CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2025:655

ARRÊT DE LA COUR (quatrième chambre)

4 septembre 2025 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Droits de la personne concernée – Article 17 – Droit à l’effacement de données – Article 18 – Droit à la limitation du traitement – Article 79 – Droit à un recours juridictionnel effectif – Traitement illicite de données à caractère personnel – Recours tendant à enjoindre au responsable du traitement de s’abstenir de procéder à l’avenir à tout nouveau traitement illicite – Fondement – Conditions – Article 82, paragraphe 1 – Droit à réparation – Notion de “dommage moral” – Évaluation de la réparation – Prise en compte éventuelle de la gravité de la faute du responsable du traitement – Incidence éventuelle du bénéfice d’une “injonction d’abstention” »

Dans l’affaire C‑655/23,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 26 septembre 2023, parvenue à la Cour le 7 novembre 2023, dans la procédure

contre

Quirin Privatbank AG,

LA COUR (quatrième chambre),

composée de M. I. Jarukaitis, président de chambre, MM. N. Jääskinen (rapporteur), A. Arabadjiev, M. Condinanzi et M^me R. Frendo, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour IP, par M^e M. Rodenhausen, Rechtsanwältin,

– pour Quirin Privatbank AG, par M^e F. Buchmann, Rechtsanwalt,

– pour la Commission européenne, par M. A. Bouchagiar et M^me M. Heller, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 20 mars 2025,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation des articles 17, 18, 79, 82 et 84 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci‑après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant IP, une personne physique, à Quirin Privatbank AG, une société, au sujet de la demande de cette personne visant, d’une part, à ce qu’il soit enjoint à cette société de s’abstenir d’une nouvelle divulgation non autorisée à un tiers de ses données à caractère personnel et, d’autre part, à la réparation du préjudice moral prétendument subi à la suite de la divulgation initiale de celles‑ci.

Le cadre juridique

Le droit de l’Union

3 Les considérants 1, 10, 11, 75, 85 et 146 du RGPD sont libellés comme suit :

« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [charte des droits fondamentaux de l’Union européenne (ci‑après la “Charte”)] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci‑après dénommées “données sensibles”). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.

(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.

[...]

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; [...]

[...]

(85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]

[...]

(146) Le responsable du traitement ou le sous‑traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous‑traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages‑intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »

4 L’article 1^er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5 L’article 4 de ce règlement, intitulé « Définitions », prévoit :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci‑après dénommée “personne concernée”) ; [...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que [...] la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]

[...]

10) “tiers”, une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous‑traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous‑traitant, sont autorisées à traiter les données à caractère personnel ;

[...]

12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

[...] »

6 Le chapitre II du RGPD, intitulé « Principes », comprend les articles 5 à 11 de ce règlement.

7 L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités [...] (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[...]

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui‑ci est respecté (responsabilité). »

8 L’article 6 du même règlement, intitulé « Licéité du traitement », dispose, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

9 Le chapitre III du RGPD, intitulé « Droits de la personne concernée », comprend les articles 12 à 23 de ce règlement.

10 Figurant à la section 3 de ce chapitre III, intitulée « Rectification et effacement », l’article 17 dudit règlement, lui‑même intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[...] »

11 Figurant aussi à cette section 3, l’article 18 du même règlement, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

[...]

b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles‑ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

[...] »

12 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comprend les articles 77 à 84 de ce règlement.

13 L’article 77 du RGPD est intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle » et l’article 78 de ce règlement est intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle ».

14 L’article 79 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous‑traitant », prévoit, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

15 Aux termes de l’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi.

[...]

3. Un responsable du traitement ou un sous‑traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

[...] »

16 L’article 83 de ce règlement, intitulé « Conditions générales pour imposer des amendes administratives », dispose, à son paragraphe 2 :

« [...] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous‑traitant pour atténuer le dommage subi par les personnes concernées ;

[...]

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. »

17 L’article 84 dudit règlement, intitulé « Sanctions », prévoit, à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

Le droit allemand

18 L’article 2, paragraphe 1, du Grundgesetz für die Bundesrepublik Deutschland (Loi fondamentale de la République fédérale d’Allemagne), du 23 mai 1949 (BGBl. 1949 I, p. 1), dans sa version applicable au litige au principal, est ainsi libellé :

« Chacun a droit au libre épanouissement de sa personnalité, pourvu qu’il ne viole pas les droits d’autrui ni n’enfreigne l’ordre constitutionnel ou la loi morale. »

19 L’article 253 du Bürgerliches Gesetzbuch (code civil), dans sa version applicable au litige au principal (ci‑après le « BGB »), intitulé « Préjudice immatériel », prévoit :

« (1) Il n’est possible d’exiger une réparation en argent d’un dommage non patrimonial que dans les cas précisés par la loi.

(2) Lorsque des dommages‑intérêts doivent être versés au titre d’une lésion corporelle, d’une atteinte à la santé, à la liberté ou à l’autodétermination sexuelle, une réparation équitable en argent du dommage non patrimonial peut également être exigée. »

20 L’article 823 du BGB, intitulé « Obligation de réparer un préjudice », dispose :

« (1) Quiconque, agissant intentionnellement ou par négligence, porte atteinte de manière illicite à la vie, au corps, à la santé, à la liberté, à la propriété ou à tout autre droit d’autrui, est tenu à l’égard de celui‑ci de réparer le préjudice qui en résulte.

