CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. GIOVANNI PITRUZZELLA
présentées le 27 avril 2023 (1)
Affaire C‑340/21
VB
contre
Natsionalna agentsia za prihodite
[demande de décision préjudicielle formée par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Responsabilité du responsable du traitement – Sécurité du traitement – Violation de la sécurité du traitement des données à caractère personnel – Préjudice moral subi du fait d’une inaction du responsable du traitement – Action en réparation »
La diffusion illicite, en raison d’une attaque pirate, de données à caractère personnel détenues par une agence publique peut-elle donner lieu à réparation du préjudice moral au profit de la personne concernée par les données traitées, du seul fait que celle-ci redoute que ses données fassent l’objet d’une utilisation future abusive ? Quels sont les critères permettant d’imputer la responsabilité au responsable du traitement des données ? Comment les obligations en matière de charge de la preuve se répartissent-elles dans le cadre du contentieux ? Quelle est l’étendue du contrôle du juge ?
I. Le cadre juridique
1. L’article 4, intitulé « Définitions », du règlement (UE) 2016/679 (2) dispose :
« Aux fins du présent règlement, on entend par :
[...]
12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
[...] »
2. L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », énonce :
«1. Les données à caractère personnel doivent être :
[...]
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
3. L’article 24 dudit règlement, intitulé « Responsabilité du responsable du traitement », dispose :
« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement. »
4. L’article 32 de ce même règlement, intitulé « Sécurité du traitement », prévoit :
« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
[...]
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
[...] »
5. L’article 82 du règlement 2016/679, intitulé « Droit à réparation et responsabilité », dispose :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...]
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
[...] »
II. Les faits, le litige et les questions préjudicielles
6. Le 15 juillet 2019, les médias bulgares ont rendu publique l’information selon laquelle un accès non autorisé au système informatique de la Natsionalna agentsia za prihodite (Agence nationale des recettes publiques, Bulgarie, ci-après la « NAP ») (3) avait été constaté et diverses informations publiées sur Internet, en matière de fiscalité et d’assurances sociales, concernant des millions d’individus tant ressortissants nationaux qu’étrangers.
7. De nombreuses personnes, parmi lesquelles VB, la requérante au principal, ont alors assigné la NAP devant les tribunaux pour obtenir réparation de leur préjudice moral.
8. En l’espèce, la requérante au principal a saisi l’Administrativen sad Sofia‑grad (tribunal administratif de la ville de Sofia, Bulgarie, ci‑après l’« ASSG »), faisant valoir que la NAP avait violé la réglementation nationale ainsi que l’obligation, en sa qualité de responsable du traitement des données, de traiter les données à caractère personnel de façon à « garantir un niveau de sécurité approprié » en adoptant des mesures techniques et organisationnelles appropriées conformément aux articles 24 et 32 du règlement 2016/679. La requérante a affirmé en outre avoir subi un préjudice moral se manifestant par une inquiétude et des craintes que ses données à caractère personnel puissent faire l’objet d’une utilisation future abusive.
9. La défenderesse a fait valoir, pour sa part, qu’elle n’avait reçu aucune demande de la requérante au principal visant à s’enquérir des données à caractère personnel précises auxquelles il avait été accédé. En outre, une fois informée de l’intrusion, elle indique avoir organisé des réunions avec les experts afin de protéger les droits et les intérêts des citoyens. Selon la NAP, le lien de causalité entre la cyberattaque et le préjudice allégué serait inexistant, l’agence ayant mis en œuvre tous les systèmes de gestion des processus et de la sécurité des informations conformément aux normes internationales en vigueur en la matière.
10. La juridiction de première instance, l’ASSG, a rejeté le recours, estimant que la diffusion des données n’était pas imputable à l’agence, que c’était à la requérante qu’incombait la charge de prouver le caractère (in)approprié des mesures adoptées et, enfin, qu’il n’existait pas de préjudice moral indemnisable.
11. Le jugement de première instance a ensuite fait l’objet d’un pourvoi en cassation devant le Varhoven administrativen sad (Cour administrative suprême, Bulgarie). Parmi les moyens soulevés, la requérante au principal a fait valoir que la juridiction de première instance aurait commis une erreur au sujet de la répartition de la charge de la preuve du défaut d’adoption de mesures de sécurité. Le préjudice moral ne devrait pas non plus constituer l’objet d’une preuve à administrer, dès lors qu’il s’agit d’un dommage moral réel et non purement potentiel.
12. De son côté, la NAP a maintenu avoir pris les mesures techniques et organisationnelles nécessaires en sa qualité de responsable du traitement et a contesté l’existence de la preuve d’un préjudice moral réel. L’anxiété et les craintes seraient, en effet, des états émotionnels n’ouvrant pas droit à réparation.
13. La juridiction de renvoi a constaté que les actions intentées par les personnes lésées à l’encontre de la NAP en vue d’obtenir réparation de leur dommage moral avaient abouti à des résultats disparates.
14. C’est dans ce contexte que le Varhoven administrativen sad (Cour administrative suprême) a sursis à statuer et a saisi la Cour des questions préjudicielles suivantes :
« 1) Les dispositions des articles 24 et 32 du [règlement 2016/679] peuvent-elles être interprétées en ce sens qu’une divulgation ou un accès non autorisés à des données à caractère personnel, au sens de l’article 4, point 12, [de ce règlement], par des personnes qui ne sont pas des employés de l’administration du responsable du traitement des données à caractère personnel et ne sont pas sous le contrôle de celui-ci, suffit pour considérer que les mesures techniques et organisationnelles mises en œuvre n’étaient pas appropriées ?
