La CJUE clarifie deux aspects clés du RGPD

CJUE RGPD

La CJUE a tranché plusieurs points concernant deux droits que confère le RGPD : réparation et accès aux données personnelles.

Tout dommage moral subi en conséquence d’une violation du RGPD confère-t-il un droit à réparation ? La CJUE (Cour de justice de l’Union européenne) vient de se prononcer à ce sujet.

Son arrêt du 4 mai 2023 s’inscrit dans un litige impliquant la poste autrichienne. À compter de 2017, celle-ci a collecté des informations sur les affinités politiques de la population. Elle les a soumises à un traitement algorithmique dont ont résulté des données vendues à des organisations pour leur permettre de procéder à des envois ciblés de publicité.

Un citoyen n’ayant pas consenti à cette pratique l’avait attaquée devant les tribunaux. Il exigeait que la poste autrichienne y mette un terme et lui verse 1000 € au titre du préjudice moral. Il avait obtenu gain de cause sur le premier élément, mais sa demande d’indemnisation avait été rejetée. Même sort en appel, au tribunal régional supérieur de Vienne. Ce dernier avait affirmé qu’en vertu du droit national, une violation du RGPD n’entraînerait pas automatiquement un préjudice moral. Et qu’elle n’ouvrirait droit à réparation que lorsqu’un tel préjudice atteindrait un certain « seuil de gravité ».

Un droit à l’indemnisation sans condition de gravité

Mise à son tour face à ces questions, la Cour suprême autrichienne s’était tournée vers la CJUE. Laquelle a conclu, dans les grandes lignes, que :

La simple violation du RGPD ne suffit pas pour conférer un droit à réparation.
Il est nécessaire d’établir l’existence d’un dommage matériel et/ou moral, ainsi qu’un lien de causalité avec la violation. Interpréter autrement les dispositions du RGPD iraient à l’encontre de sa « formulation claire », affirme la CJUE.

Il n’est en revanche pas nécessaire que le préjudice subi atteigne un certain niveau de gravité.
De l’avis de la CJUE, cela serait contraire à l’acception générale du terme « dommage » au sein de la législation de l’Union.

Le RGPD ne pose pas de règles permettant d’évaluer le montant des dommages-intérêts. C’est aux législations des États membres de les spécifier.

RGPD et droit d’accès des personnes concernées : une « copie », c’est quoi au juste ?

La CJUE a rendu, le même jour, un autre « arrêt RGPD » consécutif à un litige en Autriche. Il s’agissait ici de clarifier le droit des personnes concernées d’obtenir une copie de leurs données personnelles.

Au cœur de l’affaire, il y a CRIF. Cette agence exploite une base de données créancière donnant des informations sur la solvabilité. Un citoyen autrichien l’avait attaquée en justice, mécontent de sa réponse à une demande d’accès aux données personnelles le concernant.

L’intéressé dénonçait le fait qu’on lui ait transmis ces données sous une forme synthétique. Il avait porté, sans succès, les faits devant la Cnil autrichienne. Le tribunal ensuite saisi ne s’était pas estimé en mesure de trancher. Il avait donc questionné la CJUE, jusqu’à la prier de clarifier le concept même d’« information » dans le contexte du 15(3) du RGPD, relatif aux droits d’accès des personnes concernées.

Au bout du compte, la CJUE a décidé qu’à défaut de définition du mot « copie » dans cet article 15, il fallait interpréter le mot dans son sens usuel. Donc, celui de « reproduction fidèle ou transcription d’un original ». Toute présentation synthétique des données (résumé, description générale, catégories…) doit donc être exclue, au profit d’une reproduction « fidèle et intelligible ». En tout cas aussi longtemps que la communication de « copies » telles que l’entend la CJUE n’entre pas en conflit avec les libertés d’autrui…

À consulter pour davantage de contexte :

RGPD : ChatGPT examiné par la Cnil
La réforme du RGPD se précise au Royaume-Uni
Google Analytics : la Cnil finlandaise a aussi sévi
RGPD : du nouveau dans les mécanismes d’attestation de conformité

Photo d’illustration © mixmagic – Adobe Stock