Cyberattaques et accès illicite à des données personnelles : quelles conséquences pour le responsable du traitement ?
Dans un contexte de prolifération des cyberattaques visant tant les secteurs privé que public, la Cour de Justice de l’Union européenne (« CJUE ») s’est récemment prononcée sur l’une des nombreuses questions préjudicielles relatives à l’interprétation de l’article 82 du RGPD1 relatif à la responsabilité du responsable du traitement et au droit à réparation des personnes concernées.
Dans un arrêt du 4 mai 2023, la Cour2 est venue définir les contours de la responsabilité du responsable de traitement à travers deux questions clés : (i) la nature de la responsabilité du responsable du traitement et (ii) le type de dommages susceptibles d’être indemnisés lorsque la responsabilité de ce dernier est établie.
Absence de responsabilité automatique du responsable du traitement
Dans cet arrêt, la CJUE a considéré qu’une violation du RGPD ne suffisait pas à conférer un droit à réparation automatique. Ce faisant, elle élève ce régime de responsabilité au même niveau que celui du droit commun en sollicitant la démonstration du fameux triptyque : manquement, dommage et lien de causalité entre les deux.
L’avocat général Giovanni Pitruzzella avait, quelques jours plus tôt, rendu ses conclusions dans une affaire distincte mais également relative à l’interprétation de l’article 82 du RGPD3. Aux termes de celles-ci, l’avocat général a considéré que l’accès non-autorisé à des données personnelles par des tiers dans le cadre d’une cyberattaque ne constitue pas, de facto, un manquement de la part du responsable du traitement à son obligation d’assurer la sécurité des données personnelles qu’il traite prévue à l’article 32 du RGPD4.
Il semblerait dès lors que la CJUE et l’avocat général Pitruzzella soient en ligne sur cette question : il n’y a pas de responsabilité automatique du responsable du traitement en cas de violation du RGPD.
L‘avocat général a également suggéré que, pour se décharger de sa responsabilité, le responsable du traitement doit démontrer que les mesures techniques et organisationnelles en place garantissent une sécurité des données adaptée au risque. À cet égard, l’avocat général a cependant précisé que le responsable du traitement ne peut pas s’exonérer de sa responsabilité au motif que le manquement au RGPD découle des agissements d’un tiers, comme lors d’une cyberattaque.
C’est donc un régime de responsabilité pour faute présumée du responsable du traitement que l’avocat général suggère d’adopter en la matière.
Précisions quant à l’indemnisation
du préjudice moral
Dans l’affaire C-340/21, l’avocat général semble exiger la caractérisation d’un certain « critère de gravité » du dommage moral subi pour que le droit à réparation soit ouvert. En effet, il a considéré qu’une personne dont les données personnelles ont été consultées sans autorisation devait prouver avoir « concrètement et spécifiquement » subi un préjudice émotionnel « réel et certain ». A contrario, l’avocat général a retenu qu’un « simple mécontentement » ne pouvait caractériser un préjudice moral.
Dans l’affaire C-300/21, la Cour a considéré que l’article 82 du RGPD ne subordonnait pas la réparation d’un dommage moral « à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité »5, consacrant ainsi une « conception large de la notion de « dommage »6.
Ces deux approches nous semblent à ce jour difficilement conciliables. Reste à voir si la Cour confirmera sa position dans l’affaire C-340/21. Dans l’affirmative, les conséquences sur les responsables du traitement seront non négligeables dès lors que leur responsabilité pourra alors être engagée pour des violations du RGPD à l’origine de préjudices mineurs.
Quoi qu’il en soit, la tâche de fixer le montant des dommages-intérêts reviendra aux juridictions nationales qui pourraient décider de n’octroyer que des sommes symboliques en cas de préjudice mineur.
D’autres arrêts préjudiciels relatifs à l’interprétation de l’article 82 du RGPD devraient être prochainement rendus7. S’ils favorisent la mise en cause de la responsabilité des responsables du traitement, on pourrait prochainement être confronté à une hausse significative des actions de groupe en la matière, compte tenu de la réforme en cours menée par le législateur français.
Notes
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – dit Règlement Général sur la Protection des Données (« RGPD »).
(2) Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG.
(3) Affaire C-340/21, VB c/ Natsionalna agentsia za prihodite.
(4) Cet article impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles afin d’assurer la sécurité des données personnelles traitées.
(5) Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG, § 51.
(6) Arrêt de la CJUE, affaire C-300/21, 4 mai 2023, UI c/ Österreichische Post AG, § 46.
(7) Voir par exemple les affaires C-687/21, C-741/21, C-590/22 et C-456/22.