2) En cas de réponse négative à la première question, quels doivent être l’objet et l’étendue du contrôle juridictionnel de légalité lors de l’examen du point de savoir si les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel en vertu de l’article 32 du [règlement 2016/679] sont appropriées ?
3) En cas de réponse négative à la première question, le principe de responsabilité au sens de l’article 5, paragraphe 2, et de l’article 24, lus en combinaison avec le considérant 74 du [règlement 2016/679], peut-il être interprété en ce sens que, dans le cadre d’une action au titre de l’article 82, paragraphe 1, [de ce règlement], le responsable du traitement des données à caractère personnel supporte la charge de la preuve que les mesures techniques et organisationnelles mises en œuvre en vertu de l’article 32 dudit règlement sont appropriées ? Si la juridiction ordonne une expertise judiciaire, cela peut-il être considéré comme un moyen de preuve nécessaire et suffisant pour établir si les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel étaient appropriées dans un cas de figure comme celui de l’espèce, où l’accès et la divulgation non autorisés résultent d’une “attaque de hackers” ?
4) La disposition de l’article 82, paragraphe 3, du [règlement 2016/679] peut‑elle être interprétée en ce sens qu’une divulgation ou un accès non autorisés à des données à caractère personnel au sens de l’article 4, point 12, [de ce règlement], en l’espèce par une “attaque de hackers” commise par des personnes qui ne sont pas des employés de l’administration du responsable du traitement des données à caractère personnel et ne sont pas sous le contrôle de celui-ci, constitue un fait qui n’est nullement imputable au responsable du traitement des données à caractère personnel et représente un motif d’exonération de responsabilité ?
5) Les dispositions de l’article 82, paragraphes 1 et 2, lues en combinaison avec les considérants 85 et 146 du [règlement 2016/679], peuvent-elles être interprétées en ce sens que, dans un cas de figure comme celui de l’espèce, de violation de la sécurité de données à caractère personnel, se traduisant par un accès et une diffusion non autorisés de données personnelles, dans le cadre d’une “attaque de hackers”, les préoccupations, les craintes et la peur, en tant que telles, de la personne concernée, d’un éventuel usage abusif futur de données personnelles, sans que soit établi un tel usage abusif et/ou que la personne concernée ait subi un autre dommage, relèvent du sens large de la notion de préjudice moral et justifient une indemnisation ? »
III. L’analyse juridique
A. Observations préliminaires
15. La présente affaire soulève des questions intéressantes et en partie inédites ayant trait à l’interprétation de plusieurs dispositions du règlement 2016/679 (4).
16. Les cinq questions préjudicielles s’articulent autour de la même interrogation : les conditions dans lesquelles le préjudice moral peut ouvrir droit à réparation en faveur d’une personne dont les données à caractère personnel, détenues par une agence publique, ont fait l’objet d’une publication sur Internet à la suite d’une attaque de hackers.
17. Pour la clarté de l’exposé, je proposerai des réponses synthétiques distinctes à l’ensemble des questions préjudicielles de la décision de renvoi, tout en étant conscient de l’existence de quelques recoupements conceptuels dès lors que les quatre premières questions visent toutes à identifier les conditions d’imputabilité au responsable du traitement de la violation des dispositions du règlement 2016/679 (5) et que la cinquième concerne plus spécifiquement la notion de dommage moral aux fins de la réparation (6).
18. Il est à signaler que plusieurs affaires relatives à l’article 82 du règlement 2016/679 sont actuellement pendantes devant la Cour et que, dans l’une d’elles, l’avocat général a déjà présenté ses conclusions, dont je tiendrai compte dans le cadre de la présente analyse (7).
19. Avant d’examiner les questions soulevées, il me semble opportun de formuler quelques remarques liminaires à propos des principes et des objectifs du règlement 2016/679, qui s’avèreront utiles pour résoudre chacune des questions préjudicielles.
20. L’article 24 du règlement 2016/679 instaure à titre général l’obligation pour le responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement des données à caractère personnel est effectué conformément à ce règlement, tandis que l’article 32 dudit règlement instaure la même obligation de façon plus spécifique à l’égard de la sécurité du traitement. Ces articles 24 et 32 sont des déclinaisons plus détaillées de ce qui a d’abord été prévu à l’article 5, paragraphe 2, du règlement 2016/679, qui énonce, au nombre des « principes relatifs au traitement des données à caractère personnel », le principe de « responsabilité ». Ce principe vient logiquement à la suite et en complément du principe d’« intégrité et confidentialité », prévu à l’article 5, paragraphe 1, sous f), de ce règlement et les deux principes doivent se comprendre à la lumière de l’approche fondée sur les risques qui est à la base dudit règlement.
21. Le principe de responsabilité est l’un des piliers du règlement 2016/679 et l’une de ses innovations les plus significatives. Il assigne au responsable du traitement la responsabilité de prendre des mesures proactives pour assurer la conformité du traitement à ce règlement et être en mesure de démontrer cette conformité (8).
22. Dans la doctrine, des auteurs ont parlé d’un véritable changement de culture, en tant que conséquence de la « portée globale de l’obligation de responsabilité » (9). Ce n’est pas tant le respect formel de l’obligation légale ou de la mesure ponctuelle que la stratégie d’ensemble adoptée par l’entreprise qui libère le responsable de sa responsabilité, en tant qu’entité respectueuse de la réglementation relative à la protection des données.
