Opinion of Advocate General Campos Sánchez-Bordona delivered on 6 October 2022.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• ECLI: ECLI:EU:C:2022:756
• Celex Number: 62021CC0300
• Date: 06 October 2022

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 6 octobre 2022(1)

Affaire C‑300/21

UI

contre

Österreichische Post AG

[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Préjudice moral résultant d’un traitement illicite de données – Conditions du droit à réparation – Préjudice dépassant un certain seuil de gravité »

1. Le règlement (UE) 2016/679 (2) confère à toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions le droit d’obtenir réparation de la part du responsable du traitement ou du sous-traitant.

2. La possibilité de faire valoir ce droit en justice existait déjà dans la réglementation précédente (article 23 de la directive 95/46/CE) (3), bien qu’elle ait été peu exercée (4). Sauf erreur de ma part, la Cour n’a pas eu l’occasion d’interpréter spécifiquement cet article.

3. Sous l’empire du RGPD, les actions en réparation ont gagné en importance (5). Leur augmentation est perceptible devant les juridictions des États membres et se reflète dans les renvois préjudiciels y afférents (6). Par la présente demande de décision préjudicielle, l’Oberster Gerichtshof (Cour suprême, Autriche) invite la Cour à préciser certaines caractéristiques communes du régime de responsabilité civile instauré par le RGPD.

I. Le cadre juridique. Le RGPD

4. Sont pertinents aux fins du présent litige, notamment, les considérants 75, 85 et 146 du RGPD.

5. L’article 6, intitulé « Licéité du traitement », se lit comme suit :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

6. L’article 79, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, en son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

7. L’article 82, intitulé « Droit à réparation et responsabilité », énonce, en son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

II. Les faits, le litige et les questions préjudicielles

8. Depuis 2017, Österreichische Post AG, société éditrice d’adresses, collectait des informations sur les affinités partisanes de la population autrichienne. À l’aide d’un algorithme, elle définissait les « adresses de groupes cibles » selon des critères sociodémographiques.

9. UI est une personne physique à l’égard de laquelle Österreichische Post a effectué une extrapolation, sur la base d’un calcul statistique, pour déterminer sa classification au sein de possibles groupes cibles pour la publicité électorale de plusieurs partis politiques. Il ressortait de cette extrapolation qu’UI présentait une forte affinité avec l’un d’entre eux. Ces données n’ont pas été transférées à des tiers.

10. UI, qui n’avait pas consenti au traitement de ses données à caractère personnel, s’est senti contrarié par le fait que les données portant sur ses affinités partisanes aient été conservées ; il s’est également senti indigné et blessé par l’affinité qu’Österreichische Post lui avait concrètement attribuée.

11. UI a demandé le versement de 1 000 euros de dommages-intérêts en réparation du préjudice moral subi (désagréments intérieurs). Il fait valoir que l’affinité politique qui lui est attribuée est une insulte et une honte, et qu’elle est en outre diffamante. Le comportement d’Österreichische Post, ajoute-t-il, a suscité chez lui une grave contrariété et une perte de confiance, ainsi qu’un sentiment d’humiliation.

12. La juridiction de première instance a rejeté la demande de paiement d’UI (7).

13. La juridiction d’appel a confirmé le jugement de première instance. Elle a déclaré que toute violation du RGPD n’entraînait pas automatiquement un droit à réparation du préjudice moral et que :

– le droit autrichien étant applicable en sus du RGPD, seuls les préjudices allant au-delà du mécontentement ou de l’atteinte aux sentiments (« Gefühlsschaden ») causés par la violation des droits du requérant sont indemnisables ;

– il convient de respecter le principe, qui sous-tend la réglementation autrichienne, selon lequel chacun doit supporter une simple gêne ou un simple désagrément, puisqu’ils sont sans conséquence en matière d’indemnisation. En d’autres termes, le droit à réparation exige que le préjudice allégué revête une certaine gravité.

14. L’arrêt de la juridiction d’appel a fait l’objet d’un recours devant l’Oberster Gerichtshof (Cour suprême), qui saisit la Cour des questions préjudicielles suivantes :

« 1) Pour allouer des dommages‑intérêts en vertu de l’article 82 du RGPD [...], est-il exigé, à côté d’une violation des dispositions du RGPD, que le requérant ait subi un préjudice ou bien une violation des dispositions du RGPD suffit-elle déjà en soi pour allouer des dommages‑intérêts ?

