Conclusiones del Abogado General Sr. G. Pitruzzella, presentadas el 27 de abril de 2023.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:353
• Date: 27 April 2023
• Celex Number: 62021CC0340
• Court: Court of Justice (European Union)

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. GIOVANNI PITRUZZELLA

présentées le 27 avril 2023 (1)

Affaire C‑340/21

VB

contre

Natsionalna agentsia za prihodite

[demande de décision préjudicielle formée par le Varhoven administrativen sad (Cour suprême administrative, Bulgarie)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Responsabilité du responsable du traitement – Sécurité du traitement – Violation de la sécurité du traitement des données à caractère personnel – Préjudice moral subi du fait d’une inaction du responsable du traitement – Action en réparation »

La diffusion illicite, en raison d’une attaque pirate, de données à caractère personnel détenues par une agence publique peut-elle donner lieu à réparation du préjudice moral au profit de la personne concernée par les données traitées, du seul fait que celle-ci redoute que ses données fassent l’objet d’une utilisation future abusive ? Quels sont les critères permettant d’imputer la responsabilité au responsable du traitement des données ? Comment les obligations en matière de charge de la preuve se répartissent-elles dans le cadre du contentieux ? Quelle est l’étendue du contrôle du juge ?

I. Le cadre juridique

1. L’article 4, intitulé « Définitions », du règlement 2016/679 (2) (ci‑après le « règlement ») dispose :

« Aux fins du présent règlement, on entend par :

(...)

(12) “violation de données à caractère personnel”, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

(...) ».

2. L’article 5, intitulé « Principes relatifs au traitement des données à caractère personnel », énonce :

«1. Les données à caractère personnel doivent être :

(…)

(f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (“intégrité et confidentialité”).

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (“responsabilité”) ».

3. L’article 24 du même règlement, intitulé « Responsabilités du responsable du traitement », dispose :

« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement ».

4. L’article 32, intitulé « Sécurité du traitement », prévoit :

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

(…).

2. Lors de l’évaluation du caractère approprié du niveau de sécurité, il est tenu compte en particulier des risques que présente le traitement, résultant notamment, de manière accidentelle ou illicite, de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données.

3. L’application d'un code de conduite approuvé comme le prévoit l’article 40 ou d'un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

(…) ».

5. L’article 82 du même règlement, intitulé « Droit à réparation et responsabilité », dispose :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. (…).

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ».

II. Les faits, le litige et les questions préjudicielles

6. Le 15 juillet 2019, les médias bulgares ont rendu publique l’information selon laquelle un accès non autorisé au système informatique de la Natsionalna agentsia za prihodite (Agence nationale des recettes publiques, Bulgarie, ci-après la « NAP ») (3) avait été constaté et diverses informations publiées sur Internet, en matière de fiscalité et d’assurances sociales, concernant des millions d’individus tant ressortissants nationaux qu’étrangers.

7. De nombreuses personnes, parmi lesquelles V.B., la requérante au principal, ont alors assigné la NAP devant les tribunaux pour obtenir réparation de leur préjudice moral.

8. En l’espèce, la requérante au principal a saisi l’Administratibven sad Sofia-grad (tribunal administratif de la ville de Sofia, Bulgarie ; ci‑après: l’« ASSG »), faisant valoir que la NAP avait violé la réglementation nationale ainsi que l’obligation, en sa qualité de responsable du traitement des données, de traiter les données à caractère personnel de façon à « garantir un niveau de sécurité approprié » en adoptant des mesures techniques et organisationnelles appropriées conformément aux articles 24 et 32 du règlement n° 679/2016. La requérante a affirmé en outre avoir subi un préjudice moral se manifestant par une inquiétude et des craintes que ses données à caractère personnel puissent faire l’objet d’une utilisation future abusive.

9. La défenderesse a fait valoir, pour sa part, qu’elle n’avait reçu aucune demande de la requérante au principal visant à s’enquérir des données à caractère personnel précises auxquelles il avait été accédé. En outre, une fois informée de l’intrusion, elle indique voir organisé des réunions avec les experts afin de protéger les droits et les intérêts des citoyens. Selon la NAP, le lien de causalité entre la cyberattaque et le préjudice allégué serait inexistant, l’agence ayant mis en œuvre tous les systèmes de gestion des processus et de la sécurité des informations conformément aux normes internationales en vigueur en la matière.

10. La juridiction de première instance, l’ASSG, a rejeté le recours, estimant que la diffusion des données n’était pas imputable à l’agence, que c’était à la requérante qu’incombait la charge de prouver le caractère (in)approprié des mesures adoptées et, enfin, qu’il n’existait pas de préjudice moral indemnisable.

11. Le jugement de première instance a ensuite fait l’objet d’un pourvoi en cassation devant le Varhoven administrativen sad (Cour suprême administrative, Bulgarie). Parmi les moyens soulevés, la requérante au principal a fait valoir que la juridiction de première instance aurait commis une erreur au sujet de la répartition de la charge de la preuve du défaut d’adoption de mesures de sécurité. Le préjudice moral ne devrait pas non plus constituer l’objet d’une preuve à administrer, dès lors qu’il s’agit d’un dommage moral réel et non purement potentiel.

12. De son côté, la NAP a maintenu avoir pris les mesures techniques et organisationnelles nécessaires en sa qualité de responsable du traitement et a contesté l’existence de la preuve d’un préjudice moral réel. L’anxiété et les craintes seraient, en effet, des états émotionnels n’ouvrant pas droit à réparation.

13. La juridiction de renvoi a constaté que les actions intentées par les personnes lésées à l’encontre de la NAP en vue d’obtenir réparation de leur dommage moral avaient abouti à des résultats disparates.

14. C’est dans ce contexte que la juridiction de renvoi a sursis à statuer et a saisi la Cour des questions préjudicielles suivantes :

Les dispositions des articles 24 et 32 du règlement (UE) 2016/679 peuvent-elles être interprétées en ce sens qu’une divulgation ou un accès non autorisés à des données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, par des personnes qui ne sont pas des employés de l’administration du responsable du traitement des données à caractère personnel et ne sont pas sous le contrôle de celui-ci, suffit pour considérer que les mesures techniques et organisationnelles mises en œuvre n’étaient pas appropriées ?

En cas de réponse négative à la première question préjudicielle, quels doivent être l’objet et l’étendue du contrôle juridictionnel de légalité lors de l’examen du point de savoir si les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel en vertu de l’article 32 du règlement (UE) 2016/679 sont appropriées ?

En cas de réponse négative à la...