23. Les mesures techniques et organisationnelles exigées par le principe de responsabilité doivent être « appropriées » au regard des éléments spécifiques mentionnés à l’article 24 du règlement 2016/679, à savoir la nature, la portée, le contexte et les finalités du traitement ainsi que la probabilité et la gravité des risques pour les droits et libertés des personnes physiques.
24. Cet article 24 requiert par conséquent que ces mesures présentent un caractère approprié pour que puisse être démontrée la conformité du traitement aux principes et aux dispositions du règlement 2016/679.
25. L’article 32 de ce règlement projette, quant à lui, le principe de responsabilité sur les mesures concrètes à prendre afin de garantir « un niveau de sécurité adapté au risque ». Et ce faisant, il ajoute l’état des connaissances et les coûts de mise en œuvre aux éléments déjà prévus, à prendre en compte dans l’élaboration des mesures techniques et organisationnelles.
26. La notion de caractère approprié suppose l’acceptabilité tant technique (la pertinence des mesures) que qualitative (l’efficacité de la protection) des solutions adoptées pour protéger les systèmes informatiques. Afin de garantir le respect des principes de nécessité, de pertinence et de proportionnalité, les traitements doivent être non seulement appropriés, mais aussi satisfaisants au regard des objectifs poursuivis. Et, dans cette logique, le principe de minimisation, en vertu duquel toutes les étapes du traitement des données doivent constamment tendre à réduire à leur plus bas niveau les risques pour la sécurité, joue un rôle déterminant (10).
27. L’idée qui imprègne le règlement 2016/679 tout entier est la prévention du risque ainsi que la responsabilité du responsable du traitement et, par conséquent, une démarche de type téléologique visant à atteindre le meilleur résultat possible en termes d’efficacité, ce qui signifie que l’on est loin des logiques formalistes liées à une simple obligation de respecter des procédures spécifiques pour se libérer de la responsabilité (11).
28. L’article 24 de ce règlement ne contient pas de liste exhaustive des mesures « appropriées » : il faudra procéder à une appréciation au cas par cas. Cela est conforme à la philosophie dudit règlement, qui explique que l’on ait préféré que les procédures à adopter soient choisies sur la base d’une évaluation minutieuse de la situation spécifique, de manière à ce qu’elles puissent être aussi efficaces que possible (12).
B. Sur la première question préjudicielle
29. Par sa première question, la juridiction de renvoi demande, en substance, si les articles 24 et 32 du règlement 2016/679 doivent être interprétés en ce sens que l’existence d’une « violation de données à caractère personnel », telle que définie à l’article 4, paragraphe 12, de ce règlement, est suffisante pour conclure que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement n’étaient pas « appropriées » aux fins de la protection des données.
30. Il ressort du libellé des articles 24 et 32 du règlement 2016/679 que, lorsqu’il réfléchit aux mesures techniques et organisationnelles qu’il est tenu de mettre en œuvre afin d’assurer le respect de ce règlement, le responsable du traitement doit tenir compte d’un ensemble de paramètres d’évaluation, énumérés dans ces articles et rappelés ci‑dessus.
31. Le responsable du traitement dispose d’une certaine marge de manœuvre pour déterminer quelles sont les mesures les plus appropriées au regard de sa situation spécifique, mais ce choix n’en est pas moins soumis à un éventuel contrôle juridictionnel quant à la conformité des mesures appliquées à l’ensemble des obligations et des objectifs du règlement 2016/679.
32. En particulier, pour ce qui est des mesures de sécurité, l’article 32, paragraphe 1, de ce règlement impose au responsable du traitement de tenir compte de l’« état des connaissances ». Cela implique que le niveau technologique des mesures à mettre en œuvre ne saurait aller au-delà de ce qui est raisonnablement possible à la date d’adoption des mesures : l’aptitude de la mesure à prévenir le risque devra donc être fonction des solutions offertes par l’état contemporain d’avancement de la science, de la technique, de la technologie et de la recherche, compte tenu également, comme on le verra, des coûts de mise en œuvre.
33. Des mesures peuvent être « appropriées » à un moment donné et être, malgré tout, contournées par des cybercriminels recourant à des outils très sophistiqués capables de violer aussi des mesures de sécurité conformes à l’état des connaissances.
34. Par ailleurs, il serait illogique de considérer que l’intention du législateur de l’Union a été d’imposer au responsable du traitement l’obligation d’empêcher toute violation de données à caractère personnel indépendamment de la diligence ayant présidé à l’élaboration des mesures de sécurité (13).
35. Comme on l’a vu, le règlement 2016/679 s’inscrit dans une optique éloignée des automatismes, exigeant du responsable du traitement une responsabilité importante, mais qui ne saurait conduire à l’impossibilité pour celui-ci de démontrer qu’il s’est correctement acquitté des obligations lui incombant.
36. En outre, l’article 32, paragraphe 1, de ce règlement prévoit la prise en compte, comme il a été dit, des « coûts de mise en œuvre » des mesures techniques et organisationnelles en cause. Il s’ensuit que l’appréciation du caractère approprié de ces mesures doit reposer sur une mise en balance des intérêts de la personne concernée, qui cibleront en général un niveau de protection plus élevé, et des intérêts économiques ainsi que de la capacité technologique du responsable du traitement, qui pointent parfois vers un niveau de protection moindre. Cette mise en balance doit respecter les exigences du principe général de proportionnalité.