(2) La même obligation incombe à celui qui contrevient à une loi visant à protéger autrui. Si, par le contenu de la loi, il est également possible de contrevenir à celle‑ci sans commettre de faute, l’obligation de réparation n’intervient qu’en cas de faute. »

21 L’article 1004 du BGB, intitulé « Droit à cessation ou abstention de la part d’autrui », prévoit, à son paragraphe 1 :

« Si l’atteinte à la propriété résulte d’une cause autre que la dépossession ou la rétention, le propriétaire peut exiger de l’auteur du trouble qu’il cesse les agissements en question. Si une nouvelle atteinte à la propriété est à craindre, le propriétaire peut engager une action en abstention. »

22 Selon la décision de renvoi, l’article 1004 du BGB est applicable par analogie, dans la procédure au principal, à la violation de droits absolus ou à la violation d’une loi visant à protéger autrui au sens, respectivement, du paragraphe 1 et du paragraphe 2 de l’article 823 de ce code.

Le litige au principal et les questions préjudicielles

23 Le requérant au principal a postulé, par l’intermédiaire d’un réseau social professionnel en ligne, à un emploi auprès de Quirin Privatbank, une société de droit allemand. Par la suite, une employée de cette société a utilisé le service de messagerie électronique de ce réseau pour envoyer à un tiers, non concerné par ce processus de recrutement, un message destiné uniquement au requérant au principal, dans lequel elle informait ce dernier du rejet de ses prétentions salariales et lui proposait une autre rémunération (ci‑après le « message en cause »). Cette tierce personne, qui connaissait le requérant au principal pour avoir travaillé avec lui auparavant, lui a transmis ce message et lui a demandé s’il était à la recherche d’un emploi.

24 Le requérant au principal a introduit, devant le Landgericht Darmstadt (tribunal régional de Darmstadt, Allemagne), une action tendant à ce que Quirin Privatbank soit condamnée, d’une part, à s’abstenir de tout traitement des données à caractère personnel le concernant en rapport avec sa candidature qui réitérerait la divulgation non autorisée de celles‑ci à la suite de l’envoi du message en cause et, d’autre part, à lui verser des dommages‑intérêts en réparation du préjudice moral qui aurait résulté de cet évènement. Il a soutenu, en substance, que ce préjudice résidait dans ses inquiétudes nées du fait qu’au moins une tierce personne le connaissant et travaillant dans le même secteur professionnel que lui avait été mise en mesure de transmettre ces données confidentielles à d’anciens ou potentiels employeurs, de bénéficier d’un avantage par rapport à lui dans une possible situation de concurrence pour un recrutement et de percevoir l’humiliation ressentie par lui lors de l’échec de ses négociations salariales.

25 Par jugement du 26 mai 2020, la juridiction de première instance a condamné Quirin Privatbank à s’abstenir des agissements visés dans la demande et à verser au requérant au principal des dommages‑intérêts d’un montant de 1 000 euros, majoré d’intérêts. Quirin Privatbank a interjeté appel de ce jugement.

26 Par arrêt du 2 mars 2022, l’Oberlandesgericht Frankfurt (tribunal régional supérieur de Francfort, Allemagne) a partiellement réformé ledit jugement. Il a considéré que le requérant au principal avait le droit, en vertu de l’article 17, paragraphe 1, du RGPD, d’exiger que Quirin Privatbank s’abstienne à l’avenir de traiter ses données à caractère personnel sous une forme analogue à celle du message en cause et qu’il existait un risque de récidive à cet égard. En revanche, il a rejeté la demande de dommages‑intérêts au titre de l’article 82 de ce règlement, aux motifs qu’il y avait certes eu une violation des règles de protection des données à caractère personnel, du fait de la transmission de telles données à un tiers non concerné, mais que la preuve d’un préjudice concret n’avait toutefois pas été fournie par le requérant au principal et que, à supposer même que celui‑ci ait vécu une humiliation, elle ne saurait être qualifiée de préjudice moral.

27 Le requérant au principal et Quirin Privatbank ont chacun formé un pourvoi en Revision contre cet arrêt devant le Bundesgerichtshof (Cour fédérale de justice, Allemagne), qui est la juridiction de renvoi. Devant cette juridiction, le premier maintient ses prétentions initiales, tandis que la seconde conclut au rejet intégral de celles‑ci.

28 La juridiction de renvoi considère que les opérations contestées par le requérant au principal relèvent du champ d’application du RGPD. Elle indique que ces opérations constituent un « traitement » de « données à caractère personnel » de la « personne concernée » et que Quirin Privatbank a la qualité de « responsable du traitement », au sens de l’article 4, points 1, 2 et 7, de ce règlement. Selon elle, il est constant que lesdites opérations, qui ont pris la forme d’une transmission non autorisée de telles données à un « tiers », au sens de l’article 4, point 10, du RGPD, ont violé des dispositions de ce règlement et revêtent un caractère illicite en vertu de l’article 6, paragraphe 1, de celui‑ci, notamment parce que le requérant au principal n’y avait pas consenti.

