La crainte d’un potentiel usage abusif de ses données personnelles par un tiers à la suite de la cyberattaque d’une agence publique suffit en en soi à constituer un dommage moral (14 décembre)
Arrêt Natsionalna agentsia za prihodite, aff. C-340/21
Saisie d’un renvoi préjudiciel par le Varhoven administrativen sad (Bulgarie), la Cour de justice de l’Union européenne a interprété le règlement (UE) 2016/679 (dit « RGPD »). En l’espèce, l’Agence nationale des recettes publiques est responsable du traitement de données à caractère personnel, notamment obtenues pour le recouvrement des créances publiques. En 2019, à la suite d’une cyberattaque, les données de millions de personnes ont été publiées sur internet. La Cour considère que la divulgation ou l’accès non-autorisés à de telles données par un tiers ne suffisent pas à eux seuls à considérer que les mesures mises en œuvre par le responsable du traitement des données personnelles n’étaient pas appropriées au sens du RGPD et rappelle qu’il incombe au responsable du traitement de le prouver. En outre, elle estime que dans une situation de cyberattaque comme en l’espèce, le responsable du traitement peut être tenu d’indemniser les personnes qui ont subi un dommage, sauf à démontrer que celui-ci ne lui est pas imputable. Enfin, elle considère que la crainte ressentie par une personne d’un potentiel usage abusif de ses données par des tiers à la suite d’une violation du RGPD est susceptible, à elle seule, de constituer un dommage moral. (AD)