37. Il convient d’ajouter à cela, dans une optique d’interprétation systématique, que le législateur envisage la possibilité que surviennent des violations des systèmes ; en effet, cet article 32, paragraphe 1, sous c), inclut, parmi les mesures suggérées, la capacité de rétablir en temps utile la disponibilité et l’accès des données à caractère personnel en cas d’incident physique ou technique. Il n’y aurait aucun intérêt à prévoir une telle capacité au nombre des mesures de sécurité garantissant un niveau de sécurité adapté au risque si l’on considérait que la seule violation des systèmes représente en soi la preuve du caractère inapproprié des mesures.
C. Sur la deuxième question préjudicielle
38. Par sa deuxième question, la juridiction de renvoi demande, en substance, quels doivent être l’objet et l’étendue du contrôle juridictionnel quant au caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel au sens de l’article 32 du règlement 2016/679.
39. Étant donné la variété des situations pouvant se rencontrer dans la pratique, ce règlement ne prescrit pas, comme nous l’avons vu, de dispositions contraignantes en ce qui concerne la détermination des mesures techniques et organisationnelles que le responsable du traitement est tenu d’adopter pour respecter les exigences dudit règlement. Le caractère approprié des mesures adoptées devra donc être apprécié in concreto, il s’agira de vérifier si les mesures spécifiques étaient aptes à prévenir raisonnablement le risque et à minimiser les effets négatifs de la violation.
40. S’il est vrai que le choix et la mise en œuvre de ces mesures relèvent de l’appréciation subjective du responsable du traitement, puisque les mesures mentionnées dans le règlement 2016/679 ne sont que des exemples, le contrôle du juge ne peut pas se limiter à constater un respect, de la part du responsable du traitement, des obligations découlant des articles 24 et 32 de ce règlement se traduisant par la prévision (formelle) de certaines mesures techniques et organisationnelles. La juridiction doit procéder à une analyse concrète du contenu de ces mesures, de la façon dont elles ont été appliquées et de leurs effets pratiques, sur la base des éléments de preuve dont elle dispose et des circonstances du cas d’espèce. Comme l’a fait observer avec justesse le gouvernement portugais, « la manière dont [le responsable] a rempli ses obligations apparaît indissociable de la teneur des mesures adoptées, afin de démontrer que, compte tenu du traitement spécifique des données (sa nature, sa portée, son contexte et ses finalités), de l’état de l’art des technologies disponibles et de leurs coûts, tout comme des risques pour les droits et libertés des citoyens, le responsable du traitement a pris toutes les mesures nécessaires et appropriées pour assurer un niveau de sécurité adapté au risque sous-jacent » (14).
41. Le contrôle juridictionnel devra donc tenir compte de tous les paramètres indiqués aux articles 24 et 32 du règlement 2016/679 qui, comme nous l’avons dit, énumèrent une série de critères permettant d’évaluer le caractère approprié et fournissent des exemples de mesures pouvant être considérées comme appropriées. En outre, comme l’ont relevé la Commission et tous les États membres ayant présenté des observations à propos de la deuxième question, l’article 32, paragraphes 1 à 3, souligne la nécessité de « garantir un niveau de sécurité adapté au risque » en citant d’autres éléments pertinents à cet effet, tels que l’adoption éventuelle par le responsable du traitement d’un code de conduite approuvé ou d’un système de certification approuvé, ainsi que le prévoient respectivement les articles 40 et 42 dudit règlement.
42. L’adoption de codes de conduite ou de systèmes de certification peut fournir un élément d’appréciation utile, aux fins de la preuve à apporter et du contrôle juridictionnel y afférent, étant précisé toutefois qu’il ne suffit pas au responsable du traitement d’adhérer à un code de conduite, mais qu’il lui appartient de prouver qu’il a pris concrètement les mesures que ce code prévoit, conformément au principe de responsabilité. La certification constitue, en revanche, « en soi une preuve de la conformité au règlement des traitements effectués même si elle est susceptible d’être démentie sur le plan pratique » (15).
43. Enfin, il convient d’observer que ces mesures doivent être réexaminées et actualisées si nécessaire, ainsi que le prévoit l’article 24, paragraphe 1, du règlement 2016/679. Cela fera aussi l’objet d’une appréciation de la part de la juridiction nationale. L’article 32, paragraphe 1, de ce règlement (16) impose en effet au responsable du traitement un devoir de contrôle et de surveillance constante, préalable et postérieure aux activités de traitement, mais aussi de maintenance et d’actualisation éventuelle des mesures prises, dans le but à la fois de prévenir les violations et, le cas échéant, d’en limiter les effets.
44. J’aurais tendance à penser cependant qu’il n’est pas opportun que l’arrêt à intervenir inclue une énumération d’éléments de fond telle que celle suggérée par le gouvernement portugais (17). Cela pourrait laisser place à des interprétations contradictoires, puisqu’il est évident que l’énumération ne peut jamais être exhaustive.
D. Sur la troisième question préjudicielle
45. Dans la première partie de sa troisième question, la juridiction de renvoi demande en substance à la Cour de préciser si, compte tenu du principe de responsabilité énoncé à l’article 5, paragraphe 2, ainsi qu’à l’article 24, lu conjointement avec le considérant 74 (18) du règlement 2016/679, la charge de la preuve du caractère approprié des mesures techniques et organisationnelles visées à l’article 32 de ce règlement pèse sur le responsable du traitement des données à caractère personnel dans le cadre d’une action en réparation au titre de l’article 82 dudit règlement.
