Affaire C‑340/21
VB
Contre
Natsionalna agentsia za prihodite
(demande de décision préjudicielle,
introduite par le Varhoven administrativen sad)
Arrêt de la Cour (troisième chambre) du 14 décembre 2023
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs à ce traitement – Article 24 – Responsabilité du responsable du traitement – Article 32 – Mesures mises en œuvre pour garantir la sécurité du traitement – Appréciation du caractère approprié de telles mesures – Portée du contrôle juridictionnel – Administration des preuves – Article 82 – Droit à réparation et responsabilité – Exonération éventuelle de responsabilité du responsable du traitement en cas de violation commise par des tiers – Demande de réparation d’un préjudice moral fondée sur la crainte d’un potentiel usage abusif de données à caractère personnel »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Obligations du responsable du traitement – Mise en œuvre des mesures techniques et organisationnelles appropriées – Divulgation non autorisée de données à caractère personnel ou accès non autorisé à de telles données par des tiers – Cironstances insuffisantes pour retenir le caractère inapproprié de ces mesures
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 10, 24 et 32)
(voir points 29-39, disp. 1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Obligations du responsable du traitement – Mise en œuvre des mesures techniques et organisationnelles appropriées – Contrôle juridictionnel du caractère approprié de ces mesures – Portée
(Règlement du Parlement européen et du Conseil 2016/679, art. 32)
(voir points 42-47, disp. 2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Principe de responsabilité du responsable du traitement – Caractère approprié des mesures techniques et organisationnelles mises en œuvre par celui-ci – Charge de la preuve incombant au responsable du traitement
(Règlement du Parlement européen et du Conseil 2016/679, art. 5, § 2, 24, 32 et 82)
(voir points 52-57, disp. 3)
4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Obligations du responsable du traitement – Mise en œuvre des mesures techniques et organisationnelles appropriées – Caractère approprié de ces mesures – Moyens de preuve – Expertise judiciaire – Valeur probante – Moyen de preuve systématiquement nécessaire et suffisant – Violation du principe d’effectivité
(Règlement du Parlement européen et du Conseil 2016/679, art. 32)
(voir points 60, 62-64, disp. 4)
5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Responsabilité du responsable de traitement de réparer le dommage subi par une personne concernée – Exonération – Portée – Nécessité de prouver l’absence d’imputabilité du dommage dans son propre chef – Dommage résultant d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des tiers – Exclusion
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 10, et 82, § 1 à 3)
(voir points 69-74, disp. 5)
6. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Dommage moral – Notion – Crainte éprouvée par une personne au sujet d’un potentiel usage abusif de ses données à caractère personnel par des tiers – Inclusion
(Règlement du Parlement européen et du Conseil 2016/679, art. 82, § 1)
(voir points 79-86, disp. 6)
Voir le texte de la décision.