La mera violazione delle disposizioni del GDPR in materia di protezione dei dati personali (Regolamento europeo 679/2016) fa sorgere in sé il diritto a un risarcimento, oppure occorre comunque dimostrare un danno?
È questa la domanda a cui risponde la Corte di giustizia con la sentenza del 4 maggio 2023 (C 300/21).
I giudici europei precisano che la mera violazione del GDPR non è sufficiente per dare diritto al risarcimento, ma occorre dimostrare un danno materiale o immateriale derivante da tale violazione e un nesso di causalità tra il danno e la violazione.
Il caso di specie riguardava la Österreichische Post, il principale operatore postale in Austria, che aveva raccolto informazioni sulle affinità politiche della popolazione austriaca senza il consenso degli interessati. Un cittadino coinvolto nel caso aveva chiesto un risarcimento di 1.000 euro per il danno immateriale subito, sostenendo di aver provato grave contrarietà, perdita di fiducia e umiliazione a causa del trattamento dei suoi dati personali.
La Corte suprema austriaca si rivolge in via pregiudiziale alla Corte di giustizia esprimendo dei dubbi in merito alla portata del diritto al risarcimento che il regolamento generale sulla protezione dei dati prevede in caso di danno materiale o immateriale derivante da una violazione dello stesso.
La Corte di Giustizia ha stabilito che il diritto al risarcimento previsto dal GDPR è subordinato a tre condizioni cumulative:
I giudici di Lussemburgo hanno inoltre precisato che il diritto al risarcimento non è riservato ai danni immateriali che raggiungono una determinata soglia di gravità.
Per quanto riguarda la determinazionedell'importo del risarcimento, la Corte ha rilevato che il GDPR non contiene disposizioni specifiche a riguardo. Spetta dunque all'ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni volte a garantire la salvaguardia dei diritti derivanti dal GDPR, nel rispetto dei principi di equivalenza e di effettività.
ARRÊT DE LA COUR (troisième chambre)
4 mai 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 82, paragraphe 1 – Droit à réparation du dommage causé par le traitement de données effectué en violation de ce règlement – Conditions du droit à réparation – Insuffisance d’une simple violation dudit règlement – Nécessité d’un préjudice causé par ladite violation – Réparation d’un dommage moral résultant d’un tel traitement – Incompatibilité d’une règle nationale subordonnant la réparation d’un tel dommage au dépassement d’un seuil de gravité – Règles de fixation des dommages-intérêts par les juges nationaux »
Dans l’affaire C-300/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 15 avril 2021, parvenue à la Cour le 12 mai 2021, dans la procédure
UI
contre
Österreichische Post AG,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. M. Safjan, N. Piçarra, N. Jääskinen (rapporteur) et M. Gavalec, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour UI, par lui-même, en qualité de Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par M. A. Posch, Mme J. Schmoll et M. G. Kunnert, en qualité d’agents,
– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vlácil, en qualité d’agents,
– pour l’Irlande, par Mme M. Browne, M. A. Joyce, Mme M. Lane et M. M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,
– pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 6 octobre 2022,
rend le présent
Arrêt
1 La présente demande de décision préjudicielle porte sur l’interprétation de l’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lu en combinaison avec les principes d’équivalence et d’effectivité.
2 Cette demande a été présentée dans le cadre d’un litige opposant UI à Österreichische Post AG, au sujet du recours introduit par le premier tendant à obtenir la réparation du préjudice moral qu’il affirme avoir subi en raison du traitement par cette société de données relatives aux affinités politiques de personnes résidant en Autriche, en particulier lui-même, alors qu’il n’avait pas consenti à un tel traitement.
Le cadre juridique
3 Les considérants 10, 75, 85 et 146 du RGPD sont libellés comme suit :
« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, [...]
[...]
(85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]
[...]
(146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à ses paragraphes 1 et 2 :
« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 Aux termes de l’article 4, point 1, de ce règlement, intitulé « Définitions » :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...] »
6 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », contient les articles 77 à 84 de ce règlement.
7 L’article 77 dudit règlement a trait au « [d]roit d’introduire une réclamation auprès d’une autorité de contrôle », tandis que son article 78 est relatif au « [d]roit à un recours juridictionnel effectif contre une autorité de contrôle ».
