Conformité RGPD : La CJUE précise les règles sur la légalité des traitements et sur l’indemnisation

Le registre n'est pas une condition de la licéité d'un traitement, pas de seuil minimum pour le préjudice moral...

Deux décisions de la Cour de justice de l’Union européenne (CJUE) du 4 mai 2023 ont apporté des précisions importantes sur la conformité au RGPD. Nos avocats RGPD vous expliquent les apports de ces décisions :

1. L’absence d’un registre des traitements et d’un accord de co-traitance ne rend pas un traitement de données illicite

Dans l’affaire UZ contre Bundesrepublik Deutschland, le requérant avait introduit une demande de protection internationale auprès de l'Office fédéral des migrations et des réfugiés (Allemagne). Dans ce cadre, l’Office fédéral avait consulté un dossier électronique « MARIS », transmis via une boîte de messagerie électronique.

Or, il s’avérait que l’Office fédéral ne tenait pas de registre des traitements portant sur cette boîte de messagerie et avait donc méconnu l’obligation de l’article 30 du RGPD. De plus, le partage de données entre les différentes administrations allemandes par ce biais n’était pas régi par un accord de responsabilité conjointe, requis par l’article 26 du RGPD.

La question suivante a de ce fait été posée à la CJUE : le manquement au RGPD, constitué par l’absence de registre ou d'accord de co-traitance, rend-il illicite le traitement des données, de sorte que la personne concernée peut demander la suppression de ses données ou la limitation du traitement ?

Sur cette question, la Cour a constaté que les obligations de tenir un registre de traitements et de mettre en place un accord de co-traitance ne font pas partie des « bases légales » requises par l’article 6 du RGPD. 

À cet égard, elle a opéré une distinction entre les « principes » et les « obligations générales » du Règlement et a considéré que le registre et l’accord de co-traitance faisaient parties de la deuxième catégorie.

Par conséquent, la Cour a conclu qu’une violation des articles 26 et 30 du RGPD ne rendait pas un traitement « illicite », en précisant que d’autres mesures sont disponibles pour corriger de tels manquements.

2. Une simple violation du RGPD ne crée pas automatiquement un droit à réparation. Il faut qu’il existe également un préjudice et un lien de causalité entre les deux. Toutefois, il n’y a pas de seuil minimum de gravité à dépasser pour déclencher la réparation d’un préjudice moral.

Dans l’affaire UI contre Österreichische Post AG, une société autrichienne avait collecté des données sur les opinions politiques de la population du pays, utilisant un algorithme pour créer des profils « cibles » à des fins de publicité ciblée. 

Le requérant, qui n’avait pas consenti à ce traitement, s’est plaint du fait que la société en question lui avait attribué une affinité pour un parti politique, sur la base d’une analyse statistique.

Il avait intenté une action devant les tribunaux en Autriche, en demandant une indemnisation de 1.000 euros pour réparer son préjudice moral.

La Cour suprême autrichienne a demandé à la CJUE des précisions quant aux règles relatives au droit à réparation consacré par l’article 82 du RGPD, selon lequel : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

Dans sa décision, la CJUE a notamment dégagé les principes suivants :

1. La simple violation des dispositions du RGPD ne confère pas, en soi, un droit à réparation. En effet, il faut qu’il existe une violation du RGPD et un dommage ou un préjudice, et qu’il y ait un lien de causalité entre le dommage et la violation.
2. La Cour a rappelé à ce titre que les sanctions administratives (ex. une amende de la CNIL) ne sont pas subordonnées à l’existence d’un dommage individuel.
3. La réparation d’un préjudice moral au titre du l’article 82 du RGPD ne peut être conditionnée à un « seuil de gravité ». Ainsi, une règle nationale qui impose une telle condition serait donc contraire au RGPD car elle risquerait notamment de nuire à l’harmonisation des règles au sein de l’UE.
4. Cela dit, les juges nationaux doivent appliquer les règles internes de l’État membre, en question, relatives à l’étendue de l’indemnisation (sous réserve de respecter les principes de l’équivalence et l’effectivité du droit de l’UE).

L’équipe IP/IT – DATA

Nos avocats RGPD et DPO sont à votre disposition pour répondre à toutes vos questions en matière de protection des données et pour vous accompagner sur votre mise en conformité

DÉCOUVREZ NOTRE CYCLE DE FORMATION :
NUMÉRIQUE DATA