29 Cette juridiction se demande, premièrement, si le RGPD confère, à une personne dont les données à caractère personnel ont fait l’objet d’un traitement illicite, le droit d’exiger que le responsable du traitement s’abstienne de réitérer ce traitement, y compris lorsque cette personne ne demande pas l’effacement de ses données. Compte tenu de la jurisprudence nationale et des débats doctrinaux à ce sujet, ladite juridiction souhaite savoir si ce droit, dont elle précise qu’il est exercé à titre purement préventif, pourrait résulter de l’article 17 de ce règlement, relatif au droit à un tel effacement, de l’article 18 de celui‑ci, relatif au droit à la limitation du traitement, de l’article 79 dudit règlement, relatif au droit à un recours juridictionnel effectif contre le responsable du traitement ou le sous‑traitant, ou de toute autre disposition du même règlement.

30 Deuxièmement, dans l’hypothèse d’une réponse affirmative à ces interrogations, la juridiction de renvoi entend déterminer, eu égard à sa propre jurisprudence fondée sur l’article 2 de la Loi fondamentale de la République fédérale d’Allemagne et sur une application combinée des articles 823 et 1004 du BGB, d’une part, si un tel droit d’exiger du responsable du traitement de s’abstenir d’une nouvelle violation du RGPD est subordonné à l’existence d’un risque de récidive et, d’autre part, si ce dernier doit, le cas échéant, être présumé compte tenu de la violation initiale.

31 Troisièmement, dans l’hypothèse inverse, où une réponse négative serait apportée aux deux volets de sa première question, cette juridiction souhaite savoir s’il résulte d’une lecture combinée des articles 79 et 84 du RGPD, relatifs respectivement au droit à un recours juridictionnel effectif contre le responsable du traitement et aux sanctions en cas de violation de ce règlement, qu’une juridiction d’un État membre est autorisée à imposer une telle abstention au responsable du traitement sur le fondement de dispositions nationales, tout en accordant à la personne concernée le bénéfice des droits prévus aux articles 17, 18 et 82 dudit règlement.

32 Quatrièmement, la juridiction de renvoi s’interroge sur les conditions auxquelles est subordonné le droit à la réparation d’un préjudice au titre de l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de celui‑ci. Elle se demande, plus particulièrement, quels sont les éléments permettant de caractériser un « dommage moral », au sens de cet article 82, paragraphe 1, dans le cas où la personne concernée invoque uniquement des sentiments négatifs, qui, selon cette juridiction, relèvent des risques généraux de la vie courante.

33 Cinquièmement, ladite juridiction se demande si la gravité de la faute commise par le responsable du traitement doit être prise en considération lors de l’évaluation de la réparation d’un dommage moral due au titre de l’article 82, paragraphe 1, du RGPD. Elle précise que, en droit allemand, l’indemnisation pécuniaire d’un dommage immatériel requiert de tenir compte, notamment, de la gravité de la faute de l’auteur du dommage, car cette indemnisation remplit à la fois une fonction de compensation du préjudice subi par la personne lésée et une fonction de satisfaction due à celle‑ci par cet auteur, conformément à une jurisprudence relative à l’article 253 du BGB.

34 Sixièmement, en cas de réponse affirmative à l’un des deux volets de sa première question ou à sa troisième question, la juridiction de renvoi souhaite savoir si le droit pour une personne concernée d’exiger que le responsable du traitement s’abstienne d’une nouvelle violation du RGPD constitue un critère pertinent pour réduire, voire exclure, la réparation d’un dommage moral au titre de l’article 82, paragraphe 1, de ce règlement, à l’instar de ce qui serait possible en vertu du droit allemand.

35 Dans ces conditions, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) a) L’article 17 du RGPD doit‑il être interprété en ce sens que la personne concernée, dont les données à caractère personnel ont fait l’objet d’une communication par transmission illicite de la part du responsable du traitement, peut exiger de ce dernier qu’il s’abstienne de toute nouvelle transmission illicite, si elle ne lui demande pas de les effacer ?

b) Un tel droit peut‑il (également) résulter de l’article 18 du RGPD ou de toute autre disposition dudit RGPD ?

2) En cas de réponse affirmative [à la première question, sous a) et/ou sous b)] :

a) Le droit de l’Union ne confère‑t‑il à la personne concernée le droit d’exiger de l’auteur d’une violation des droits qu’elle tire du RGPD qu’il s’abstienne de commettre toute nouvelle violation de ces droits que si de nouvelles violations sont à craindre (risque de récidive) ?

b) L’existence d’un risque de récidive est‑elle, le cas échéant, présumée en raison de la précédente violation du RGPD ?

3) En cas de réponse négative [à la première question, sous a) et sous b)] :

Les dispositions combinées des articles 84 et 79 du RGPD doivent‑elles être interprétées en ce sens qu’elles permettent au juge national de reconnaître à la personne concernée dont les données à caractère personnel ont fait l’objet d’une communication par transmission illicite de la part du responsable du traitement, outre la réparation du dommage matériel ou moral en vertu de l’article 82 du RGPD et les droits découlant des articles 17 et 18 du RGPD, le droit d’exiger du responsable du traitement qu’il s’abstienne de toute nouvelle transmission illicite de ces données, sur le fondement des dispositions du droit national ?