46. Les considérations qui précèdent me permettent de répondre succinctement à cette question par l’affirmative.
47. La lettre de la loi, le contexte et la finalité du règlement 2016/679 plaident, en effet, de manière univoque en faveur de la solution consistant à faire supporter la charge de la preuve au responsable du traitement.
48. De la formulation de diverses dispositions de ce règlement il résulte que le responsable du traitement doit être « à même de » ou « capable » de « démontrer » le respect des obligations prévues par le règlement, et, en particulier, la mise en œuvre des mesures appropriées à cette fin, comme indiqué au considérant 74, à l’article 5, paragraphe 2, et à l’article 24, paragraphe 1, dudit règlement. Ainsi que le souligne le gouvernement portugais, le considérant 74 précise que la preuve ainsi mise à la charge du responsable doit comprendre la preuve de l’« efficacité des mesures » en question.
49. Cette interprétation littérale me semble confortée par les considérations d’ordre pratique et téléologique suivantes.
50. En ce qui concerne la répartition de la charge de la preuve dans le cadre d’une action en réparation fondée sur l’article 82 du règlement 2016/679, celui qui a intenté l’action contre le responsable du traitement doit établir, premièrement, qu’il y a eu violation du règlement, deuxièmement, qu’il a subi un préjudice et, troisièmement, qu’il existe un lien de causalité entre les deux éléments précédents, ainsi qu’il a été relevé dans toutes les observations écrites présentées à propos de la cinquième question préjudicielle. Il s’agit de trois conditions cumulatives, comme l’indiquent également la jurisprudence constante de la Cour et du Tribunal, dans le contexte de la responsabilité extracontractuelle de l’Union (19).
51. J’estime toutefois que l’obligation qui pèse sur le requérant de démontrer l’existence d’une violation du règlement 2016/679 ne peut pas aller jusqu’à requérir qu’il démontre en quoi les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement ne sont pas appropriées au regard des articles 24 et 32 de ce règlement.
52. Ainsi que le souligne la Commission, il serait souvent quasi impossible de rapporter de telles preuves dans la pratique, les personnes concernées n’ayant généralement ni une connaissance suffisante pour pouvoir analyser ces mesures, ni un accès à toutes les informations qui sont en possession du responsable du traitement contesté, en particulier pour ce qui est des méthodes appliquées afin d’assurer la sécurité de ce traitement. En outre, le responsable du traitement pourrait parfois soutenir que son refus de révéler ces éléments aux personnes concernées repose sur le motif légitime de ne pas rendre publics ses affaires internes ou des éléments couverts par le secret professionnel, notamment pour des raisons de sécurité.
53. C’est pourquoi, s’il était considéré que la charge de la preuve pèse sur la personne concernée, le résultat pratique serait que le droit de recours prévu à l’article 82, paragraphe 1, du règlement 2016/679 se verrait en grande partie vidé de sa substance. À mon avis, cela ne serait pas conforme aux intentions du législateur de l’Union qui, avec l’adoption de ce règlement, a cherché à renforcer les droits des personnes concernées ainsi que les obligations des responsables du traitement, par rapport à la directive 95/46 que ledit règlement a remplacée. Il est donc plus logique, et juridiquement défendable, que ce soit au responsable du traitement de démontrer, lorsqu’il se défend face à une action en réparation, qu’il a respecté les obligations découlant des articles 24 et 32 de ce même règlement en prenant des mesures effectivement appropriées.
54. Dans la seconde partie de sa troisième question, la juridiction de renvoi interroge la Cour, en substance, sur le point de savoir si une expertise judiciaire peut être considérée comme une preuve nécessaire et suffisante, aux fins de l’appréciation du caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel, dans un cas où l’accès aux données à caractère personnel et leur diffusion non autorisés sont le résultat d’une activité de piratage.
55. Je suis d’avis que la réponse à ces questions doit, comme l’ont souligné (en substance) également les gouvernements bulgare et italien, ainsi que l’Irlande et la Commission, se fonder sur notre jurisprudence constante en vertu de laquelle, conformément au principe d’autonomie procédurale, il appartient à l’ordre juridique interne de chaque État membre, en l’absence de règles de l’Union en la matière, de régler les modalités procédurales des procédures judiciaires destinées à sauvegarder les droits des personnes, à condition toutefois que ces règles ne soient pas, dans les situations régies par le droit de l’Union, moins favorables que celles régissant des situations similaires soumises au droit national (principe d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité).
56. En l’espèce, on observe que le règlement 2016/679 ne contient aucune disposition visant à définir les moyens de preuve admissibles et leur force probante, notamment pour ce qui est des mesures d’instruction (telles qu’une expertise judiciaire) que les juridictions nationales peuvent ou doivent ordonner pour apprécier si un responsable du traitement des données à caractère personnel a pris des mesures appropriées au sens de ce règlement. Je considère donc que, en l’absence de règles harmonisées en la matière, il appartient à l’ordre juridique interne de chaque État membre de déterminer ces modalités procédurales, sous réserve du respect des principes d’équivalence et d’effectivité.
57. Le « principe d’effectivité », qui présuppose l’obligation pour un juge indépendant de procéder à une appréciation impartiale, pourrait être remis en cause si l’adjectif « suffisant » devait être compris dans le sens que semble lui attribuer la juridiction de renvoi, à savoir que la juridiction pourrait déduire automatiquement d’une expertise la conclusion que les mesures prises par le responsable du traitement sont appropriées (20).
