CURIA - Documents

Arrêt de la Cour (troisième chambre) du 14 décembre 2023 (demande de décision préjudicielle du Varhoven administrativen sad - Bulgarie) – VB / Natsionalna agentsia za prihodite

(Affaire C-340/21¹ , Natsionalna agentsia za prihodite)

(Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs à ce traitement – Article 24 – Responsabilité du responsable du traitement – Article 32 – Mesures mises en œuvre pour garantir la sécurité du traitement – Appréciation du caractère approprié de telles mesures – Portée du contrôle juridictionnel – Administration des preuves – Article 82 – Droit à réparation et responsabilité – Exonération éventuelle de responsabilité du responsable du traitement en cas de violation commise par des tiers – Demande de réparation d’un préjudice moral fondée sur la crainte d’un potentiel usage abusif de données à caractère personnel)

Langue de procédure: le bulgare

Juridiction de renvoi

Varhoven administrativen sad

Parties à la procédure au principal

Partie requérante: VB

Partie défenderesse: Natsionalna agentsia za prihodite

Dispositif

Les articles 24 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.

L’article 32 du règlement 2016/679

doit être interprété en ce sens que :

le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.

Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui-ci,

doit être interprété en ce sens que :

dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.

L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union

doivent être interprétés en ce sens que :

afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

L’article 82, paragraphe 3, du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.

____________

¹ JO C 329, du 16/08/2021