4) De simples sentiments négatifs, tels que le mécontentement, la contrariété, l’insatisfaction, l’inquiétude et la peur, qui, en soi, font partie des risques généraux inhérents à la vie et, souvent, du vécu quotidien, suffisent‑ils à caractériser un dommage moral au sens de l’article 82, paragraphe 1, du RGPD ? Ou bien faut‑il, pour admettre l’existence d’un dommage, que la personne physique concernée ait subi un préjudice allant au‑delà de ces sentiments ?

5) L’article 82, paragraphe 1, du RGPD doit‑il être interprété en ce sens que le degré de gravité de la faute du responsable du traitement ou du sous‑traitant, ou de leur personnel, est un critère pertinent aux fins de l’évaluation du dommage moral indemnisable ?

6) En cas de réponse affirmative [à la première question, sous a) ou sous b), ou à la troisième question] :

L’article 82, paragraphe 1, du RGPD doit‑il être interprété en ce sens que le fait que la personne concernée, parallèlement à son droit à réparation, puisse exiger de l’auteur de la violation qu’il s’abstienne de commettre toute nouvelle violation, peut être pris en compte pour réduire le montant du dommage moral indemnisable lors de son évaluation ? »

Sur les questions préjudicielles

Sur les première à troisième questions

36 Par ses première à troisième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si les dispositions du RGPD doivent être interprétées en ce sens qu’elles prévoient, au profit de la personne concernée par le traitement illicite de données à caractère personnel, dans l’hypothèse où cette personne ne demande pas que ses données soient effacées, une voie de recours juridictionnel lui permettant d’obtenir, à titre préventif, qu’il soit enjoint au responsable du traitement de s’abstenir d’effectuer à l’avenir un nouveau traitement illicite, et si, en cas de réponse négative, ces dispositions empêchent les États membres de prévoir une telle voie de recours dans leurs ordres juridiques respectifs.

37 À titre liminaire, il importe de rappeler que, afin d’interpréter une disposition du droit de l’Union, il faut tenir compte non seulement des termes de celle‑ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 52 et jurisprudence citée).

38 À cet égard, en premier lieu, il convient de relever que le RGPD est fondé sur l’existence d’un droit reconnu à toute personne physique de bénéficier d’une protection à l’égard du traitement des données à caractère personnel la concernant. Cette protection constitue un droit fondamental, consacré à l’article 8, paragraphe 1, de la Charte, auquel renvoie le considérant 1 de ce règlement. L’objectif de garantir l’effectivité de ce droit fondamental, en assurant une protection à un niveau élevé et équivalent dans tous les États membres, préside à l’application dudit règlement, ainsi que cela ressort de l’article 1^er et du considérant 10 de celui‑ci [voir, en ce sens, arrêts du 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19), C‑659/22, EU:C:2023:745, point 28 ; du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, point 28, ainsi que du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), C‑710/23, EU:C:2025:231, point 29].

39 Conformément à une jurisprudence constante de la Cour, tout traitement de données à caractère personnel doit respecter les principes régissant les traitements de telles données ainsi que les droits de la « personne concernée », au sens de l’article 4, point 1, du RGPD, qui sont énoncés, respectivement, aux chapitres II et III de ce règlement. En particulier, il doit être conforme aux principes relatifs au traitement de ces données prévus à l’article 5 dudit règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 de celui‑ci [voir, en ce sens, arrêts du 19 décembre 2024, K GmbH (Traitement de données personnelles des employés), C‑65/23, EU:C:2024:1051, point 46, et du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), C‑710/23, EU:C:2025:231, point 33].

40 Comme M. l’avocat général l’a relevé, en substance, aux points 32, 34 et 38 de ses conclusions, l’article 8 de la Charte proclame, à son paragraphe 1, le droit à la protection des données à caractère personnel, mais aussi impose, à son paragraphe 2, que ces données soient traitées dans le respect de certaines conditions, duquel dépend la licéité du traitement considéré. De même, les obligations énoncées au chapitre II du RGPD, qui pèsent sur le responsable du traitement, ont pour pendant des droits spécifiques prévus par ce règlement, qui sont conférés aux personnes concernées. Ainsi, ces dernières bénéficient d’un droit à un traitement licite de leurs données à caractère personnel, qui est le corollaire de l’obligation générale, mise à la charge de ce responsable, de ne pas traiter de telles données d’une manière non conforme aux exigences dudit règlement.

41 En second lieu, la Cour a itérativement jugé que le droit de l’Union, en ce compris les dispositions de la Charte, n’a pas pour effet de contraindre les États membres à instituer des voies de droit autres que celles établies par le droit interne, à moins, toutefois, qu’il ne ressorte de l’économie de l’ordre juridique national en cause qu’il n’existe aucune voie de recours juridictionnelle permettant, fût‑ce de manière incidente, d’assurer le respect des droits que les justiciables tirent du droit de l’Union (arrêt du 8 mai 2025, Barało, C‑530/23, EU:C:2025:322, point 99 et jurisprudence citée).