E. Sur la quatrième question préjudicielle
58. Dans sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que, en cas de violation de ce règlement (consistant, comme en l’espèce, en la « divulgation non autorisée » ou en l’« accès non autorisé » à des données à caractère personnel au sens de l’article 4, paragraphe 12, dudit règlement), de la part de personnes qui ne sont pas des employés du responsable du traitement de ces données et ne sont pas sous le contrôle de celui-ci, on est en présence d’un événement nullement imputable au responsable du traitement et, partant, d’une cause d’exonération de sa responsabilité au sens dudit article 82, paragraphe 3.
59. La réponse à cette question découle directement de ce qui a été expliqué plus haut concernant la philosophie générale du règlement 2016/679 : aucun automatisme n’est prévu et, par voie de conséquence, le seul fait que la divulgation ou l’accès non autorisés à des données à caractère personnel se sont produits à cause de personnes étrangères au périmètre de contrôle du responsable du traitement n’exonère pas ce dernier de sa responsabilité.
60. Tout d’abord, du point de vue littéral, il convient de noter que pas plus l’article 82, paragraphe 3, que le considérant 146 ne prévoient de conditions particulières pouvant être remplies pour que le responsable du traitement soit exonéré de sa responsabilité, si ce n’est celle de démontrer que « le fait dommageable ne lui est nullement imputable ». Il ressort de cette formulation, d’une part, que le responsable du traitement ne peut s’exonérer de sa responsabilité que s’il démontre que le fait ayant entraîné le dommage en cause ne lui est pas imputable et, d’autre part, que cette disposition requiert un niveau de preuve élevé, en raison de l’emploi du terme « nullement », comme l’a souligné la Commission (21).
61. Le régime de responsabilité prévu par l’article 82 et, plus généralement, par l’ensemble du règlement 2016/679, a fait l’objet de débats extensifs dans la doctrine des divers États membres. En effet, il inclut des éléments traditionnels propres à la responsabilité extracontractuelle, mais aussi des éléments qui, dans l’architecture des dispositions, le rapprochent de la responsabilité contractuelle, voire d’une forme de responsabilité objective, en raison de la dangerosité intrinsèque de l’activité de traitement des données. Ce n’est pas le lieu adéquat pour rendre compte du débat en détail, mais, à mon avis, cet article 82 ne paraît pas instituer un régime de responsabilité sans faute (22).
62. Le préjudice résultant d’une violation de données à caractère personnel peut être défini comme la conséquence fautive de l’absence d’adoption des mesures techniques et organisationnelles raisonnables et, en tout cas, appropriées pour prévenir ce préjudice, compte tenu des risques pour les droits et libertés des personnes liés à l’activité de traitement. De tels risques rendent plus stricte l’obligation de prévenir et d’éviter le dommage, le devoir de diligence incombant au responsable du traitement se voyant ainsi renforcé. C’est pourquoi une lecture coordonnée des obligations de conduite incombant aux responsables du traitement et de la disposition relative à la preuve libératoire pour l’auteur du dommage pourrait inciter à reconnaître la nature de responsabilité aggravée, pour faute présumée, au régime de responsabilité découlant du traitement illicite de données à caractère personnel prévue par l’article 82 du règlement 2016/679 (23).
63. Il en découle que le responsable du traitement a la possibilité de fournir une preuve libératoire (non admise dans le cadre d’une responsabilité objective). En ce qui concerne la répartition du fardeau de la preuve, l’article 82, paragraphe 3, du règlement 2016/679 prévoit un système favorable à la victime, en instituant une sorte de renversement de la charge de la preuve de la faute de l’auteur du dommage (24), dans un rapport de parfaite symétrie avec le renversement, évoqué plus haut, de la charge de la preuve du caractère approprié des mesures adoptées. Le législateur montre ainsi qu’il est conscient des dangers inhérents à l’admission d’une répartition différente de la charge de la preuve qui, si l’on faisait peser l’obligation de prouver la faute de l’auteur du dommage sur la personne physique lésée, aboutirait à obérer excessivement la position de celle-ci et, partant, à compromettre, dans les faits, l’efficacité de la protection résidant dans l’action en réparation, dans un contexte de règles liées à l’emploi des nouvelles technologies. En effet, il pourrait s’avérer particulièrement onéreux pour la personne concernée d’identifier les modalités de production du dommage et d’y avoir accès, et, partant, de démontrer la faute du responsable. À l’inverse, le responsable du traitement est le mieux placé pour offrir la preuve libératoire visant à établir que le fait dommageable ne lui est nullement imputable (25).
64. Le responsable du traitement devra également démontrer, conformément au principe de responsabilité décrit ci-dessus, qu’il a fait tout son possible pour rétablir en temps utile la disponibilité et l’accès aux données à caractère personnel.
65. Pour en venir à la question de la juridiction de renvoi, sur la base de ce qui vient d’être exposé quant à la nature de la responsabilité du responsable du traitement, si, comme nous l’avons vu, le responsable du traitement peut être exonéré de sa responsabilité en démontrant que la violation est due à une cause qui ne lui est nullement imputable, le seul fait que l’événement a été causé par une personne échappant à son contrôle ne saurait être considéré comme une telle cause.
66. Lorsqu’un responsable du traitement est victime d’une attaque de la part de cybercriminels, l’événement qui a donné naissance au dommage pourrait être considéré comme n’étant pas imputable au responsable du traitement des données, mais il n’est pas exclu que la négligence de celui-ci ait été à l’origine de l’attaque en question, en la facilitant du fait de l’absence ou du caractère inapproprié des mesures de sécurité des données à caractère personnel qu’il est tenu de mettre en œuvre. Il s’agit d’appréciations de fait, propres à chaque cas, qui sont laissées à la juridiction nationale saisie, au vu des preuves produites devant elle.