8 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », énonce, à ses paragraphes 1 et 2 :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. [...] »
9 L’article 83 de ce règlement, intitulé « Conditions générales pour imposer des amendes administratives », prévoit, à son paragraphe 1 :
« Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. »
10 L’article 84 dudit règlement, intitulé « Sanctions », dispose, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
Le litige au principal et les questions préjudicielles
11 À compter de l’année 2017, Österreichische Post, société de droit autrichien pratiquant la vente d’adresses, a collecté des informations sur les affinités politiques de la population autrichienne. À l’aide d’un algorithme prenant en compte divers critères sociaux et démographiques, elle a défini des « adresses de groupes cibles ». Les données ainsi générées ont été vendues à différentes organisations, pour leur permettre de procéder à des envois ciblés de publicité.
12 Dans le cadre de son activité, Österreichische Post a traité des données qui, par voie d’extrapolation statistique, l’ont amenée à inférer une affinité élevée du requérant au principal avec un certain parti politique autrichien. Ces éléments n’ont pas été transmis à des tiers, mais le requérant au principal, qui n’avait pas consenti au traitement de ses données à caractère personnel, s’est senti offensé par le fait qu’une affinité avec le parti en question lui ait été attribuée. Le fait que des données relatives à ses supposées opinions politiques aient été conservées au sein de cette société aurait suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation. Il ressort de la décision de renvoi qu’aucun préjudice autre que ces atteintes à caractère temporaire et d’ordre émotionnel n’a été constaté.
13 Dans ce contexte, le requérant au principal a formé, devant le Landesgericht für Zivilrechtssachen Wien (tribunal régional statuant en matière civile de Vienne, Autriche), un recours tendant, d’une part, à ce qu’il soit enjoint à Österreichische Post de cesser le traitement des données à caractère personnel en question et, d’autre part, à ce que cette société soit condamnée à lui verser un montant de 1 000 euros à titre de réparation du préjudice moral qu’il affirme avoir subi. Par décision du 14 juillet 2020, cette juridiction a fait droit à la demande de cessation, mais a rejeté la demande d’indemnisation.
14 Saisi en appel, l’Oberlandesgericht Wien (tribunal régional supérieur de Vienne, Autriche) a confirmé, par arrêt du 9 décembre 2020, la décision rendue en première instance. S’agissant de la demande d’indemnisation, cette juridiction s’est référée aux considérants 75, 85 et 146 du RGPD et a estimé que les dispositions de droit interne des États membres en matière de responsabilité civile complètent les dispositions de ce règlement, pour autant que celui-ci ne contient pas de règles spéciales. À cet égard, elle a relevé que, en vertu du droit autrichien, une violation des normes de protection des données à caractère personnel n’entraînerait pas automatiquement un préjudice moral et n’ouvrirait droit à réparation que lorsqu’un tel préjudice atteint un certain « seuil de gravité ». Or, tel ne serait pas le cas s’agissant des sentiments négatifs que le requérant au principal avait invoqués.
15 Saisi par les deux parties au principal, l’Oberster Gerichtshof (Cour suprême, Autriche), par arrêt interlocutoire du 15 avril 2021, n’a pas fait droit au recours en Revision qu’Österreichische Post a formé contre l’obligation de cessation qui lui avait été imposée. Dès lors, cette juridiction demeure saisie uniquement du recours en Revision que le requérant au principal a formé contre le rejet de sa demande d’indemnisation qui lui avait été opposé.
16 À l’appui de sa demande de décision préjudicielle, la juridiction de renvoi indique qu’il ressort du considérant 146 du RGPD que l’article 82 de ce règlement a instauré un régime propre de responsabilité en matière de protection des données à caractère personnel, qui a supplanté les régimes en vigueur dans les États membres. Dès lors, les notions figurant à cet article 82, en particulier la notion de « dommage » visée à son paragraphe 1, devraient être interprétées de manière autonome et les conditions de mise en œuvre de ladite responsabilité devraient être définies au regard non pas des règles de droit national, mais des exigences du droit de l’Union.