2) Aux fins de l’évaluation des dommages‑intérêts, existe-t-il, à côté des principes d’effectivité et d’équivalence, d’autres exigences du droit de l’Union ?

3) La position selon laquelle, pour accorder un préjudice moral, la condition est qu’il existe une conséquence ou un effet de la violation du droit ayant au moins un certain poids et allant au-delà du mécontentement suscité par la violation du droit est-elle compatible avec le droit de l’Union ? »

III. La procédure devant la Cour

15. La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 12 mai 2021.

16. Des observations écrites ont été déposées par UI, Österreichische Post, les gouvernements autrichien, tchèque, irlandais ainsi que par la Commission européenne. La tenue d’une audience n’a pas été jugée nécessaire.

IV. Analyse

A. Remarques liminaires

1. Recevabilité

17. UI soutient que la première question préjudicielle n’est pas pertinente aux fins du litige au principal, sa demande étant fondée non pas sur la « simple » violation d’une disposition du RGPD, mais sur les conséquences ou les effets d’une telle violation.

18. L’exception d’irrecevabilité doit être rejetée. Même si l’on admettait que le traitement de données a violé le RGPD sans causer de préjudice à UI, celui-ci pourrait bénéficier d’un droit à réparation au titre de l’article 82 du RGPD, si, comme le demande la juridiction de renvoi, il devait être confirmé que la simple violation d’une règle relative au traitement ouvre droit à une telle réparation.

19. Selon UI, la Cour pourrait également considérer la deuxième question préjudicielle comme étant irrecevable au motif qu’elle serait très ouverte quant à son contenu et excessivement limitée en ce qui concerne les exigences du droit de l’Union, dans la mesure où elle n’en mentionne aucune en particulier.

20. Cette objection, bien que mieux fondée que la précédente, ne saurait pas davantage prospérer. Il est légitime pour une juridiction de chercher à savoir si, au-delà du respect des principes d’équivalence et d’effectivité, elle doit apprécier d’autres exigences imposées par le droit de l’Union pour évaluer le préjudice.

2. Délimitation de l’objet des présentes conclusions

21. L’article 82 du RGPD comporte six paragraphes. La juridiction de renvoi n’en vise aucun en particulier, mais se réfère implicitement au premier d’entre eux. Elle ne précise pas non plus la règle dont la violation ouvrirait droit à réparation.

22. Je fonderai les présentes conclusions sur les prémisses suivantes :

– le traitement des données à caractère personnel d’UI a été effectué sans recueillir son consentement au sens de l’article 6, paragraphe 1, sous a), du RGPD ;

– le droit à réparation appartient à toute personne ayant subi un dommage. En l’espèce, UI, en tant que personne physique identifiée et affectée par le traitement, est une « personne concernée » (8) ;

– le RGPD prévoit la réparation des dommages matériels et moraux. La demande d’UI se limite à ces derniers et a un contenu pécuniaire.

B. La première question préjudicielle

23. Par sa première question, la juridiction de renvoi souhaite savoir, en substance, si la simple violation des dispositions du RGPD ouvre droit à réparation, qu’elle ait causé ou non un dommage.

24. On peut déduire des affirmations de la juridiction de renvoi et des observations déposées devant la Cour que la question admet également une autre lecture, un peu plus complexe : il s’agirait de déterminer si la violation des dispositions du RGPD entraîne nécessairement un dommage ouvrant droit à réparation, sans laisser au défendeur la possibilité de démontrer le contraire.

25. Il existe une certaine différence (théorique) entre ces deux approches : dans le cadre de la première, le dommage n’est pas une condition de la réparation ; il l’est, en revanche, dans la seconde. En pratique, l’obligation faite au requérant de prouver le dommage disparaît dans les deux cas ; il n’est pas non plus tenu de démontrer le lien de causalité entre la violation et ce dommage (9).

26. En tout état de cause, je considère qu’aucune des deux lectures de la première question n’appelle, à mon sens, de réponse affirmative. Je les analyserai séparément.

1. Réparation en l’absence de dommage ?

27. Soutenir qu’il existe un droit à réparation, même si aucun dommage n’est causé à...