Le tribunal du district de Munich a interrogé la Cour de Justice Européenne (CJUE) sur l’interprétation de la notion de « dommage moral » figurant à l’article 82 du règlement (UE) 2016/679 et sur les conditions de réparation.
“Le vol des données à caractère personnel sensibles d’une personne concernée, commis par un délinquant dont l’identité est inconnue, peut ouvrir droit à réparation du dommage moral à condition de prouver une violation du règlement général sur la protection des données, un dommage concrètement subi et un lien de causalité entre le dommage et cette violation. Il n’est pas nécessaire que le délinquant prenne l’identité de la personne concernée pour pouvoir accorder une telle réparation, et la possession des données permettant d’identifier la personne concernée ne constitue pas en soi un vol d’identité” conclut la CJUE dans ses conclusions.
La CJUE, dans les affaires C-182/22 et C-189/22, apporte des clarifications importantes sur l’indemnisation du préjudice moral en cas de violation du RGPD, notamment sur l’article 82 de ce règlement. Cet article prévoit “le droit de toute personne concernée ayant subi un dommage matériel ou moral du fait d’une violation du RGPD d’en obtenir réparation, et en attribue la responsabilité au(x) responsable(s) du traitement et/ou au(x) sous-traitant(s)“. Cette disposition ne précise ni la nature spécifique ni la forme de ce dommage. De plus, le RGPD ne renvoie pas au droit des États membres pour définir le sens et la portée des termes « dommage moral ». Ces termes doivent donc être considérés comme une notion autonome du droit de l’Union, devant être interprétée de manière uniforme dans tous les États membres.
Ainsi, la CJUE apporte une interprétation majeure. Les juridictions nationales devront évaluer le dommage moral sur la base de preuves claires. Une indemnisation pourra être accordée même en l’absence d’usurpation d’identité, mais elle ne peut pas reposer sur des dommages purement hypothétiques ou potentiels.