67. En outre, l’expérience commune montre que les attaques externes vis-à-vis des systèmes d’entités publiques ou privées détentrices d’une grande quantité de données à caractère personnel sont bien plus fréquentes que les attaques internes. Le responsable du traitement doit donc mettre en place des mesures appropriées pour faire face tout particulièrement aux attaques externes.
68. Enfin, d’un point de vue téléologique, il convient de noter que le règlement 2016/679 se fixe pour objectif de conférer un niveau élevé de protection. À cet égard, la Cour a déjà souligné qu’il ressort de l’article 1er, paragraphe 2, de ce règlement, lu conjointement avec ses considérants 10, 11 et 13, que ledit règlement impose aux institutions, aux organes, organismes et agences de l’Union et aux autorités compétentes des États membres d’assurer un niveau élevé de protection des droits relatifs à la protection des données à caractère personnel garantis par l’article 16 TFUE et l’article 8 de la charte des droits fondamentaux de l’Union européenne (26).
69. Si la Cour devait opter pour l’interprétation en vertu de laquelle, dans le cas où la violation du règlement 2016/679 a été commise par un tiers, le responsable du traitement doit être automatiquement exonéré de sa responsabilité en vertu de l’article 82, paragraphe 3, de ce règlement, une telle interprétation produirait un effet incompatible avec l’objectif de protection poursuivi par cet instrument, car elle affaiblirait les droits des personnes concernées, en ce qu’elle limiterait cette responsabilité aux seuls cas dans lesquels la violation est due à des personnes placées sous l’autorité et/ou le contrôle du responsable du traitement.
F. Sur la cinquième question préjudicielle
70. Par sa cinquième question, la juridiction nationale demande à la Cour, en substance, d’interpréter la notion de « dommage moral » au sens de l’article 82 du règlement 2016/679. En particulier, elle demande si les dispositions de l’article 82, paragraphes 1 et 2, de ce règlement, lues conjointement avec les considérants 85 et 146 de celui-ci (27), doivent être interprétées en ce sens que, dans un cas où la violation dudit règlement a consisté en un accès non autorisé à des données à caractère personnel et en une divulgation non autorisée de ces données par des cybercriminels, le fait que la personne concernée craigne une éventuelle utilisation future abusive de ses données à caractère personnel peut constituer en soi un préjudice (moral) ouvrant droit à réparation.
71. Ni l’article 82 ni les considérants relatifs à la réparation du dommage ne fournissent une réponse claire à la question, mais il est possible d’en retirer certains éléments utiles pour l’analyse de la question : le dommage moral peut faire l’objet d’une indemnisation en plus du dommage matériel (ou patrimonial) ; de la violation du règlement 2016/679 ne découle pas automatiquement le dommage qu’elle a « causé » ou, plus précisément, la violation de données à caractère personnel « peut causer » des dommages physiques, matériels ou moraux aux personnes physiques ; la notion de dommage devrait être interprétée « au sens large » à la lumière de la jurisprudence de la Cour, d’une manière qui tienne pleinement compte des objectifs du règlement 2016/679, et la réparation du dommage « subi » devrait être « complète et effective ».
72. La teneur littérale des dispositions du règlement 2016/679 élimine d’emblée l’idée éventuelle de dommage in re ipsa : l’objectif principal de la responsabilité civile instituée par ce règlement est de donner satisfaction à la personne concernée, précisément par le biais d’une réparation « complète et effective » du dommage subi, et donc de rétablir l’équilibre de la situation juridique négativement affectée par la violation du droit (28).
73. Par ailleurs, d’un point de vue systématique également, tout comme en matière de droit de la concurrence et des ententes, le règlement 2016/679 prévoit deux axes de protection : l’un est de nature publique avec la prévision de sanctions en cas de violation des dispositions de ce règlement, l’autre de nature privée, avec précisément la prévision d’une responsabilité civile de nature extracontractuelle, susceptible d’être qualifiée d’aggravée, pour faute présumée, présentant les caractéristiques évoquées ci-dessus, y compris en ce qui concerne la preuve libératoire (29).
74. Dès lors, une interprétation large (30) de la notion de dommage (moral) ne saurait conduire à juger envisageable l’idée que le législateur a renoncé à la nécessité d’un véritable « dommage ».
75. Le problème de fond est de savoir si, une fois que l’existence de la violation et du lien de causalité est établie, un droit à réparation peut exister du fait de simples inquiétudes, d’anxiété et de craintes ressenties par la personne concernée quant à une éventuelle utilisation abusive future de ses données à caractère personnel, lorsque aucune utilisation abusive n’a été constatée et/ou que la personne concernée n’a subi aucun autre préjudice.
76. Selon une jurisprudence constante de la Cour, les notions d’une disposition du droit de l’Union, qui ne renvoie pas expressément au droit des États membres pour déterminer son sens et sa portée, doivent normalement recevoir une interprétation autonome et uniforme dans toute l’Union, qui doit être recherchée en tenant compte des termes de la disposition en cause, du contexte dans lequel elle s’insère, des objectifs poursuivis par l’acte dont elle fait partie et de la genèse de cette disposition (31).
