La simple violation du règlement UE 2016/679 (dit « RGPD ») n’ouvre pas un droit à réparation, 3 conditions cumulatives devant être réunies (4 mai)
Arrêt Österreichische Post (Préjudice moral lié au traitement de données personnelles), aff. C-300/21
Saisie d’un renvoi préjudiciel par l’Oberster Gerichtshof (Autriche), la Cour de justice de l’Union européenne précise les modalités du droit à réparation prévu par le RGPD. Dans un 1er temps, elle rappelle la subordination de ce droit à réparation à 3 conditions cumulatives, à savoir une violation du RGPD, un dommage matériel ou moral résultant de cette violation ainsi qu’un lien de causalité établi entre le dommage et la violation. Par conséquent, la simple violation du RGPD ne fonde pas, à elle seule, un droit à réparation. Dans un 2ème temps, la Cour souligne que le droit à réparation prévu par le RGPD n’est cependant pas limité aux dommages moraux atteignant un certain seuil de gravité, le législateur ayant retenu une conception large des notions de « dommage » et de « préjudice ». Dans un 3ème temps, elle constate qu’il appartient aux Etats membres de préciser, au sein de leurs ordres juridiques nationaux, les modalités d’évaluation des dommages-intérêts et en particulier les critères permettant de déterminer l’étendue de la réparation due dans le cadre du RGPD. Ces précisions nationales doivent toutefois être effectuées dans le respect des principes d’équivalence et d’effectivité. (NR)