VB v Natsionalna agentsia za prihodite.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:986
• Date: 14 December 2023
• Docket Number: C-340/21
• Celex Number: 62021CJ0340
• Court: Court of Justice (European Union)

ARRÊT DE LA COUR (troisième chambre)

14 décembre 2023 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs à ce traitement – Article 24 – Responsabilité du responsable du traitement – Article 32 – Mesures mises en œuvre pour garantir la sécurité du traitement – Appréciation du caractère approprié de telles mesures – Portée du contrôle juridictionnel – Administration des preuves – Article 82 – Droit à réparation et responsabilité – Exonération éventuelle de responsabilité du responsable du traitement en cas de violation commise par des tiers – Demande de réparation d’un préjudice moral fondée sur la crainte d’un potentiel usage abusif de données à caractère personnel »

Dans l’affaire C‑340/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), par décision du 14 mai 2021, parvenue à la Cour le 2 juin 2021, dans la procédure

VB

contre

Natsionalna agentsia za prihodite,

LA COUR (troisième chambre),

composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen (rapporteur) et M. Gavalec, juges,

avocat général : M. G. Pitruzzella,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour la Natsionalna agentsia za prihodite, par M. R. Spetsov,

– pour le gouvernement bulgare, par Mmes M. Georgieva et L. Zaharieva, en qualité d’agents,

– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,

– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce, Mme J. Quaney et M. M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,

– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. E. De Bonis, avvocato dello Stato,

– pour le gouvernement portugais, par Mmes P. Barros da Costa, A. Pimenta, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme N. Nikolova, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 27 avril 2023,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 5, paragraphe 2, des articles 24 et 32 ainsi que de l’article 82, paragraphes 1 à 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant VB, une personne physique, à la Natsionalna agentsia za prihodite (Agence nationale des recettes publiques, Bulgarie) (ci-après la « NAP ») au sujet de la réparation du préjudice moral que ladite personne affirme avoir subi en raison d’un prétendu manquement de cette autorité publique aux obligations légales lui incombant en sa qualité de responsable du traitement de données à caractère personnel.

Le cadre juridique

3 Les considérants 4, 10, 11, 74, 76, 83, 85 et 146 du RGPD sont libellés comme suit : « (4) [...] Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux de l’Union européenne], consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, [...] le droit à un recours effectif et à accéder à un tribunal impartial [...] [...] (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] (11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, [...] [...] (74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. [...] (76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé. [...] (83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral. [...] (85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il le notifie à l’autorité de contrôle dans les meilleurs délais [...] [...] (146) Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du traitement ou le sous‑traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un État membre. Un traitement effectué en violation du présent règlement comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »

4

L’article 4 de ce règlement, intitulé « Définitions », dispose : « Aux fins du présent règlement, on entend par : 1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...] 2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel [...] [...] 7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...] [...] ...