La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions concernant la compensation financière en cas d’infraction au Règlement Général sur la Protection des Données (RGPD). Dans une décision du 4 mai, elle a estimé qu’une simple infraction aux règles de protection des données n’est pas suffisante pour revendiquer une compensation. Cependant, la cour n’a pas explicitement défini ce que pourrait constituer un préjudice non matériel.
Ce cas a été soulevé par un individu dont les données ont été utilisées par le service postal autrichien, Österreichische Post, pour évaluer son affinité politique en vue d’une publicité politique ciblée. Le traitement a été effectué sans son consentement, suggérant une forte affinité avec le parti d’extrême droite autrichien, le FPÖ. Cela a profondément perturbé le plaignant qui a cherché à obtenir réparation pour le préjudice non matériel subi, en vertu du régime de responsabilité du RGPD.
La CJUE a indiqué que trois conditions doivent être réunies pour avoir droit à une compensation : une infraction au RGPD, un préjudice matériel ou non matériel résultant de cette infraction, et un lien de causalité entre l’infraction et le préjudice subi.
Cela marque un tournant important, car la question de la compensation pour préjudice non matériel en cas d’infraction au RGPD a été sujet à de nombreux débats. Les décisions des juridictions nationales des États membres ont été diverses et variées à cet égard.
Contrairement à l’opinion de l’Avocat Général publiée en octobre de l’année précédente, la CJUE a décidé que le droit à compensation n’est pas limité aux dommages non matériels qui atteignent un certain seuil de gravité.
Quant à l’évaluation des dommages, la CJUE a précisé que c’est à chaque juridiction nationale de prescrire les règles détaillées pour déterminer l’étendue de la compensation, sous réserve que les trois conditions nécessaires soient remplies.
Cette décision prudente, bien que frustrante pour certains juristes, laisse la porte ouverte à davantage de cas à soumettre à la CJUE, étant donné la complexité de la définition de ce que représente un préjudice non matériel.
Il convient de noter que ce verdict pourrait potentiellement ouvrir la voie à une multiplication des actions de groupe pour des compensations de dommages à grande échelle. Par exemple, un réseau social ou un fournisseur de services de télécommunications avec une base de clients de plusieurs millions d’individus pourrait faire face à une compensation globale significative si chaque client a subi un préjudice de 10 euros.
En tant que DPO, il est crucial de prendre en compte cette décision dans la mise en œuvre des politiques de protection des données afin d’assurer le respect du RGPD et de minimiser le risque de préjudice, matériel ou non, pour les personnes dont les données sont traitées.
