Dans un arrêt récent, rendu le 15 avril 2021, la Cour suprême autrichienne (Oberste Gerichtshof, OGH) a estimé que le traitement de données relatives à l'affinité du sujet pour un parti politique constitue une catégorie particulière de données à caractère personnel. Cela s'applique même si les données concernées sont basées sur des sondages et des statistiques anonymisés.

En outre, par une demande de décision préjudicielle en vertu de l'art. 267 TFUE, l'OGH a soumis des questions fondamentales relatives à l'interprétation de l'art. 82 GDPR à la Cour de justice européenne (CJEU). Plus précisément, il a demandé des éclaircissements sur les conditions d'octroi de dommages et intérêts fondés sur des violations du GDPR et sur l'évaluation de ladite compensation en vertu de l'art. 82 GDPR.

Faits

Les faits qui sous-tendent cette affaire trouvent leur origine dans un litige distinct (6Ob35/21x).

• La défenderesse a vendu des données à caractère personnel à des fins de marketing pour des tiers en tant qu'éditeur d'adresses ("Adresshändler") en vertu de l'article 151 de la loi autrichienne sur la réglementation du commerce (Gewerbeordnung 1994, GewO) ;
• Les informations recueillies par la défenderesse comprenaient des détails sur l'affinité de parti des ressortissants autrichiens ;
  Suite à une demande d'accès (art. 15 GDPR), le réclamant a appris que la défenderesse avait présumé que les affinités politiques du réclamant se situaient au niveau du Parti autrichien de la liberté (FPÖ) ;
• Les informations relatives à l'affinité du sujet ont été obtenues grâce à l'utilisation d'un algorithme permettant de définir des "adresses de groupes cibles" en fonction de caractéristiques socio-démographiques ;
• Sans que le consentement ait été donné en ce qui concerne le traitement et le stockage des données, le réclamant a demandé :
• Une injonction visant à empêcher le défendeur de traiter des données sur ses opinions politiques présumées ;
• Une indemnisation de 1 000 euros pour le préjudice immatériel causé par l'affinité de parti qui lui a été attribuée, qu'il a jugée insultante, honteuse et portant atteinte au crédit.

Alors que la demande d'injonction a été confirmée par le tribunal régional de Vienne pour les affaires civiles (Landesgericht für Zivilsachen), les dommages et intérêts ont été refusés parce que le seuil requis pour les dommages immatériels indemnisables n'a pas été atteint. La décision a été confirmée par le tribunal régional supérieur (Oberlandesgericht). Les deux parties ont fait appel de cette décision.

Questions juridiques

L'arrêt de l'OGH s'est concentré sur 1) la question de savoir si les données concernant l'affinité du parti pour les partis politiques sont qualifiées de données à caractère personnel (art. 4(1) GDPR) ; 2) si lesdites données constituent une catégorie spéciale de données à caractère personnel (art. 9 GDPR) ; 3) si la Défenderesse doit s'abstenir de continuer à traiter les données de la Demanderesse à l'avenir ; 4) si le traitement des données donne droit à une indemnisation (art. 82 GDPR).

Décision partielle de l'OGH

• Données personnelles (Art. 4(1) GDPR)
• Les données personnelles désignent toute information relative à des personnes physiques identifiées ou identifiables (les "personnes concernées") ;
• Une personne physique identifiable doit être une personne qui peut être identifiée, directement ou indirectement par référence particulière à un identifiant ;
• Les données à caractère personnel ont été considérées comme incluant des données obtenues à l'aide d'évaluations subjectives et/ou objectives (c'est-à-dire des données non personnelles, par exemple des sondages/statistiques), étant donné qu'elles permettent d'attribuer directement l'"affinité pour un parti politique" à une personne physique identifiée/identifiable ;
• La validité de la prétendue affinité n'est donc pas pertinente ;
• Le fait que les informations ne soient que l'expression de l'intérêt supposé des sujets pour un parti politique particulier est également sans importance.¹

Catégorie spéciale de données personnelles (Art. 9 GDPR)

• Le terme "opinion politique" doit être interprété de manière large afin de garantir un niveau de protection élevé et uniforme ;
• Tout risque de discrimination grave résultant du traitement de certains types de données doit être écarté ;
• Les données relatives aux préférences politiques des sujets donnent lieu à une discrimination potentielle et doivent donc être considérées comme relevant de l'opinion politique conformément à l'art. 9 DU GDPR.²

Recours (art. 79 du GDPR)

• Le droit à un recours juridictionnel effectif est garanti par l'art. 79 GDPR lorsque les droits de la personne concernée ont été violés à la suite du traitement de ses données personnelles dans le non-respect des dispositions du GDPR ;
• En l'absence de consentement explicite de la personne concernée, le traitement des données relatives à l'affinité avec un parti politique est considéré comme illégal en vertu de l'article 9, paragraphe 2, point a), en soi ;
• Le fait que les données concernées aient été supprimées/non publiées, c'est-à-dire qu'elles aient été effacées en interne mais n'apparaissent pas à l'extérieur, est sans importance car cela ne supprime pas le risque que ces données soient (re)créées à l'avenir ;
• Une injonction doit être maintenue lorsque la possibilité de recréer des données à l'avenir existe.

Questions posées à la CJUE

La Cour suprême d'Autriche a demandé à la CJUE de se prononcer, en vertu de l'art. 267 TFUE sur l'interprétation et l'application de la demande de dommages et intérêts réglementée par l'art. 82 GDPR.

En particulier, il est demandé à la CJUE de clarifier :

• Si une demande de dommages-intérêts, en plus de la violation d'une disposition du GDPR, exige que le réclamant ait subi des dommages spécifiques ou si ladite violation est suffisante pour bénéficier de l'indemnité ;
• Les tribunaux nationaux doivent-ils tenir compte des exigences supplémentaires du droit communautaire, au-delà des principes d'efficacité et d'équivalence, dans leur évaluation des dommages ?
• Si le seuil des dommages-intérêts non pécuniaires/immatériels exige que l'infraction ait des conséquences d'un certain degré ou poids qui vont au-delà de la colère ou de l'ennui causés par ladite infraction.

Bien qu'elle soit généralement poursuivie par le biais de réclamations de masse, toute personne ayant subi un dommage matériel ou non matériel à la suite d'une violation d'une disposition du GDPR conserve le droit d'intenter une action en justice en vertu de l'art. 82 DU GDPR.

Il est conseillé aux entreprises de suivre de près les articles de presse sur les pertes de données et d'identifier rapidement les indicateurs de violations de la protection des données afin de permettre une révision rapide des lacunes de la réglementation existante en matière de protection des données. En outre, il serait bénéfique de veiller à ce que la documentation et les processus internes soient mis en conformité avec les principes et les exigences de mise en œuvre du GDPR. À cette fin, l'examen des décisions antérieures relatives à l'art. 82 GDPR, tant au niveau national qu'européen, sera déterminant. Il est évident que sur la base du renvoi des questions préliminaires par l'OGH à la CJUE, une base importante a été posée qui pourrait permettre une interprétation uniforme du droit de la protection des données sur les dommages.

Notes de bas de page

1. Voir aussi 6Ob127 / 20z (OGH) ; W258 2217446-1 (BVwG).

2. Voir également W258 2217446-1 (BVwG).

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.