77. Il est de fait que, comme l’a rappelé l’avocat général Campos Sánchez‑Bordona (32), la Cour n’a pas élaboré de définition générale de la notion de « dommage » applicable indistinctement dans n’importe quel domaine (33). Pour ce qui nous intéresse ici (les dommages moraux), il peut être déduit de sa jurisprudence que : lorsque l’un des objectifs de la disposition à interpréter est la protection de l’individu ou d’une certaine catégorie particulière d’individus (34), la notion de dommage doit être large ; conformément à ce critère, la réparation s’étend aux dommages moraux, même s’ils ne sont pas mentionnés dans la disposition interprétée (35).
78. Si la jurisprudence de la Cour autorise à soutenir que, dans les conditions précédemment décrites, il existe en droit de l’Union un principe de réparation du préjudice moral, je ne crois pas, en accord avec l’avocat général Campos Sánchez‑Bordona, que l’on puisse en déduire, en revanche, une règle selon laquelle tout préjudice moral, quelle que soit sa gravité, est indemnisable (36).
79. Dans ce contexte, la distinction entre un préjudice moral indemnisable et d’autres inconvénients résultant du non-respect de la légalité qui, en raison de leur faible importance, n’ouvriraient pas nécessairement droit à réparation, est pertinente (37).
80. La Cour n’ignore pas cette distinction qu’elle admet lorsqu’elle se réfère aux difficultés et aux désagréments en tant que catégorie autonome par rapport à celle des dommages, dans des domaines où elle estime que ceux-ci doivent être réparés (38).
81. De façon empirique, l’on peut observer que toute violation d’une règle relative à la protection des données à caractère personnel suscitera une réaction négative de la personne concernée. Une réparation fondée sur un simple désagrément ressenti face au non‑respect de la loi par autrui pourrait aisément être confondue avec une réparation sans dommage, ce qui, comme nous l’avons vu, ne semble pas envisageable dans la situation prévue par l’article 82 du règlement 2016/679.
82. Le fait que, dans des circonstances telles que celles de l’affaire au principal, l’utilisation abusive des données à caractère personnel soit seulement potentielle, et non effective, est suffisant pour que la personne concernée puisse être considérée comme ayant subi un préjudice moral causé par la violation du règlement 2016/679, à la condition qu’elle établisse que la crainte d’une telle utilisation abusive lui a concrètement et spécifiquement causé un préjudice émotionnel réel et certain (39).
83. La frontière entre un simple mécontentement (non indemnisable) et de véritables dommages moraux (indemnisables) est ténue, mais les juridictions nationales, auxquelles il appartient de tracer au cas par cas cette ligne de partage, devraient procéder à une appréciation attentive de tous les éléments produits par la personne concernée demandant réparation, à qui il incombera de fournir de façon précise, et non générique, des éléments concrets susceptibles de conduire à la reconnaissance d’un « préjudice moral effectivement subi » du fait de la violation de données à caractère personnel, sans toutefois que ce préjudice atteigne un seuil de gravité particulière prédéterminé : ce qui importe, c’est qu’il ne s’agisse pas d’une simple perception subjective, fluctuante et dépendant également d’éléments liés au tempérament et à la personne, mais d’un trouble de nature objective, même de faible intensité, pourvu qu’il soit démontrable, causé à son intimité physique ou psychique ou sa vie relationnelle ; la nature des données à caractère personnel concernées et l’importance qu’elles revêtent pour la vie de la personne concernée et peut-être aussi la perception qu’a la société, à ce moment-là, de ce trouble particulier lié à la violation des données (40).
IV. Conclusion
84. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie) en ces termes :
Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens que :
la simple existence d’une « violation de données à caractère personnel », telle que définie à l’article 4, paragraphe 12, de ce règlement, ne suffit pas en soi pour conclure que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement n’étaient pas « appropriées » aux fins d’assurer la protection des données en question ;
lorsqu’elle vérifie le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel, la juridiction nationale saisie doit procéder à un contrôle s’étendant à une analyse concrète tant du contenu de ces mesures que de la manière dont elles ont été appliquées et de leurs effets pratiques ;
dans le cadre d’une action en réparation fondée sur l’article 82 dudit règlement, c’est au responsable du traitement des données à caractère personnel qu’il incombe de démontrer le caractère approprié des mesures qu’il a mises en œuvre en vertu de l’article 32 de ce même règlement ;
conformément au principe d’autonomie procédurale, il appartient à l’ordre juridique interne de chaque État membre de déterminer quels sont les moyens de preuve recevables ainsi que leur force probante, y compris les mesures d’instruction que les tribunaux nationaux peuvent ou doivent ordonner afin d’apprécier si un responsable du traitement des données à caractère personnel a mis en œuvre des mesures appropriées au titre du règlement 2016/679, dans le respect des principes d’équivalence et d’efficacité définis par le droit de l’Union ;
le fait que la violation de ce règlement ayant causé le dommage en question a été commise par un tiers ne constitue pas en soi une cause d’exonération pour le responsable du traitement et, pour pouvoir se prévaloir de l’exonération de responsabilité prévue par cette disposition, le responsable du traitement doit démontrer que la violation ne lui est nullement imputable ;
le préjudice consistant dans la crainte d’une future utilisation abusive potentielle de ses données à caractère personnel, dont la personne concernée a démontré l’existence, peut constituer un préjudice moral ouvrant droit à réparation, à condition que la personne concernée démontre avoir subi individuellement un préjudice émotionnel réel et certain, circonstance qu’il appartient à la juridiction nationale saisie de vérifier dans chaque cas d’espèce.