42 En l’occurrence, il y a lieu d’emblée de souligner que la situation en cause au principal concerne non pas la possibilité, pour une juridiction nationale, d’adopter des mesures provisoires, mais la possibilité éventuelle, pour la personne concernée, d’obtenir au fond, par la voie d’une action en justice à caractère préventif, une injonction interdisant au responsable du traitement de commettre une nouvelle violation de ces droits.

43 Il convient de relever, à cet égard, que le RGPD ne contient pas de dispositions prévoyant, explicitement ou implicitement, que la personne concernée bénéficie, ainsi que la juridiction de renvoi l’envisage, d’un droit à obtenir de manière préventive, par voie d’action judiciaire, que le responsable du traitement de données à caractère personnel soit contraint de s’abstenir, à l’avenir, de commettre une violation des dispositions de ce règlement, plus spécialement sous la forme d’une réitération d’un traitement illicite. En particulier, ainsi que M. l’avocat général l’a relevé, aux points 54 à 69 de ses conclusions, un tel droit ne peut être déduit ni de l’article 17 dudit règlement ni de l’article 18 de celui‑ci.

44 Quant au chapitre VIII du RGPD, il importe de rappeler que ce chapitre régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions de ce règlement. La protection de ces droits peut être réclamée, en particulier, directement par la personne concernée, en application des articles 77 à 79 dudit règlement, lesquels prévoient différentes voies de recours, qui peuvent être exercées de manière concurrente et indépendante par cette personne (voir, en ce sens, arrêts du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 47 et jurisprudence citée, ainsi que du 30 avril 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 et C‑332/23, EU:C:2025:303, point 128 ainsi que jurisprudence citée).

45 Il ressort du libellé des dispositions du chapitre VIII du RGPD qu’aucune d’entre elles n’oblige les États membres à prévoir un recours préventif tel que celui décrit au point 42 du présent arrêt. En particulier, le texte de l’article 79, paragraphe 1, de ce règlement se limite à prévoir que, sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère ledit règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du même règlement. Le libellé de cette disposition n’impose pas aux États membres de prévoir une voie de recours spécifique permettant d’obtenir au moyen d’une action en justice, à titre préventif, une injonction d’abstention telle que celle envisagée par la juridiction de renvoi.

46 Cela étant, eu égard au libellé des dispositions du chapitre VIII du RGPD et, notamment, à la reconnaissance, par l’article 79, paragraphe 1, de celui‑ci, du droit de chaque personne concernée à disposer d’un recours juridictionnel effectif si elle considère que les droits que lui confère ce règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation dudit règlement, « sans préjudice » de tout autre recours administratif ou extrajudiciaire, il convient de considérer que les États membres ne sont pas empêchés de prévoir un tel recours préventif en vue d’enjoindre au responsable du traitement de s’abstenir de toute nouvelle violation de ces droits (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 53).

47 Il convient de souligner, à cet égard, que si le RGPD vise à assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète, il n’en reste pas moins que plusieurs dispositions de ce règlement ouvrent expressément la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux‑ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture ») (arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 57 et jurisprudence citée).

48 Certes, les dispositions du chapitre VIII du RGPD ne comportent pas spécifiquement une telle clause d’ouverture qui permettrait, de manière expresse, aux États membres de prévoir la possibilité pour la personne concernée qui souhaite empêcher le responsable du traitement de violer des dispositions matérielles de ce règlement d’introduire un recours afin d’obtenir, à l’égard de celui‑ci, une injonction d’abstention à agir en ce sens. Toutefois, le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation des dispositions dudit règlement et, en particulier, n’a pas exclu une telle possibilité de recours (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, points 59 et 60).

49 Cette interprétation est confirmée par les objectifs poursuivis par le RGPD. En effet, ce règlement vise notamment, comme l’indique le considérant 10 de celui‑ci, à assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant. En outre, le considérant 11 dudit règlement énonce, spécialement, qu’une protection effective de ces données exige de renforcer les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 61).

50 Or, la possibilité pour la personne concernée d’introduire un recours en justice afin qu’il soit enjoint à un responsable du traitement de s’abstenir, à l’avenir, d’une violation des dispositions matérielles du RGPD ne porte pas atteinte à ces objectifs mais est, au contraire, de nature à renforcer l’effet utile de ces dispositions et ainsi le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles, visé par ce règlement. Dès lors, les dispositions du chapitre VIII du RGPD ne s’opposent pas à une réglementation nationale qui confère une telle possibilité de recours préventif à la personne concernée (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, points 62 et 73).

51 Il s’ensuit que le RGPD ne s’oppose pas à ce qu’un droit de recours qui tend à obtenir une injonction permettant de prévenir une éventuelle commission d’une violation des dispositions matérielles de ce règlement, notamment par une potentielle réitération d’un traitement illicite, soit disponible sur le fondement de dispositions du droit d’un État membre qui seraient applicables devant la juridiction nationale saisie.