17 Plus précisément, en premier lieu, s’agissant du droit à une indemnisation au titre d’une violation de la protection des données à caractère personnel, cette juridiction tend à considérer, à la lumière de la sixième phrase du considérant 146 du RGPD, qu’une réparation fondée sur l’article 82 de ce règlement présuppose qu’un dommage matériel ou moral ait été réellement subi par la personne concernée. L’octroi d’une telle réparation serait subordonné à la preuve d’un préjudice concret distinct de ladite violation, laquelle n’établirait pas en elle-même l’existence d’un dommage moral. Le considérant 75 dudit règlement évoquerait la simple éventualité qu’un préjudice moral résulte des violations qui y sont énumérées et, si son considérant 85 mentionne certes le risque d’une « perte de contrôle » des données affectées, ce risque serait toutefois incertain en l’occurrence, puisque celles-ci n’auraient pas été transmises à un tiers.
18 En deuxième lieu, s’agissant de l’évaluation de l’indemnisation susceptible d’être accordée au titre de l’article 82 du RGPD, ladite juridiction estime que le principe d’effectivité du droit de l’Union doit avoir une incidence limitée, aux motifs que ce règlement prévoit déjà de lourdes sanctions en cas de violation de celui-ci et qu’il n’est donc pas nécessaire d’allouer en outre des dommages-intérêts élevés pour garantir son effet utile. Selon elle, la réparation du préjudice due à ce titre doit être proportionnée, effective et dissuasive, afin que les dommages-intérêts alloués puissent remplir une fonction compensatoire, mais non revêtir un caractère punitif, lequel serait étranger au droit de l’Union.
19 En troisième lieu, la juridiction de renvoi met en doute la thèse, défendue par Österreichische Post, selon laquelle l’octroi d’une telle indemnisation serait subordonné à la condition que la violation de la protection des données à caractère personnel ait causé un préjudice particulièrement grave. À cet égard, elle souligne que le considérant 146 du RGPD préconise une interprétation large de la notion de « préjudice », au sens de ce règlement. Elle estime qu’un préjudice moral doit être réparé, en vertu de l’article 82 de celui-ci, s’il est tangible, quand bien même il serait faible. En revanche, un tel préjudice ne devrait pas être réparé s’il apparaît totalement négligeable, comme cela serait le cas en présence des simples sentiments désagréables qui accompagnent habituellement une telle violation.
20 Dans ces conditions, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Pour allouer des dommages-intérêts en vertu de l’article 82 du RGPD [...], est-il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages intérêts ?
2) Aux fins de l’évaluation des dommages-intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?
3) La position selon laquelle, pour accorder [la réparation d’]un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? »
Sur les questions préjudicielles
Sur la recevabilité des première et deuxième questions
21 Le requérant au principal soutient, en substance, que la première question posée est irrecevable, au motif qu’elle est hypothétique. Il fait valoir, d’abord, que son action en indemnisation n’est pas fondée sur une « simple » violation d’une disposition du RGPD. Ensuite, la décision de renvoi évoquerait l’existence d’un consensus sur le fait qu’une réparation n’est due que lorsqu’une telle violation s’accompagne d’un préjudice effectivement subi. Enfin, selon lui, seul semble contesté entre les parties au principal le point de savoir s’il faut que le préjudice dépasse un certain « seuil de gravité ». Or, si la Cour répondait à la troisième question posée à ce sujet par la négative – comme lui-même le propose –, la première question serait alors dénuée d’utilité pour trancher ledit litige.
22 Le requérant au principal prétend également que la deuxième question posée est irrecevable, au motif que celle-ci est à la fois très large s’agissant de son contenu et trop imprécise s’agissant de sa formulation, étant donné que la juridiction de renvoi vise des « exigences du droit de l’Union », sans indiquer concrètement l’une d’entre elles.
23 À cet égard, il convient de rappeler que, selon une jurisprudence constante, il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour, lesquelles bénéficient d’une présomption de pertinence. Partant, dès lors que la question posée porte sur l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer, sauf s’il apparaît de manière manifeste que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile à ladite question (voir, en ce sens, arrêts du 15 décembre 1995, Bosman, C-415/93, EU:C:1995:463, point 61 ; du 7 septembre 1999, Beck et Bergdorf, C-355/97, EU:C:1999:391, point 22, ainsi que du 5 mai 2022, Zagrebacka banka, C-567/20, EU:C:2022:352, point 43 et jurisprudence citée).
