fondamental du droit en question serait discutable. Voir considérant 24 de la directive (UE) 2019/770 du Parlement européen et du Conseil, du 20 mai 2019, relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (JO 2019, L 136, p. 1) : « [t]out en reconnaissant pleinement que la protection des données à caractère personnel est un droit fondamental et que, par conséquent, les données à caractère personnel ne peuvent être considérées comme des marchandises [...] ». Mise en italique par mes soins.

54      Des formulations telles que la proposition pour l’article 19, figurant dans la note du présidium – Projet de Charte des droits fondamentaux de l’Union européenne, Charte 4284/1/00 REV 1, du 11 mai 2000, n’ont pas été retenues : « Toute personne a le droit de décider elle-même de la divulgation et de l’utilisation de ses données personnelles ». La proposition énoncée pour le même article dans la note du présidium – Projet de Charte des droits fondamentaux de l’Union européenne, Charte 4333/00, du 4 juin 2000, n’a pas non plus été adoptée : « Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant ». Au niveau national, l’idée d’autodétermination en matière d’information s’est imposée dans certains États membres tels que l’Allemagne, après la décision du Bundesverfassungsgericht (Cour constitutionnelle fédérale) du 15 décembre 1983, 1 BvR 209/83. Pour l’Espagne, voir, à titre d’exemple, arrêt du Tribunal Constitucional (Cour constitutionnelle, Espagne) 292/2000, du 30 novembre 2000 (BOE du 4 janvier 2001). Je ne suis pas certain que tel soit le cas de l’Union, bien que les conclusions de l’avocat général Szpunar dans l’affaire Orange Romania (C‑61/19, EU:C:2020:158, point 37) aillent dans ce sens : « [l]e principe directeur à la base du droit de l’Union en matière de protection des données est celui d’une décision autodéterminée d’un individu capable de faire des choix quant à l’utilisation et au traitement de ses données », avec une référence, précisément, à la doctrine allemande.

55      Projet de rapport sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) [COM(2012) 0011 – C7‑0025/2012 – 2012/0011(COD)], PE501.927v04‑00, du 16 janvier 2013, amendement 29.

56      Je ne prétends nullement que la violation de la règle doit rester impunie : j’affirme que la réparation n’est pas l’outil approprié en l’absence de dommage.

57      Ayant exclu que l’attribution à l’individu d’un contrôle sur ses données constitue en soi un objectif du RGPD, je n’écarte pas que la perte de contrôle puisse servir d’élément d’orientation aux fins de la reconnaissance du préjudice moral, en ce qu’il s’agirait de prendre en considération les réactions découlant d’une telle perte.

58      Voir point 51 des présentes conclusions. Le libre flux des données est le seul objectif visé en ce qui concerne les données à caractère non personnel : article 1^er du règlement (UE) 2018/1807 du Parlement européen et du Conseil, du 14 novembre 2018, établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (JO 2018, L 303, p. 59).

59      Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée « Protection de la vie privée dans un monde en réseau. Un cadre européen relatif à la protection des données, adapté aux défis du 21^e siècle » [COM(2012) 9 final], point 1. Voir plus loin, p. 5 : « les préoccupations quant au respect de la vie privée figurent parmi les raisons les plus fréquentes pour lesquelles les consommateurs s’abstiennent d’acheter des produits et des services en ligne ».

60      Considérant 2 du RGPD : « [...] contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques ». Le considérant 4 indique : « [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société. » Voir, dans le même sens, arrêt du 24 septembre 2019, Google (Portée territoriale du déréférencement) (C‑507/17, EU:C:2019:772, point 60 et jurisprudence citée).