52 Eu égard à l’ensemble des motifs qui précèdent, il convient de répondre aux première à troisième questions que les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne prévoient pas, au profit de la personne concernée par le traitement illicite de données à caractère personnel, dans l’hypothèse où cette personne ne demande pas que ses données soient effacées, une voie de recours juridictionnel lui permettant d’obtenir, à titre préventif, qu’il soit enjoint au responsable du traitement de s’abstenir d’effectuer à l’avenir un nouveau traitement illicite. Toutefois, ces dispositions n’empêchent pas les États membres de prévoir une telle voie de recours dans leurs ordres juridiques respectifs.

Sur la quatrième question

53 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la notion de « dommage moral » figurant à cette disposition englobe des sentiments négatifs éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à caractère personnel à un tiers, tels que la crainte ou le mécontentement, qui sont suscités par une perte de contrôle sur ces données, par une potentielle utilisation abusive de celles‑ci ou par une atteinte à sa réputation.

54 Il convient de rappeler que l’article 82, paragraphe 1, du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi.

55 Conformément à une jurisprudence constante, eu égard à l’absence de toute référence, dans l’article 82, paragraphe 1, du RGPD, au droit interne des États membres, la notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme, propre au droit de l’Union (voir, en ce sens, arrêts du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 64, et du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 139 ainsi que jurisprudence citée).

56 À cet égard, la Cour a itérativement jugé, notamment à la lumière des considérants 75, 85 et 146 du RGPD, que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation en vertu de l’article 82, paragraphe 1, de celui‑ci. L’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi », d’une violation de dispositions dudit règlement ainsi que d’un lien de causalité entre ce dommage et cette violation constituent les trois conditions cumulatives, nécessaires et suffisantes, de ce droit à réparation. Ainsi, la personne concernée qui demande réparation d’un dommage moral sur le fondement de cet article 82, paragraphe 1, est tenue d’établir non seulement la violation de ce règlement, mais également que cette violation lui a effectivement causé un tel dommage [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 32, 33, 37 et 42 ; du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 140 à 142, ainsi que du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, points 24 et 25].

57 En l’occurrence, la juridiction de renvoi expose que le requérant au principal invoque essentiellement, au titre du dommage moral qu’il affirme avoir subi en raison de la violation du RGPD en cause, « la crainte de la transmission des données à des tiers travaillant dans le même secteur, le fait qu’une personne ait eu connaissance d’informations pour lesquelles la discrétion est en principe de rigueur [ainsi que] l’humiliation liée au rejet de ses prétentions salariales et au fait que des tiers l’apprennent ». Cette juridiction souhaite savoir si des « sentiments négatifs, tels que le mécontentement, la contrariété, l’insatisfaction, l’inquiétude et la peur », qu’elle qualifie de « risques généraux inhérents à la vie », sont suffisants pour établir l’existence d’un « dommage moral », au sens de l’article 82 de ce règlement, ou s’il faut que la personne concernée ait subi un préjudice allant au‑delà de ces sentiments.

58 À cet égard, en premier lieu, il ressort de la jurisprudence de la Cour que l’article 82, paragraphe 1, du RGPD s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un « dommage moral », au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité. Ladite disposition n’exige pas qu’un dommage moral allégué par la personne concernée doive atteindre un « seuil de minimis » pour que ce dommage puisse être réparé [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 51, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 147 et 149].

59 En deuxième lieu, ainsi que la Commission européenne l’a relevé dans ses observations écrites, des situations, telles que celles invoquées dans le litige au principal, tenant à une « atteinte à la réputation » résultant d’une violation de données à caractère personnel ou à une « perte de contrôle » sur de telles données, figurent explicitement parmi les exemples de possibles dommages qui sont énumérés aux considérants 75 et 85 du RGPD.

60 En particulier, la Cour a souligné qu’il ressort de la liste illustrative des « dommages » ou des « préjudices » susceptibles d’être subis par les personnes concernées qui est dressée au considérant 85, première phrase, du RGPD que le législateur de l’Union a entendu inclure dans ces deux notions, notamment, la simple « perte de contrôle » sur les propres données à caractère personnel de ces personnes, à la suite d’une violation de ce règlement, quand bien même un usage abusif des données en cause ne se serait pas produit concrètement. Une telle perte de contrôle peut suffire pour causer un « dommage moral », au sens de l’article 82, paragraphe 1, dudit règlement, pour autant que la personne concernée démontre qu’elle a effectivement subi un tel dommage, aussi minime fût‑il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires (voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 145, 150 et 156 ainsi que jurisprudence citée).

61 En troisième lieu, la Cour a déjà jugé que la crainte, ressentie par la personne concernée, que ses données à caractère personnel fassent l’objet d’une utilisation abusive dans le futur, à la suite d’une violation du RGPD, est susceptible de constituer, à elle seule, un « dommage moral », au sens de l’article 82, paragraphe 1, de celui‑ci, à condition que cette crainte, avec ses conséquences négatives, soit dûment prouvée, ce qu’il appartient à la juridiction nationale saisie de vérifier [voir, en ce sens, arrêts du 20 juin 2024, PS (Adresse erronée), C‑590/22, EU:C:2024:536, points 32, 35 et 36, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 143, 144 et 155 ainsi que jurisprudence citée].

