UI contre Österreichische Post AG : quand peut-on réclamer un préjudice moral pour violation de données ?

Dans la récente affaire UI contre Österreichische Post AG, il était question de savoir si l'octroi d'une indemnisation au titre de l'article 82 du règlement (UE) 2016/679 1 (du RGPD) était applicable. Il s'agissait de savoir si une personne pouvait demander une indemnisation au titre du RGPD au seul motif que ses droits avaient été violés, ou si elle devait explicitement démontrer qu'elle avait subi un préjudice du fait de la violation.

Il a été conclu qu'une indemnisation ne pouvait être demandée que dans les cas de violation de données où le défendeur a violé le RGPD et où la violation a directement causé un préjudice matériel ou moral à la personne concernée.

 

Détails de l'affaire UI contre Österreichische Post AG

Dans cette affaire, la société postale autrichienne, Österreichische Post, a recueilli des informations sur les affinités politiques de la population autrichienne. Pour ce faire, elle a utilisé un algorithme basé sur divers critères sociaux et démographiques. Les données ainsi générées ont ensuite été vendues à des organisations tierces pour leur permettre à diffuser des publicités ciblées. 

Österreichische Post a traité les données relatives à un citoyen autrichien et a fait des constatations qui l'ont amené à penser que ce citoyen avait des affinités particulièrement élevées pour un certain parti politique. Bien que cette information n'ait pas été transmise à un tiers, ce citoyen autrichien a porté plainte contre la société postale pour avoir traité ses données à caractère personnel sans son consentement et s'est senti offensé par le fait qu’une affinité avec le parti politique en question lui ait été attribuée.

Dans cette affaire, la personne concernée a déclaré que « le fait que des données relatives à ses supposées opinions politiques aient été conservées au sein de cette société aurait suscité chez lui une grave contrariété, une perte de confiance, ainsi qu’un sentiment d’humiliation ». À ce titre, elle a demandé à la cour d'imposer une injonction à Österreichische Post pour qu'elle cesse de traiter ses données à caractère personnel et une indemnisation de 1 000 euros pour le préjudice moral qu'elle prétend avoir subi.

 

Interprétation de l'article 82

La cour a dû interpréter l'article 82 du RGPD qui stipule que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

Les questions clés suivantes ont été examinées (au paragraphe 19) :

  • « L'octroi d'une indemnisation en vertu de l'article 82 (du RGPD) exige-t-il également que le requérant ait subi un préjudice, ou la violation des dispositions du RGPD suffit-elle en soi pour l'octroi d'une indemnisation ?

  • D'autres exigences du droit communautaire doivent-elles être prises en compte lors de l'évaluation de l'indemnisation ?

  • Est-il compatible avec le droit de l'Union européenne que la réparation du préjudice moral ne soit accordée que lorsqu'il y a une conséquence (ou un effet) de la violation au-delà du simple fait d'être contrarié par la violation ? »

 

Points essentiels à retenir

Le préjudice moral se réfère à la douleur et à la souffrance plutôt qu'à la perte financière. Le considérant 146 du RGPD précise qu'une interprétation large de la notion de « préjudice » devrait être adoptée en vertu de l'article 82.

Cette affaire a confirmé que le préjudice moral doit être réparé « s’il est tangible, quand bien même il serait faible ». En revanche, un tel préjudice ne devrait pas être réparé « s’il apparaît totalement négligeable », c'est-à-dire insignifiant ou minime. Dans ce cas, il a été constaté que le simple fait de se sentir affligé ou contrarié n'équivaut pas à un préjudice moral pouvant faire l'objet d'une indemnisation.

« Ce qui est intéressant dans cette affaire, c'est qu'elle crée un précédent pour les autres États membres qui interpréteront les dispositions du RGPD en fonction de leurs propres standards. En vertu de l'article 82, il n'y a pas de seuil minimum pour ce qui est considéré comme un préjudice moral, et il appartient donc à chaque pays d'évaluer la gravité de la perte. Cette affaire clarifie le fait qu'il n'y a pas de droit automatique à l'indemnisation du seul fait de la violation de données ».

Charlotte Gerrish de Gerrish Legal

Les entreprises peuvent se réjouir de ce résultat, car il protège les organisations qui collectent et traitent des données à caractère personnel contre les demandes d'indemnisation dans les cas où le préjudice subi est insignifiant. Elle empêche les particuliers d'intenter des actions et de gagner de l'argent pour une détresse ou une contrariété qui peut être difficile à évaluer, en particulier du fait que chaque personne réagit différemment.

Comment Gerrish Legal peut vous aider ?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal

Previous
Previous

Meta condamné à une amende record par la DPC irlandaise pour violation de données

Next
Next

L'UE propose un nouveau règlement pour protéger les entreprises contre les cyberattaques