Par Haas Avocats
L’affaire remonte au 15 juillet 2019, date à laquelle la presse bulgare a révélé que la NAP (institution bulgare chargée d’identifier et de sécuriser le recouvrement des créances publiques) a fait l’objet d’une cyberattaque occasionnant la divulgation frauduleuse sur Internet des données personnelles de plus de 6 millions d’individus.
A la suite de ces révélations, une centaine de personnes concernées par cette violation de sécurité a engagé des actions pour obtenir réparation du préjudice moral éprouvé.
Dans le cadre d’une de ces actions judiciaires, la CJUE a été saisie par une juridiction de renvoi afin de se prononcer sur plusieurs questions préjudicielles gravitant autour de :
Dans le cadre des réponses apportées aux questions qui lui sont parvenues, la Cour[1] apporte des éclairages concernant :
A la lumière du raisonnement de la Cour, la portée générale de l’obligation de sécurité incombant à la NAP en tant que responsable de traitement n’est pas une obligation de résultat mais une obligation de moyens renforcée mettant en place une présomption simple de manquement envers le responsable de traitement en cas de violation de données issue d’une cyberattaque.
A titre liminaire la CJUE rappelle la portée générale de l’obligation de sécurité incombant à la NAP en tant que responsable de traitement. Afin de sécuriser chaque opération de traitement, ce dernier doit tenir compte de l’état des connaissances actuelles afin d’implémenter des mesures de sécurité adaptées aux risques de perte ou de destruction des données, d’altération, de divulgation ou d’accès non autorisé.
Toutefois, ce principe ne saurait s’amalgamer à une obligation de résultat laissant présumer un manquement de manière irréfragable en cas de cyberattaque.
Cette position est tout à fait logique dans la mesure où aucun organisme ne peut arguer que son système d’information est à l’épreuve de toutes les violations de données.
Dans ce cadre, conformément aux dispositions de l’article 82.3 du RGPD, le responsable de traitement dispose d’un droit à la preuve pour renverser la présomption pour notamment s’exonérer de toute responsabilité.
Il conviendra alors de démontrer que le dommage éprouvé par la personne concernée n’est pas imputable au responsable de traitement.
Cette démonstration implique de connaître :
En tant que responsable de traitement, la NAP est responsable au titre des dispositions de l’article 5.2 du RGPD et doit donc pouvoir être en mesure de démontrer la conformité des mesures sécurisant les opérations de traitement réalisées (article 24.1 du RGPD)[2].
Il est à souligner qu’une solution inverse aurait pour effet d’édulcorer grandement la portée du droit à la réparation prévu à l’article 82 du RGPD, ce qui d’une part, serait contraire à la logique indemnitaire poursuivie par le réformateur européen et d’autre part, nuirait à l’objectif de renforcement des droits des personnes concernées au regard de l’usage effectué sur leurs données personnelles.
Dans un premier temps, la CJUE rappelle qu’il est primordial que la juridiction nationale chargée d’apprécier le caractère adéquat des mesures de sécurité tienne compte de l’ensemble des critères mentionnés à l’article 32 du RGPD, à savoir :
Dans le cadre de cette démonstration, la Cour a été sollicitée pour se prononcer sur la systématisation du recours à une expertise judiciaire. En l’absence de disposition légale communautaire afférente aux moyens de preuve permettant d’évaluer le caractère approprié de telles mesures dans ce contexte, la Cour renvoie aux juridictions nationales.
Toutefois, la systématisation du caractère suffisant d’une telle mesure pourrait amener les juges à fonder leur jugement exclusivement sur les déductions des experts. Un tel biais porterait une atteinte disproportionnée au droit à un recours effectif et à accéder à un tribunal impartial, ce dernier ne fonctionnant que par déduction sur les conclusions des experts mandatés.
Une fois la violation démontrée, il appartient au juge de démontrer :
Dans le cadre de ce litige, la Cour rappelle que la responsabilité civile de la NAP ne peut être engagée que s’il est démontré que le dommage lui est imputable. Cela implique de démontrer que ce préjudice est causé par une violation de l’obligation de protection des données.
En effet, le fait qu’un tiers (le pirate) soit à l’origine de la cyberattaque et donc du dommage n’exonère pas pour autant la NAP de sa responsabilité vis-à-vis de la personne concernée en cas de manquement à une obligation de sécurité qui aurait facilité ladite cyberattaque.
La logique indemnitaire poursuivie par le RGPD est rappelée au considérant 146 du texte qui prévoit que : « la notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d'une manière qui tienne pleinement compte des objectifs du présent règlement ». A ce titre, l’article 82 confère aux personnes concernées le droit à la réparation des dommages tant matériels que moraux.
Au regard de ce qui précède, la CJUE déclare que la crainte d’une utilisation abusive des données personnelles ayant fait l’objet d’une cyberattaque (en l’occurrence une divulgation non autorisée sur Internet) constitue un dommage moral indemnisable sous réserve que cette crainte soit fondée au regard des éléments contextuels[3].
Au-delà de ces éclairages, il subsiste de réelles difficultés pour les juridictions nationales :
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Décision CJUE C-340/21
[2] Cette position n’est pas inédite, et s’inscrit dans le sillage de la jurisprudence de la Cour comme en témoigne les arrêts rendus à l’encontre de la : « Bundesrepublik Deuschland » le 4 mai 2023, et de : « Meta Platforms » le 4 juillet 2023.
[3] Point 85 : « lorsqu’une personne demandant réparation sur ce fondement invoque la crainte qu’une utilisation abusive de ses données à caractère personnel survienne dans le futur en raison de l’existence d’une telle violation, la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée ».