A la lecture de l’article 82 du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, il ressort que « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Dans un arrêt du 14 décembre 2023 , saisie d’une question préjudicielle par la Cour administrative suprême de la république de Bulgarie, la CJUE s’est prononcée sur le régime de responsabilité du responsable de traitement des données à caractère personnelles, consacré à l’article 82 du règlement tout en faisant des précisions sur les conditions dans lesquelles une violation dans le cadre d’un tel traitement peut ouvrir droit à réparation d’un ''dommage moral’’. C’est particulièrement sur ce dernier aspect de cette décision de la Cour que portera cette réflexion.
Le droit français distingue entre le préjudice moral provoqué par une atteinte à l'intégrité physique et celui résultant d'une atteinte aux droits de la personnalité. Au contraire du premier dont la réparation a été longtemps refusée par la jurisprudence, en raison notamment du principe selon lequel : ''les larmes ne se monnaient pas'', le préjudice moral attaché aux droits de la personnalité lui, est indemnisé depuis le XIXe siècle.
S'il n'est plus question de rejeter ce qui, autrefois, était considéré comme une injuste commercialisation de la douleur, la réparation du préjudice moral dans un cas comme dans l'autre, ne continue pas moins de soulever des difficultés, au sujet notamment de l'évaluation du montant de l'indemnisation.
En ce qui concerne les préjudices moraux attachés à une atteinte à l'intégrité physique, un projet d'harmonisation des règles d'indemnisation propose une nomenclature qui sert d'indicateur au juge. Ce barème répertoriant les différents postes de préjudices n'est valable que pour ces derniers.
En effet, le principe, pour ce qui concerne la réparation des préjudices moraux résultant des droits personnels, est "l'évaluation souveraine du montant du préjudice par les juges du fond". A défaut de critères objectifs d'appréciation, il est à craindre que l'indemnisation ainsi accordée soit soumise à fluctuation et donc varie, même pour des situations similaires.
Outre cette situation, une autre question demeure, celle de la conception du préjudice moral indemnisable dans toute l’union européenne. Le droit autrichien par exemple, n'admet la réparation du préjudice moral que lorsqu’il atteint un certain seuil de gravité.
Il en résulte que, dans le même espace européen, suivant que l’on se trouve dans un Etat ou dans un autre, la notion de préjudice moral peut renvoyer à une réalité différente. Cette conception variable de la notion est contraire aux objectifs du droit européen et la présente décision a été l'occasion pour la CJUE de le rappeler.
Selon une jurisprudence constante de la Cour de justice européenne lorsque les termes d’une disposition du droit de l’Union ne comporte aucun renvoi au droit des états membres pour déterminer leur sens et leur portée, ceux-ci doivent être interprétés dans toute l’Union de façon autonome et uniforme.
Fidèle à cette logique, la CJUE, a tenu à rappeler la conception de la notion de ‘’préjudice moral’’, tout en en précisant les conditions de réparation.
Répondant à la question de savoir si la seule crainte d’un futur usage abusif des données personnelles peut constituer un dommage moral réparable, la Cour répond par l’affirmative et fait savoir que la juridiction saisie doit, pour l'évaluation du préjudice, se référer au droit interne, avec la nécessité de respecter les principes du droit européen.


I- Les conditions dans lesquelles le préjudice moral ouvre droit à réparation
A la question de savoir si la crainte d’une utilisation abusive future de ses données peut constituer un préjudice moral. La Cour répond par l’affirmative, non sans préciser les conditions préalables.

A- Le triptyque légal
L’article 82 du RGPD prévoit trois conditions : un préjudice moral (1), la violation des règles du RGPD (2) et un lien de causalité (3).

1- L’existence d’un préjudice moral
La première condition prévue qui ressort de la lettre de l’article 82 et fort bien rappelé par la Cour est l’existence d’un dommage moral.
Mais qu’est-ce qu’un préjudice moral au sens du droit européen ?
La notion a fait l’objet d’une précision par la Cour. Si elle n’en donne pas une définition, la Cour rappelle toutefois que conformément au considérant 146, la notion de dommage doit être entendu « au sens large, à la lumière de la jurisprudence de la Cour…», eu égard aux objectifs du RGPD visant à assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union.
Tirant les conséquences de ce principe la Cour a jugé, dans une récente affaire, incompatible au RGPD, la loi d’un Etat membre qui subordonne la réparation d’un préjudice moral à un certain seuil de gravité au motif que pareille disposition était contraire aux objectifs du RGPD et à la cohérence et à l’homogénéité des règles de protection des libertés individuelles voulues par le législateur européen, notamment le principe indemnitaire.

2- La violation du RGPD
La violation du RGPD pose la question de savoir qui est responsable en cas de violation et en quoi consiste concrètement cette violation.
a – le responsable de traitement et le sous-traitant
Le règlement définit en son article 4 la notion de responsable de traitement et de sous-traitant.
Selon le 7e paragraphe de l’article suscité le responsable du traitement s’entend de « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Le paragraphe 8e du même article quant à lui définit le sous-traitant comme «la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement».
Le RGPD institue une responsabilité pour faute du responsable du traitement et du sous-traitant, avec cette particularité d’inverser la charge de la preuve. A bien y regarder, on pourrait dire que ces deux entités sont affublées d’une obligation de sécurité-moyens renforcée. Cette responsabilité repose en effet sur une présomption simple de faute à l’égard du responsable de traitement, dont il peut s’exonérer en rapportant la preuve contraire.
On retrouve au paragraphe 1er de l’article 82 du RGPD le fondement de la responsabilité du responsable de traitement et du sous-traitant. Selon les disposition de cet article « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. ». La responsabilité du responsable de traitement est mise en œuvre en raison d’un manquement à une obligation de sécurité.

b- la violation d’une obligation de sécurité
Aux termes du paragraphe 1er de l’article 32 suscité « … le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Le manquement à l’obligation de sécurité est caractérisé en raison soit d’une absence de mesures, soit d’une insuffisance des mesures ou c’est tout simplement que les mesures prises sont non adaptées notamment pour n’avoir pas fait l’objet de mise à jour.
Cela dit, il convient de nuancer cette affirmation.
En effet le manquement à l’obligation de sécurité dans le cadre du traitement, prévue par l’article 32 ne résulte pas toujours d’une violation des données à caractère personnel. inversement, une violation des données n’est pas toujours synonyme d’un manquement. C’est à tout le moins, l’idée que rappelle la CNIL dans une affaire relativement récente .
Selon l’autorité administrative : « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement aux obligations de sécurité résultant de l’article 32 du RGPD, pas plus qu’une violation de données ne suffit à caractériser en soi un manquement ». En pareille situation, la formation restreinte vérifie que le responsable de traitement ou le sous-traitant, a mis en œuvre, en application de l’article 32, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données. Cette appréciation s’effectue en tenant compte des critères énumérés au paragraphe premier de l’article 32. Il s’agit notamment de l’état des connaissances, des coûts de mise en œuvre, de la portée, du contexte et de la finalité du traitement…
Lorsqu’il a été établi l’existence d’un préjudice et la violation de l’obligation de sécurité caractérisée, il faudra enfin démontrer l’existence d’une relation de cause.

3- Un lien de causalité
L’ultime mais non moins importante condition suffisante pour ouvrir une action en réparation d’un préjudice moral souffert par la victime, c’est bien l’établissement d’un lien de causalité entre le préjudice dont réparation est recherchée et la violation intervenue. Ceci est tellement vrai que la Cour estime que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la seule violation des dispositions du RGPD ne suffit pas pour conférer un droit à réparation. Il faut la preuve que le dommage allégué est la résultante de la violation en cause.
En raison de la présomption de responsabilité instituée par le règlement, la victime est dispensée de la charge de la preuve.
En effet, au titre du paragraphe 3 de l’article 82 du RGPD, c’est au responsable de traitement d’apporter la preuve contraire pour voir sa responsabilité exonérée. La Cour de justice de l’UE fait une interprétation stricte de cette règle.
Elle estime en effet que le fait que le dommage allégué soit la conséquence d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé, ne suffit pas à exonérer le responsable de traitement de sa responsabilité à l’égard de la victime de dommage moral. La seule hypothèse d’exonération est celle dans laquelle il apporte la preuve de l’absence d’un lien de cause à effet.

B- L’appréciation du juge
Une fois la violation démontrée, il appartient au juge de vérifier que ses conséquences négatives sur la victime sont bien constitutives d’un préjudice moral.
Selon la Cour la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne éprouve à la suite d’une violation est susceptible, à elle seule, de constituer un « dommage moral ».
Il en ressort que la caractérisation du dommage moral n’est pas systématique mais une faculté dont la consolidation ne s’achève qu’après une vérification d’un certain nombre de critère par le juge. La caractérisation du dommage est en effet soumise à une appréciation in concreto du juge qui doit vérifier le caractère fondé de la crainte, les circonstances spécifiques de la cause et la personne concernée.
Cette position n’est pas inédite, puisqu’elle s’inscrit dans le sillage d’une précédente affaire de la jurisprudence de la Cour, comme en témoigne : l’arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 50].


II- L'évaluation des dommages-intérêts
La protection des données à caractère personnel est un droit fondamental protégé par la directive européenne. En l'absence de disposition d'évaluation des dommages-intérêts, la CJUE commande aux juridictions nationales, l'application du droit interne. Aussi, soucieuse du respect et de la cohérence dans l'application du principe indemnitaire, elle rappelle la nécessité du respect des principes d'équivalence et d'effectivité.