62 Ainsi, bien que les sentiments mentionnés par la juridiction de renvoi, en particulier la crainte ou le mécontentement, puissent par ailleurs faire partie des risques généraux inhérents à la vie courante ainsi que cette juridiction l’observe elle‑même, de tels sentiments négatifs sont susceptibles de constituer un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, pour autant que, conformément à l’exigence d’un lien de causalité rappelée au point 56 du présent arrêt, la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, précisément en raison de la violation en cause de ce règlement, telle qu’une transmission non autorisée de ses données à caractère personnel à un tiers engendrant le risque d’un usage abusif de celles‑ci, ce qu’il incombe aux juges nationaux saisis d’apprécier.

63 En quatrième et dernier lieu, cette interprétation est conforme au libellé de l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 85 et 146 de ce règlement, lesquels invitent à retenir une conception large de la notion de « dommage moral », au sens de cet article 82, paragraphe 1. En outre, elle est confortée par l’objectif dudit règlement, ressortant de l’article 1^er ainsi que des considérants 1 et 10 de celui‑ci, qui consiste à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel (voir, par analogie, arrêts du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, points 19 et 20, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 144 et 146).

64 Au vu des motifs qui précèdent, il convient de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la notion de « dommage moral » figurant à cette disposition englobe des sentiments négatifs éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à caractère personnel à un tiers, tels que la crainte ou le mécontentement, qui sont suscités par une perte de contrôle sur ces données, par une potentielle utilisation abusive de celles‑ci ou par une atteinte à sa réputation, pour autant que la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, en raison de la violation en cause de ce règlement.

Sur la cinquième question

65 Par sa cinquième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il autorise que le degré de gravité de la faute commise par le responsable du traitement soit pris en compte aux fins de l’évaluation de la réparation d’un dommage moral due au titre de cet article 82, paragraphe 1.

66 À cet égard, il ressort de la jurisprudence de la Cour que, dès lors que le RGPD ne contient pas de dispositions ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 54 et 59, ainsi que du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, point 32].

67 En l’occurrence, la juridiction de renvoi se demande si le degré de gravité de la faute de l’auteur du dommage, qui est un critère prévu dans le droit allemand pour l’évaluation de la réparation pécuniaire des dommages immatériels, pourrait également trouver application s’agissant de l’indemnisation d’un dommage moral fondée sur l’article 82 du RGPD.

68 Il résulte des arrêts de la Cour, dont certains ont été prononcés après l’introduction de la présente demande de décision préjudicielle, qu’il convient d’apporter une réponse négative à cette cinquième question.

69 En effet, la Cour a jugé que, compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 du RGPD, les juges nationaux sont tenus d’assurer une réparation « complète et effective » du dommage subi, comme indiqué au considérant 146 de ce règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages‑intérêts punitifs [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 57 et 58, ainsi que du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, point 34].

70 À la différence de ce que l’article 83 du RGPD prévoit pour les amendes administratives, dont les critères ne sont pas applicables mutatis mutandis dans le cadre de l’article 82 de ce règlement, le droit à réparation prévu à cet article 82, notamment en cas de dommage moral, remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ledit article 82 doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, et non une fonction dissuasive ou punitive (voir, en ce sens, arrêts du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 153, et du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, points 39 à 41).

71 Ainsi, d’une part, l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement dudit article (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 154).

72 Plus précisément, la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82, paragraphe 1, du RGPD s’oppose à ce que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur ce fondement. Il s’ensuit que, dans le cadre de cette disposition, l’attitude et la motivation du responsable du traitement ne sauraient être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi, que ce soit quant au montant ou quant à la forme de cette réparation (voir, en ce sens, arrêt du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, points 42 à 45 et jurisprudence citée).

73 Eu égard aux motifs qui précèdent, il convient de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que le degré de gravité de la faute commise par le responsable du traitement soit pris en compte aux fins de l’évaluation de la réparation d’un dommage moral due au titre de cet article.

Sur la sixième question

74 La sixième question est posée dans l’éventualité où la Cour répondrait par l’affirmative soit à l’un des volets de la première question, soit à la troisième question, c’est‑à‑dire s’il devait être considéré, en substance, qu’un droit d’exiger que le responsable du traitement s’abstienne à l’avenir d’une nouvelle violation de données à caractère personnel est reconnu, au profit de la personne concernée, par le RGPD, directement en vertu de dispositions de celui‑ci ou par le truchement d’une application de dispositions nationales autorisée par ce règlement. Compte tenu de la réponse apportée, conjointement, aux première à troisième questions, qui figure au point 52 du présent arrêt, il y a lieu de répondre à cette sixième question.

75 Afin de préciser l’objet de cette dernière question, la juridiction de renvoi indique que, selon le droit allemand et sa propre jurisprudence, la circonstance qu’une personne ayant subi un dommage moral a demandé, voire obtenu, que l’auteur de celui‑ci soit contraint de s’abstenir de nouveaux actes dommageables peut être prise en compte pour diminuer, voire exclure, une indemnisation pécuniaire au titre de ce dommage. Elle souhaite savoir si ce critère d’appréciation de la réparation du dommage peut également être appliqué dans le cadre du RGPD, notamment eu égard au principe d’effectivité du droit de l’Union, et, si tel est le cas, dans quelle mesure.