24 Dans la présente procédure, la première question porte sur les conditions requises pour l’exercice du droit à réparation prévu à l’article 82 du RGPD. En outre, il n’apparaît pas de manière manifeste que l’interprétation sollicitée soit dépourvue de rapport avec le litige au principal ou que le problème soulevé revête un caractère hypothétique. En effet, d’une part, ce litige a trait à une demande d’indemnisation relevant du régime de protection des données à caractère personnel instauré par le RGPD. D’autre part, cette question tend à déterminer si, aux fins de l’application des règles de responsabilité énoncées par ce règlement, il est nécessaire que la personne concernée ait subi un dommage se distinguant de la violation de celui-ci.
25 En ce qui concerne la deuxième question, il a déjà été jugé que le seul fait que la Cour soit appelée à se prononcer en des termes abstraits et généraux ne saurait avoir pour effet d’entraîner l’irrecevabilité d’une demande de décision préjudicielle (arrêt du 15 novembre 2007, International Mail Spain, C-162/06, EU:C:2007:681, point 24). Une question posée en de tels termes peut être considérée comme étant hypothétique, et donc irrecevable, si la décision de renvoi ne contient pas un minimum d’explications permettant d’établir un lien entre ladite question et le litige au principal (voir, en ce sens, arrêt du 8 juillet 2021, Sanresa, C-295/20, EU:C:2021:556, points 69 et 70).
26 Or, tel n’est pas le cas en l’occurrence, puisque la juridiction de renvoi explique que sa deuxième question repose sur un doute concernant le point de savoir si, dans le cadre de l’évaluation des dommages-intérêts possiblement dus par Österreichische Post en raison d’une violation de dispositions du RGPD, il est nécessaire de veiller au respect non seulement des principes d’équivalence et d’effectivité, qui sont mentionnés dans cette question, mais aussi d’éventuelles autres exigences du droit de l’Union. Dans ce contexte, l’absence d’indications plus précises que celles fournies par cette juridiction au sujet desdits principes ne prive pas la Cour de son aptitude à livrer une interprétation utile des règles pertinentes du droit de l’Union.
27 Dès lors, les première et deuxième questions posées sont recevables.
Sur le fond
Sur la première question
28 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement suffit pour conférer un droit à réparation.
29 À cet égard, il y a lieu de rappeler que, selon une jurisprudence constante, les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme [arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) C-439/19, EU:C:2021:504, point 81, et du 10 février 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, point 21], laquelle doit, notamment, être recherchée en tenant compte du libellé de la disposition concernée et du contexte dans lequel elle s’inscrit (voir, en ce sens, arrêts du 15 avril 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, point 48, ainsi que du 10 juin 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, point 25).
30 Or, le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à l’article 82 de ce règlement, en particulier s’agissant des notions de « dommage matériel ou moral » et de « réparation du préjudice subi ». Il en résulte que ces termes doivent être considérés, aux fins de l’application dudit règlement, comme constituant des notions autonomes du droit de l’Union, qui doivent être interprétées de manière uniforme dans l’ensemble des États membres.
31 En premier lieu, s’agissant du texte de l’article 82 du RGPD, il convient de rappeler que le paragraphe 1 de cet article énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
32 D’une part, il ressort clairement du libellé de cette disposition que l’existence d’un « dommage » ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à ladite disposition, tout comme l’existence d’une violation du RGPD et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives.
33 Partant, il ne saurait être considéré que toute « violation » des dispositions du RGPD ouvre, à elle seule, ledit droit à réparation au profit de la personne concernée, telle que définie à l’article 4, point 1, de ce règlement. Une telle interprétation irait à l’encontre du libellé de l’article 82, paragraphe 1, dudit règlement.
34 D’autre part, il importe de souligner que la mention distincte d’un « dommage » et d’une « violation », à l’article 82, paragraphe 1, du RGPD, serait superflue si le législateur de l’Union avait considéré qu’une violation des dispositions de ce règlement puisse suffire, à elle seule et en toute hypothèse, pour fonder un droit à réparation.
