[ 28 juin 2023 ]

Droit européen et de l'Union européenne

Droit à réparation et accès aux données : le RGPD précisé

CJUE 4 mai 2023, Österreichische Post, aff. n °C-300/21

CJUE 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, aff. n° C-487/21

CJUE 22 juin 2023, Pankki S, aff. n° C-579/21

C’est à l’issu du renvoi préjudiciel qui permet aux juridictions des États membres de l’Union saisies d’un litige, d’interroger la CJUE sur l’interprétation du droit de l’Union, que la Cour apporte des précisions dans la lecture des articles 15 et 82 du RGPD (règl. (UE) 2016/679 du 27 avr. 2016).

■ Le droit à réparation

En cas de violation du RGPD, l’article 82 dudit règlement prévoit un droit à réparation : « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (§ 1). C’est dans l’interprétation de ce droit que la CJUE se prononce dans la première affaire (aff. n° C-300/21).

Il ressort de son analyse que le droit à réparation est subordonné à 3 conditions cumulatives qu’elle énonce ainsi : une violation du RGPD, un dommage matériel ou moral résultant de cette violation, et enfin l’existence d’un lien de causalité entre la violation et le dommage. Partant de ces 3 conditions cumulatives, une simple violation n’ouvre pas à elle seule le droit à réparation. Par ailleurs, le RGPD ne définit pas la notion de « dommage ». Il se limite à énoncer de manière explicite qu’un dommage « matériel » mais aussi « moral » sont susceptibles d’ouvrir droit à une réparation « sans qu’il soit fait mention d’un quelconque seuil de gravité » (§ 45). En d’autres termes, le droit à réparation prévu par le RGDP ne nécessite pas que le dommage considéré atteigne un seuil de gravité. Enfin, elle souligne l’absence de dispositions en matière d’évaluation des dommages et intérêts au titre du droit à réparation dans le règlement. Par conséquent, sans règles à l’échelle de l’Union européenne, il appartient à l’ordre juridique des États membres de fixer les critères de la réparation dans le respect des principes d’équivalence et d’effectivité (v. CJUE 13 juill. 2006, Manfredi e.a., aff. jts. n^os C-295/04 à C-298/04, pt. 92 et 98).

■ Le droit d'accès aux données à caractère personnel

L’article 15 du RGPD prévoit un droit d’accès de la personne concernée à ses données faisant l’objet d’un traitement. C’est sur la notion de « copie » ainsi que celle d’« informations » mentionnées à l’article 15 § 3 du règlement, que la CJUE statut dans la seconde affaire (aff. n° C-487/21).

Par une interprétation littérale de la première phrase de l’article 15 § 3 qui énonce que « Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement », elle relève que même si cette disposition ne contient pas de définition de « copie », elle confère à la personne le droit d’obtenir une reproduction fidèle de ses données entendue « dans une acception large ». En outre, ce droit suppose l’obtention d’une copie, d’extraits de documents voire de documents entiers ou des extraits de bases de données si cela est nécessaire à la personne concernée d’exercer effectivement ces droits qui lui sont conférés par le RGPD. En cas de conflit entre l’exercice du droit d’accès plein et complet aux données à caractère personnel et les droits ou libertés d’autrui, il y a lieu de mettre en balance les droits et libertés en question, précise la Cour. S’agissant de la notion d’ « informations » telle qu’elle est citée dans la 3e phrase de l’article 15 § 3 « Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement », elle se rapporte « exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe ».

Enfin c’est à la question de savoir si la communication de l’identité des salariés du responsable du traitement des données est couverte par l’article 15 § 1 du RGPD que la CJUE répond dans la troisième affaire (C-579/21).

En vertu de l’article 15 § 1 RGPD, toute personne a le droit d’obtenir du responsable du traitement de ses données, des informations relatives à la date et aux finalités de la consultation. En revanche, il n’en va pas de même s’agissant des informations concernant l’identité des personnes – en l’espèce, les salariés du responsable du traitement – ayant consulté celles-ci. Pour la Cour, la communication de ces informations est « susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers ». L’article 15 § 1 du RGPD ne consacre ainsi pas le droit à la personne concernée par le traitement des données d’obtenir de la part du responsable du traitement des informations relatives à l’identité de ses salariés sauf, lorsqu’elles sont indispensables à la personne d’exercer effectivement ses droits qui lui sont conférés par le RGPD. Pour le champ d’application de ce droit, elle conclut que le RGPD « n’opère pas de distinction en fonction de la nature des activités du responsable du traitement ou de la qualité de la personne dont les données à caractère personnel font l’objet d’un traitement ».