61      Cette finalité est également celle du cadre réglementaire visant à renforcer le marché unique des données. À cet égard, la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée « Une stratégie européenne pour les données », COM(2020) 66 final, point 1, explique : « [d]ans une société où les individus génèrent des volumes toujours plus importants de données, la façon dont les données sont collectées et utilisées doit placer les intérêts de l’individu en première place, conformément aux valeurs, aux droits fondamentaux et aux règles de l’Union européenne. Les citoyens ne feront confiance aux innovations fondées sur les données et ne les adopteront que s’ils sont convaincus que tout partage de données à caractère personnel dans l’UE sera subordonné à la pleine conformité avec les règles strictes de l’Union en matière de protection de la vie privée ».

62      La juridiction nationale semble être préoccupée (décision de renvoi, point 5 de la partie consacrée à la motivation des questions préjudicielles) par le fait que la réparation puisse acquérir un caractère punitif, étant donné que le RGPD prévoit déjà des amendes élevées, de sorte que, pour que ce dernier soit efficace, un niveau élevé de réparation du préjudice moral ne serait pas nécessaire.

63      Arrêt Braathens Regional Aviation (C‑30/19, EU:C:2021:269, point 49) : « le versement d’un montant pécuniaire ne suffit pas à rencontrer les prétentions d’une personne qui entend en priorité faire reconnaître, à titre de réparation du préjudice moral encouru, qu’elle a été victime d’une discrimination, de sorte que ce versement ne saurait, à cette fin, être considéré comme ayant une fonction réparatrice satisfaisante ». Cette affaire concernait la directive 2000/43/CE du Conseil, du 29 juin 2000, relative à la mise en œuvre du principe de l’égalité de traitement entre les personnes sans distinction de race ou d’origine ethnique (JO 2000, L 180, p. 22).

64      Voir Magnus, U., « Comparative Report on the Law of Damages », dans Unification of Tort Law : Damages, Kluwer Law International, 2001, p. 187, paragraphes 14 et 15.

65      Typiquement, dans les systèmes de common law, en particulier aux États-Unis d’Amérique, où la demande de réparation symbolique apparaît comme l’ultime recours en matière de protection des droits constitutionnels. Pour un résumé des débats sur son utilité dans ce pays, voir Grealish, M.‑B., « A Dollar for Your Thoughts : Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion », dans Fordham L. Rev., vol. 87, p. 733, et, récemment, la décision de la Cour suprême des États-Unis du 8 mars 2021 dans l’affaire Uzuegbunam v Preczewski. Les nominal damages ne sont pas non plus acceptés unanimement au Royaume-Uni : il est admis que, dans la pratique, l’intérêt d’une condamnation à verser une réparation symbolique dépend du fait que le bénéficiaire soit considéré comme ayant eu gain de cause aux fins de l’allocation des dépens, ce qui n’est plus automatique depuis la décision Anglo-Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873.

66      Dans le cadre de l’(ancien) article 215 CEE, la Cour exigeait la preuve du dommage y compris lorsque, en raison de la difficulté à démontrer ce dernier, le requérant demandait une indemnisation symbolique : arrêt du 21 mai 1976, Roquette frères/Commission (26/74, EU:C:1976:69, points 23 et 24).

67      Dans le contexte de la propriété intellectuelle, la réparation, en tant que réponse à la violation d’une règle, vise à atteindre l’objectif, essentiel en la matière, de protéger l’intégrité économique du droit. L’article 13, paragraphe 1, sous a), de la directive 2004/48 cite les « bénéfices injustement réalisés par le contrevenant » comme l’un des aspects que les autorités judiciaires doivent prendre en considération lorsqu’elles fixent les dommages-intérêts.

68      Une disposition analogue se trouve à l’article 94, paragraphe 2, du règlement (CE) n^o 2100/94 du Conseil, du 27 juillet 1994, instituant un régime de protection communautaire des obtentions végétales (JO 1994, L 227, p. 1) : « [e]n cas de faute légère, le droit à réparation du titulaire peut être diminué en conséquence, sans être toutefois inférieur à l’avantage acquis par l’auteur de la contrefaçon du fait de cette contrefaçon ».

