(par Federica De Stefani, avocate et directrice d'Aidr Regione Lombardia) Les sanctions qui découlent d'un traitement illégal des données peuvent avoir différentes natures, car, selon la législation en vigueur, des sanctions pénales, administratives et civiles peuvent coexister entre elles, en fonction des type de violation.
D'une manière générale, nous sommes habitués à penser que le règlement européen sur la protection des données ne prévoit que des sanctions administratives millionnaires (jusqu'à 20 millions d'euros), mais le même règlement prévoit, à l'art. 82 également la possibilité pour ceux qui subissent des dommages résultant d'un traitement illégal de demander l'indemnisation correspondante.
Cette règle a récemment fait la une des journaux pour condamner le tribunal régional supérieur autrichien à sanctionner la réparation du préjudice résultant du traitement illicite des données et à préciser les conditions d'obtention de la réparation du préjudice.
Article. 82 du règlement, en réalité, il est clair en prévoyant expressément la réparation du préjudice matériel ou immatériel causé par un traitement illégal de données en indiquant les sujets tenus de verser une compensation dans le responsable du traitement ou le responsable du traitement.
En substance, si d'une part la loi reconnaît expressément la recevabilité du préjudice moral, d'autre part, pour que l'obligation d'indemnisation naisse, il faut qu'il y ait:
- un traitement illégal de données, c'est-à-dire un comportement actif ou omis qui intègre une violation des règles du règlement;
- les dommages;
- le lien étiologique entre conduite et dommages.
Le règlement prévoit que le dommage (matériel ou immatériel) est indemnisable s'il est causé par une violation du règlement et prévoit pour le propriétaire et le sous-traitant la possibilité d'être exonérés de responsabilité s'ils prouvent que l'événement dommageable n'est en aucun cas un attribuables à eux.
Cela signifie que la responsabilité examinée n'est pas une responsabilité objective, mais n'existe que dans le cas où il existe un lien de causalité entre la violation du règlement (imputable au propriétaire ou au gestionnaire) et l'événement dommageable.
En d'autres termes, le sujet a la possibilité d'apporter la preuve qu'il a correctement rempli les obligations découlant du règlement et qu'il a pris les mesures appropriées pour la protection des données.
Il s'agit, sans aucun doute, d'une disposition réglementaire très large, pour ainsi dire, si l'on considère que l'expression "une violation de ce règlement" sans préciser aucun autre aspect, nécessite le recours au considérant 85 pour une liste exemplaire, et certainement pas exhaustif, des raisons qui pourraient être à l’origine d’une demande d’indemnisation.
En effet, le considérant 85 indique une série d'aspects concernant:
- perte de contrôle des données personnelles des parties intéressées;
- limitation de leurs droits;
- la discrimination;
- vol d'identité ou usurpation;
- pertes financières;
- décryptage non autorisé de la pseudonymisation;
- atteinte à la réputation;
- perte de confidentialité des données personnelles protégées par le secret professionnel
Enfin, il se termine par l'hypothèse générique de "tout autre préjudice économique ou social significatif pour la personne physique concernée".
La formule de clôture s'aligne sur la disposition de l'art. 82 qui indique de manière générique "toute violation de ce règlement", laissant ainsi une large possibilité d'identification des cas spécifiques.
Dans un arrêt très récent, le tribunal régional supérieur autrichien d'Innsbruck (arrêt du 13.02.2020 - Az.: 1 R 182/19 b) est intervenu sur la question de l'indemnisation du préjudice résultant d'une violation du RGPD et a précisé que l'indemnisation du préjudice découlant d'un traitement illicite de données n'est pas en re ipsa, mais il appartient à la personne qui demande réparation de démontrer le dommage découlant de l'illégalité du traitement et les caractéristiques du dommage subi.
Dans le cadre d'un litige, il ne suffit donc pas de prétendre avoir subi un préjudice du seul fait d'avoir subi un traitement illégal de ses données, mais il est nécessaire d'apporter la preuve d'un lien étiologique entre les deux.
Il faudra donc articuler votre demande en expliquant les dommages subis, en indiquant les différentes particularités. Le dommage doit donc être qualifié et précisé, en se référant également aux types de risques indiqués aux considérants 75 et 85 du règlement qui, en tout état de cause, ne fournissent que des indications indicatives. Le dommage doit donc être détaillé et non indiqué de manière générique en recourant à une "catégorie générique". L'intéressé doit également apporter la preuve qu'il a effectivement subi le dommage réclamé. Encore une fois, il ne suffit pas d'invoquer une catégorie générique et de prétendre avoir subi le préjudice connexe, mais des preuves concrètes des dommages signalés doivent être fournies et l'étendue des dommages doit également être démontrée. En effet, ces derniers ne sauraient, à des fins de compensation, être considérés comme une simple préoccupation ou une simple nuisance découlant du traitement illégal. En d'autres termes, le dommage doit avoir un sens pour ainsi dire afin d'être considéré comme pertinent aux fins de l'indemnisation.
A tout cela s'ajoute d'ailleurs le lien étiologique.
Les dommages signalés doivent être une cause directe de la violation des données, comme expressément prévu à l'art. 82 du Règlement.
En conclusion, il est donc possible d'obtenir réparation du préjudice subi du fait de la violation de ses données personnelles, même s'il est soumis, comme on le voit, à des contraintes de preuve assez spécifiques.
Une réflexion particulière mérite le fait qu'il ne s'agit pas d'une responsabilité objective qui entraîne automatiquement des dommages.
Le RGPD est une réglementation très particulière qui, en vertu du principe de responsabilité, laisse au propriétaire un large choix quant aux mesures à prendre pour la conformité.
Cela se traduit par la possibilité d'avoir des solutions adaptées à une certaine réalité, mais qui, appliquées à des réalités différentes, ne garantissent pas la protection des données personnelles.
Une évaluation préliminaire des mesures prises par le propriétaire avant de réclamer des dommages et intérêts sera, dans un proche avenir, indispensable pour évaluer l'issue possible d'une action en justice.