A- Le renvoi au droit interne de chaque Etat
Toute la difficulté pour les juridictions nationales à ce niveau, réside dans l’évaluation du préjudice moral de façon générale et dans la capacité technique à apprécier le caractère approprié des mesures de sécurités adoptées par le responsable de traitement.
Ainsi qu'il a été évoqué en introduction, en droit français, deux modes d'évaluation du préjudice moral sont observables, suivant qu'il résulte d'une lésion corporelle ou d'une atteinte à un droit personnel.
Depuis la nomenclature Dintilhac, les préjudices moraux résultant d'une atteinte corporelle sont appréciés et évalués sur la base de critères objectifs des différents chefs de préjudices prévus par la nomenclature. Au besoin, une expertise médicale peut être requise par le juge et lui sert de référence.
Tandis qu'il est de principe, pour les dommages moraux attachés aux droits personnels, que les juges du fond apprécient de façon souveraine le montant du préjudice. Une jurisprudence constante de la Cour de cassation considère en effet que les juges du fond ne sont nullement tenus de fournir à l'appréciation de la Cour régulatrice, les éléments ayant servi à déterminer le montant des dommages-intérêts alloués.
La CJUE a admis la possibilité pour les juges nationaux de recourir à une expertise judiciaire comme moyen de preuve, même si, précise-t-elle ce recours ne doit pas être systématique.
Si cette solution était retenue dans le cadre de l'appréciation du préjudice moral résultant de la violation des données à caractère personnel, il est à craindre que l’office du juge ne soit en fin de compte confié à des experts.
Dans un autre sens, s'il fallait s'en remettre uniquement à la souveraineté du juge, cela ne serait pas plus rassurant. En effet, comment estimer que le préjudice a été réparé de façon juste et intégral ou éviter des indemnisation à caractère punitif?
En tout état de cause, en l’absence de disposition européenne en la matière, les juridictions nationale ont pour seuls baromètres les principes d’équivalence et d’effectivité.


B- La nécessaire conformité aux principes du droit européen
Les règles nationales n'étant pas identiques, le renvoi au droit national peut parfois nuire à l'application uniforme recherchée, des règles issue du droit de l'Union et partant à la protection que les justiciables tirent de ce même droit. Pour prévenir la remise en cause du droit européen par le droit national, la CJUE a défini des limites à l'autonomie procédurale reconnue au droit national.
Pour ce faire, sa jurisprudence a créé deux principes : le principe d'équivalence et d'effectivité.
Le principe d'équivalence requiert que l'ensemble des règles de procédure nationales s'appliquent indifféremment aux recours fondés sur la violation du droit de l'Union et aux recours similaires fondés sur la méconnaissance du droit interne.
Le principe d’effectivité implique quant à lui, la responsabilité pour les Etats membres d’assurer la protection effective des droits reconnus aux particuliers par le droit de l’Union européenne. Ce principe vise à empêcher qu’une disposition procédurale d’un Etat ne rende impossible ou excessivement difficile l’application du droit de l’Union européenne
Il en résulte non seulement que les juridictions nationales doivent faire applications de leurs dispositions internes pour pallier l'absence en droit européen de règle utiles, mais aussi qu'il doit être fait application au principe indemnitaire tel que voulu par le législation de l'Union, de façon cohérente et homogène.


Bibliographie
Loi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Jurisprudence
CJUE, 14 déc. 2023, aff. C-340/21, Natsionalna agentsia za prihodite
L’arrêt du 4 mai 2023, Österreichische Post (réparation de préjudice moral soumis à un seuil de gravité), C-300/21, EU:C:2023:370, point 51]
CNIL, FR, 14 juin 2021, Sanction, Société X, n° SAN-2021-008, publié, point 15
Les Tables Informatique et Libertés de la CNIL
l’arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 50]
CJUE, 4 mai 2023, Österreichische Post, C-300/21, point 54
Arrêt du 15 mars 2017, Aquino, C-3/16, EU:C:2017:209, point 50
Arrêt du 15 mars 2017, Aquino,
C-3/16, EU:C:2017:209, point 52
Arrêt du 5 novembre 1996, Cour de cassation

Articles
Jacqueline MORAND-DEVILLER, Droit administratif : Cours, thèmes de réflexion, commentaires d'arrêts avec corrigés, Issy-les-Moulineaux, Jacqueline MORAND-DEVILLER, 2015, 808 p. (ISBN 978-2-275-04251-0), p. 738
L’indemnisation du préjudice moral en Droit français, Synthèse Par Philippe PIERRE, Professeur de Droit privé à l’Université de Rennes

Site internet
https://www.conseil-etat.fr/decisions-de-justice/jurisprudence/dossiers-thematiques/le-juge-administratif-et-le-droit-de-l-union-europeenne#