69      Le caractère ineffable des émotions ou des sensations, en particulier si elles sont associées aux risques liés à ce qui pourrait advenir de ces données par la suite, a conduit à ne pas les considérer comme des dommages, au motif qu’elles ne sont pas suffisamment précises ou qu’elles sont hypothétiques par nature.

70      C’est-à-dire sur les chefs de préjudice ou heads of damage.

71      Aux termes de ce considérant, les personnes concernées devraient recevoir une réparation « complète et effective ». Je ne crois pas que cette affirmation soit pertinente aux fins de la troisième question préjudicielle, car elle ne fait pas référence aux catégories de dommages indemnisables, mais au calcul de la réparation (une étape qui est logiquement postérieure à celle de l’identification des dommages susceptibles d’être indemnisés et qui ne peut pas être confondue avec celle-ci). À la lumière des travaux préparatoires du RGPD, l’accent mis sur une réparation « complète et effective » garantit que, en cas de participation de plusieurs responsables du traitement ou sous-traitants, la personne concernée ne reçoive pas une réparation seulement partielle. C’est pourquoi l’article 82, paragraphe 4, du RGPD indique que « [...] chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ».

72      L’article 23 de la directive 95/46 ne précisait pas quels étaient les dommages indemnisables, ce qui a suscité des débats quant à la question de savoir quels dommages étaient couverts. La négociation qui a précédé l’adoption du RGPD s’est attachée à dissiper les doutes concernant l’inclusion des dommages moraux. Le considérant 118 de la proposition de la Commission citée à la note 49 des présentes conclusions mentionnait la réparation de tout dommage. Lors des étapes ultérieures de la procédure de codécision, il a été fait référence à l’expression « [t]out dommage, de nature financière ou non », qui a été remplacée par les termes « dommage non pécuniaire », auxquels s’est substituée, enfin, la formulation actuelle (« dommage [...] moral »).

73      Elle ne s’était pas prononcée au sujet de l’article 23 de la directive 95/46 et ne l’a pas fait jusqu’à présent ni en ce qui concerne l’article 82 du RGPD ni, sauf erreur de ma part, en ce qui concerne l’article 56 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89), ou l’article 19 de la décision-cadre abrogée.

74      Elle n’a pas non plus indiqué de méthode d’interprétation privilégiée (autonome ou par renvoi aux ordres juridiques nationaux) : le choix de la méthode dépend de la matière examinée. Comparer les arrêts du 10 mai 2001, Veedfald (C‑203/99, EU:C:2001:258, point 27), en ce qui concerne les produits défectueux ; du 6 mai 2010, Walz (C‑63/09, EU:C:2010:251, point 21), sur la responsabilité des transporteurs aériens, et du 10 juin 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, points 37 et suiv.), en ce qui concerne la responsabilité civile applicable aux sinistres résultant de la circulation des véhicules automoteurs. Certains documents relatifs aux négociations du RGPD reflètent les doutes de plusieurs États membres sur la question de savoir si les notions de « dommage » et de « réparation » figurant dans ce qui était alors l’article 77 devaient être autonomes ou non, et font état des différentes positions à cet égard. La Commission était favorable à ce que la question soit laissée à l’appréciation de la Cour. Voir Conseil de l’Union européenne, note de la présidence n^o 17831/13, du 16 décembre 2013, note 539.

75      Par exemple les consommateurs de produits ou les victimes d’accidents de la circulation.

76      Voir, en ce qui concerne les voyages à forfait, arrêt du 12 mars 2002, Leitner (C‑168/00, EU:C:2002:163), et, en ce qui concerne la responsabilité civile résultant de la circulation des véhicules automoteurs, arrêts du 24 octobre 2013, Haasová (C‑22/12, EU:C:2013:692, points 47 à 50) ; du 24 octobre 2013, Drozdovs (C‑277/12, EU:C:2013:685, point 40), et du 23 janvier 2014, Petillo (C‑371/12, EU:C:2014:26, point 35).