35 En second lieu, l’interprétation littérale qui précède est corroborée par le contexte dans lequel s’insère cette disposition.
36 En effet, l’article 82, paragraphe 2, du RGPD, qui précise le régime de responsabilité dont le principe est établi au paragraphe 1 de cet article, reprend les trois conditions nécessaires pour faire naître le droit à réparation, à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée, et un lien de causalité entre ce traitement illicite et ce dommage.
37 En outre, les précisions fournies par les considérants 75, 85 et 146 du RGPD confortent cette interprétation. D’une part, ce considérant 146, qui porte spécifiquement sur le droit à réparation prévu à l’article 82, paragraphe 1, de ce règlement, se réfère, à sa première phrase, au « dommage qu’une personne peut subir du fait d’un traitement effectué en violation [dudit] règlement ». D’autre part, ces considérants 75 et 85 mentionnent, respectivement, que « [d]es risques [...] peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages » et qu’une « violation de données à caractère personnel [...] risque [...] de causer [...] des dommages ». Il en ressort, premièrement, que la réalisation d’un dommage dans le cadre d’un tel traitement n’est que potentielle, deuxièmement, qu’une violation du RGPD n’entraîne pas nécessairement un dommage et, troisièmement, qu’un lien de causalité doit exister entre la violation en cause et le dommage subi par la personne concernée pour fonder un droit à réparation.
38 L’interprétation littérale de l’article 82, paragraphe 1, du RGPD est également corroborée par une comparaison avec d’autres dispositions qui figurent aussi au chapitre VIII de ce règlement, lequel régit, notamment, les différentes voies de recours permettant de protéger les droits de la personne concernée en cas de traitement de ses données à caractère personnel prétendument contraire aux dispositions dudit règlement.
39 À cet égard, il y a lieu de relever que les articles 77 et 78 du RGPD, contenus audit chapitre, prévoient des voies de recours auprès de ou contre une autorité de contrôle, en cas de violation alléguée de ce règlement, sans qu’il y soit mentionné que la personne concernée doit avoir subi un « dommage » ou un « préjudice » pour pouvoir introduire de tels recours, contrairement aux termes employés audit article 82 en ce qui concerne les actions en réparation. Cette différence de formulation est révélatrice de l’importance du critère du « dommage » ou du « préjudice », et donc de sa singularité par rapport au critère de la « violation », aux fins des demandes en réparation fondées sur le RGPD.
40 De même, les articles 83 et 84 du RGPD, qui permettent d’infliger des amendes administratives ainsi que d’autres sanctions, ont essentiellement une finalité punitive et ne sont pas subordonnées à l’existence d’un dommage individuel. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites.
41 Enfin, il importe de préciser que le considérant 146, quatrième phrase, du RGPD indique que les règles énoncées par ce dernier s’appliquent sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre.
42 Eu égard à l’ensemble des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation.
Sur la troisième question
43 Par sa troisième question, qu’il convient d’examiner avant la deuxième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
44 À cet égard, il convient de rappeler que, comme cela a été souligné au point 30 du présent arrêt, la notion de « dommage » et, plus spécifiquement en l’occurrence, la notion de « dommage moral », au sens de l’article 82 du RGPD, doivent recevoir, eu égard à l’absence de toute référence au droit interne des États membres, une définition autonome et uniforme, propre au droit de l’Union.
45 En premier lieu, le RGPD ne définit pas la notion de « dommage », aux fins de l’application de cet instrument. L’article 82 de celui-ci se limite à énoncer de manière explicite que sont susceptibles d’ouvrir droit à une réparation non seulement un « dommage matériel », mais aussi un « dommage moral », sans qu’il soit fait mention d’un quelconque seuil de gravité.
46 En deuxième lieu, le contexte dans lequel s’insère cette disposition tend également à indiquer que le droit à réparation n’est pas subordonné à ce que le dommage considéré atteigne un certain seuil de gravité. En effet, le considérant 146 du RGPD, énonce, à sa troisième phrase, que « la notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs [de ce règlement] ». Or, cette conception large de la notion de « dommage » ou de « préjudice », privilégiée par le législateur de l’Union, serait contredite si ladite notion était circonscrite aux seuls dommages ou aux seuls préjudices d’une certaine gravité.
