Le 14 décembre 2023, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt sur la responsabilité du responsable de traitement en cas de cyberattaque et notamment sur le point de savoir si la crainte d’un potentiel usage abusif des données à caractère personnel des personnes concernées par cette violation pouvait ouvrir droit à réparation sur le fondement de l’article 82 du RGPD (CJUE, 14 déc. 2023, aff. C-340/21, Natsionalna agentsia za prihodite).
En l’espèce, la Natsionalna agentsia za prihodite (NAP), une autorité bulgare dédiée au recouvrement des créances publiques a été victime d’une cyberattaque. Les données à caractère personnel de plus de six millions de bulgares ont ainsi été divulguées sur Internet.
A la suite de l’introduction d’actions en justice par plusieurs victimes, la CJUE a été saisie par la juridiction bulgare de questions préjudicielles portant sur l’interprétation des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et plus précisément de l’article 82 intitulé « droit à réparation et responsabilité » qui dispose que « toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Dans un premier temps, la CJUE a précisé qu’invoquer l’existence d’une cyberattaque ne peut constituer en tant que tel un motif d’exonération de la responsabilité du responsable de traitement en cas de violation du RGPD.
Pour rappel, l’article 82.2 du RGPD prévoit que « tout responsable de traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement ». Cependant, conformément à l’article 82.3., il peut être exonéré de responsabilité « s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».
Il appartient donc au responsable de traitement, et ce, même en cas de cyberattaque du fait de tiers, de prouver que le fait qui a causé le dommage résultant d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à ces données par des tiers, ne lui est nullement imputable (considérants 70, 71 et 72).
En ce sens, il lui incombe dans le cadre d’une action en réparation fondée sur l’article 82 du RGPD de démontrer qu’il a mis en œuvre les mesures de protection appropriées pour éviter toute violation du RGPD, étant précisé qu’une expertise judiciaire ne constitue pas, selon la CJUE, un « moyen de preuve systématiquement nécessaire et suffisant » (considérant 64).
A cet égard, le juge national appréciera de manière concrète si la nature, la teneur et la mise en œuvre des mesures techniques et organisationnelles adoptées par le responsable de traitement sont adaptées aux risques liés au traitement concerné (considérant 47).
Dans un second temps, la CJUE considère que l’article 82.1. du RGPD ne distingue pas le cas où un tiers aurait déjà fait un usage abusif des données à caractère personnel de la personne victime de la violation à la date de la demande de réparation, du cas où le dommage serait uniquement causé par « la peur ressentie (…) qu’un tel usage puisse se produire à l’avenir » (considérant 79).
La CJUE pose ainsi le principe selon lequel la crainte d’un potentiel usage abusif des données à caractère personnel est « susceptible, à elle seule de constituer un « dommage moral » au sens de cette disposition », justifiant également sa décision par la volonté de garantir aux personnes physiques un niveau élevé de protection à l’égard du traitement des données à caractère personnel au sein de l’Union européenne (considérants 83 et 86).
Toutefois, il appartiendra naturellement à la juridiction nationale d’apprécier si cette crainte est fondée au regard des circonstances de l’espèce et de la personne concernée par la violation du RGPD.
Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle
Fanny VIGIER, avocate collaboratrice
コメント