77      Arrêt du 23 janvier 2014, Petillo (C‑371/12, EU:C:2014:26, dispositif) : le droit de l’Union ne s’oppose pas « à une législation nationale [...] qui prévoit un régime particulier d’indemnisation des préjudices immatériels résultant de lésions corporelles de faible gravité causées par les accidents de la circulation routière limitant l’indemnisation de ces préjudices par rapport à ce qui est admis en matière de réparation de préjudices identiques résultant de causes autres que ces accidents ».

78      Voir, par exemple, arrêts du 12 mars 2002, Leitner (C‑168/00, EU:C:2002:163), en ce qui concerne la perte de l’agrément des vacances, et du 6 mai 2010, Walz (C‑63/09, EU:C:2010:251), en ce qui concerne la perte de bagages dans le domaine des voyages à forfait.

79      L’arrêt du 17 mars 2016, Liffers (C‑99/15, EU:C:2016:173, point 17), relatif à l’interprétation de la directive 2004/48, indique que le préjudice moral constitue une composante du préjudice réellement subi « à la condition qu’il soit établi ». En toute logique, la preuve présuppose la réalité du dommage ; celle-ci, pour sa part, se rapproche de l’idée de gravité du préjudice, mais ne coïncide pas avec elle.

80      Voir point 51 des présentes conclusions.

81      Voir points 45 et suiv. des présentes conclusions.

82      Récemment, en matière de protection des données, en Italie, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, ainsi que Cass Civ. Ord. Sez 6, n^o 17383/2020. En Allemagne, à titre d’exemples, AG Diez, 07.11.2018 – 8 C 130/18 ; LG Karlsruhe, 02.08.2019 – 8 O 26/19, et AG Frankfurt am Main, 10.07.2020 – 385 C 155/19 (70). En Autriche, OGH 6 Ob 56/21k.

83      Voir arrêt du 23 octobre 2012, Nelson e.a. (C‑581/10 et C‑629/10, EU:C:2012:657, point 51), sur la distinction entre le « dommage » au sens de l’article 19 de la convention pour l’unification de certaines règles relatives au transport aérien international, faite à Montréal le 28 mai 1999, et les « désagréments » au sens du règlement n^o 261/2004, qui sont indemnisables en vertu de l’article 7 de ce dernier, conformément à l’arrêt du 19 novembre 2009, Sturgeon e.a. (C‑402/07 et C‑432/07, EU:C:2009:716). Dans ce secteur, comme dans celui du transport de passagers par mer ou par voie de navigation intérieure auquel se réfère le règlement n^o 1177/2010, le législateur a pu identifier une catégorie abstraite grâce au fait que le facteur qui crée la difficulté et la substance de celle-ci sont identiques pour toutes les personnes lésées. Je ne crois pas qu’il soit possible de tirer une telle conclusion dans le domaine de la protection des données.

84      Le mécanisme type en vue de l’exercice du droit énoncé à l’article 82 du RGPD est le recours à la voie juridictionnelle ordinaire. Le principe d’effectivité peut, naturellement, conditionner l’application des règles nationales sur des aspects tels que les frais de procédure ou la preuve. Toutefois, la difficulté à admettre que les simples désagréments sont indemnisables ne tient pas seulement à la disproportion entre leur valeur pécuniaire et ce que coûte un procès (outre le fait que les coûts de l’administration de la justice ne pèsent pas uniquement sur les parties). Il ne m’apparaît pas justifié, dans le silence du RGPD, d’exiger des États membres qu’ils instaurent une procédure ad hoc.

85      Je rappelle que, conformément à l’article 82, paragraphe 3, du RGPD, le responsable du traitement ou le sous-traitant n’est exonéré de responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

86      Par ces réflexions, je ne préjuge pas la question de savoir si, en l’espèce, la situation d’UI relevait de l’une ou l’autre catégorie, ce que la juridiction de renvoi devra trancher.

87      Il en va de même du montant de la réparation.