47 En troisième et dernier lieu, une telle interprétation est corroborée par les finalités poursuivies par le RGPD. À cet égard, il importe de rappeler que le considérant 146, troisième phrase, de ce règlement invite expressément à tenir « pleinement compte des objectifs [dudit] règlement » pour définir la notion de « dommage », au sens de celui-ci.
48 Il ressort, en particulier, du considérant 10 du RGPD que les dispositions de celui-ci ont, notamment, pour objectifs d’assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement de telles données dans l’ensemble de l’Union [voir, en ce sens, arrêts du 16 juillet 2020, Facebook Ireland et Schrems, C-311/18, EU:C:2020:559, point 101, ainsi que du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C-154/21, EU:C:2023:3, point 44 et jurisprudence citée].
49 Or, subordonner la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD, puisque la graduation d’un tel seuil, dont dépendrait la possibilité ou non d’obtenir ladite réparation, serait susceptible de fluctuer en fonction de l’appréciation des juges saisis.
50 Il n’en demeure pas moins que l’interprétation ainsi retenue ne saurait être comprise comme impliquant qu’une personne concernée par une violation du RGPD ayant eu des conséquences négatives à son encontre serait dispensée de démontrer que ces conséquences sont constitutives d’un dommage moral, au sens de l’article 82 de ce règlement.
51 Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
Sur la deuxième question
52 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 82 du RGPD doit être interprété en ce sens que, aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, dans le respect non seulement des principes d’équivalence et d’effectivité du droit de l’Union.
53 À cet égard, il importe de rappeler que, conformément à une jurisprudence constante, en l’absence de règles de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre de régler les aspects procéduraux des recours en justice destinés à assurer la sauvegarde des droits des justiciables, en vertu du principe de l’autonomie procédurale, à condition, toutefois, que ces modalités ne soient pas, dans les situations relevant du droit de l’Union, moins favorables que celles régissant des situations similaires soumises au droit interne (principe d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) (voir, en ce sens, arrêts du 13 décembre 2017, El Hassani, C-403/16, EU:C:2017:960, point 26, et du 15 septembre 2022, Uniqa Versicherungen, C-18/21, EU:C:2022:682, point 36).
54 En l’occurrence, il y a lieu de relever que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages-intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui-ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Partant, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect desdits principes d’équivalence et d’effectivité (voir, par analogie, arrêt du 13 juillet 2006, Manfredi e.a., C-295/04 à C-298/04, EU:C:2006:461, points 92 et 98).
55 S’agissant du principe d’équivalence, dans la présente procédure, la Cour ne dispose d’aucun élément de nature à susciter un doute sur la conformité à ce principe d’une réglementation nationale qui serait applicable au litige au principal et, partant, de nature à indiquer que ledit principe serait susceptible d’avoir une incidence concrète dans le cadre de ce litige.
56 S’agissant du principe d’effectivité, il appartient à la juridiction de renvoi de déterminer si les modalités prévues en droit autrichien, pour la fixation judiciaire des dommages-intérêts dus au titre du droit à réparation consacré à l’article 82 du RGPD, ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union, et plus spécifiquement par ce règlement.
57 Dans ce cadre, il convient de souligner que le considérant 146, sixième phrase, du RGPD indique que cet instrument tend à assurer une « réparation complète et effective pour le dommage subi ».
58 À cet égard, compte tenu de la fonction compensatoire du droit à réparation prévu à l’article 82 du RGPD, ainsi que M. l’avocat général l’a souligné, en substance, aux points 39, 49 et 52 de ses conclusions, une réparation pécuniaire fondée sur cette disposition doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts punitifs.
59 Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la deuxième question que l’article 82 du RGPD doit être interprété en ce sens que, aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Sur les dépens
60 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) L’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation.
2) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
3) L’article 82 du règlement 2016/679
doit être interprété en ce sens que :
aux fins de la fixation du montant des dommages-intérêts dus au titre du droit à réparation consacré à cet article, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés.
Signatures
* Langue de procédure : l’allemand.