76 Ainsi, par sa question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, peut être prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article 82, paragraphe 1, voire de se substituer à cette réparation.

77 À cet égard, il importe de rappeler que, comme cela est mentionné au point 66 du présent arrêt, le RGPD ne comporte pas de dispositions définissant les règles d’évaluation des dommages‑intérêts dus au titre de l’article 82 de ce règlement, de sorte que les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre portant sur l’étendue de la réparation pécuniaire, sous réserve du respect des principes d’équivalence et d’effectivité du droit de l’Union.

78 En particulier, il convient de souligner que les critères d’évaluation de la réparation due dans le cadre des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de l’article 82 du RGPD, critères qui sont fixés au sein de l’ordre juridique de chaque État membre, doivent permettre d’assurer une réparation complète et effective du dommage subi par la personne concernée à la suite d’une violation de ce règlement (voir, en ce sens, arrêts du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 152, et du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, point 34 ainsi que jurisprudence citée).

79 La Cour a déjà admis que, dans les limites découlant du principe d’effectivité, certaines circonstances puissent influer sur l’évaluation de la réparation due au titre de l’article 82 du RGPD, spécialement pour restreindre cette réparation. Il a été jugé que, en l’absence de gravité du préjudice subi par la personne concernée, une juridiction nationale peut accorder à celle‑ci une indemnité minime, pour autant que le montant peu élevé de dommages‑intérêts ainsi alloué soit de nature à compenser intégralement ce préjudice, ce qu’il appartient à cette juridiction de vérifier. De même, la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cet article 82, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation, dans la mesure où elle est prévue par le droit national, permette une telle compensation intégrale dudit préjudice (voir, en ce sens, arrêt du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, points 35 à 37 ainsi que jurisprudence citée).

80 En l’occurrence, la question posée tend à déterminer si, dans le champ d’application de l’article 82 du RGPD, une juridiction nationale a la possibilité de tenir compte du fait que la personne concernée bénéficie d’une injonction d’abstention pour réduire les dommages‑intérêts susceptibles d’être alloués à cette personne au titre d’un dommage moral, de sorte que cette juridiction, en pratique, ordonnerait la réparation d’un tel dommage en partie sous une forme pécuniaire et en partie sous la forme de cette injonction, voire uniquement sous cette dernière forme.

81 Or, il ressort de la jurisprudence mentionnée aux points 78 et 79 du présent arrêt qu’une forme de réparation prévue par le droit national applicable ne peut être considérée comme étant conforme au RGPD que pour autant que cette forme respecte les principes d’équivalence et d’effectivité du droit de l’Union, ce qui suppose, notamment, qu’elle soit de nature à assurer une réparation complète et effective du préjudice subi par la personne concernée.

82 En particulier, une réparation due au titre de l’article 82 de ce règlement ne saurait être allouée sous la forme, en partie ou en intégralité, d’une injonction d’abstention, puisque le droit à réparation d’un dommage prévu à cet article 82 remplit une fonction exclusivement compensatoire, comme cela est rappelé au point 70 du présent arrêt, tandis qu’une injonction d’abstention opposée à l’auteur du dommage a une finalité purement préventive. En effet, ainsi que l’a relevé en substance M. l’avocat général, au point 86 de ses conclusions, une injonction de cette nature vise à empêcher la réitération de comportements ayant causé des dommages, afin d’éviter la survenance de nouveaux dommages, mais elle ne répare pas ceux qui ont déjà été subis par la personne concernée.

83 Au vu des motifs qui précèdent, il convient de répondre à la sixième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, soit prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article ou, a fortiori, de se substituer à cette réparation.

Sur les dépens

84 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle‑ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (quatrième chambre) dit pour droit :

1) Les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétées en ce sens que :

elles ne prévoient pas, au profit de la personne concernée par le traitement illicite de données à caractère personnel, dans l’hypothèse où cette personne ne demande pas que ses données soient effacées, une voie de recours juridictionnel lui permettant d’obtenir, à titre préventif, qu’il soit enjoint au responsable du traitement de s’abstenir d’effectuer à l’avenir un nouveau traitement illicite. Toutefois, ces dispositions n’empêchent pas les États membres de prévoir une telle voie de recours dans leurs ordres juridiques respectifs.

2) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

la notion de « dommage moral » figurant à cette disposition englobe des sentiments négatifs éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à caractère personnel à un tiers, tels que la crainte ou le mécontentement, qui sont suscités par une perte de contrôle sur ces données, par une potentielle utilisation abusive de celles‑ci ou par une atteinte à sa réputation, pour autant que la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, en raison de la violation en cause de ce règlement.

3) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

il s’oppose à ce que le degré de gravité de la faute commise par le responsable du traitement soit pris en compte aux fins de l’évaluation de la réparation d’un dommage moral due au titre de cet article.

4) L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

il s’oppose à ce que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, soit prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article ou, a fortiori, de se substituer à cette réparation.

Signatures

* Langue de procédure : l’allemand.