Contexte rappelé dans le communiqué de presse :
L’Agence nationale des recettes publiques bulgare (NAP) est rattachée au ministre des Finances bulgare. […] Le 15 juillet 2019, les médias ont rapporté une intrusion dans le système informatique de la NAP, révélant qu’à la suite de cette cyberattaque, des données à caractère personnel concernant des millions de personnes avaient été publiées sur Internet. De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes quant à une utilisation abusive potentielle de leurs données.
Dans la décision :
[…] une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers » […] ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées »
[…] le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.
[…] afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.
[…] le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne […] du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers » […], ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable [ sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD, et notamment l’obligation de protection des données à laquelle il est tenu. ]
[…] la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition. [ Mais la crainte doit être fondée, dans les circonstances du cas d'espèce et de la personne du requérant ]
Cohérent avec les arrêts C-300/21 (pas de seuil pour réclamer une indemnisation) et C-807/21 (il faut un comportement fautif, c'est-à-dire une négligence ou violation délibérée du RGPD).
#CJUE #RGPD