Autriche : Questions préjudicielles renvoyées à la CJCE - Indemnisation des dommages immatériels en vertu de l'art. 82 GDPR

Dans un arrêt récent, rendu le 15 avril 2021, la Cour suprême autrichienne (Oberste Gerichtshof, OGH) a estimé que le traitement des données relatives à l'affinité du sujet pour un parti politique constitue une catégorie particulière de données à caractère personnel. Cela s'applique même si les données concernées sont basées sur des sondages et des statistiques anonymes.

En outre, par le biais d'une demande de décision préjudicielle en vertu de l'art. 267 TFUE, l'OGH a soumis des questions fondamentales relatives à l'interprétation de l'art. 82 GDPR à la Cour européenne de justice (CJUE). Plus précisément, il a demandé des éclaircissements sur les conditions d'octroi de dommages-intérêts fondés sur des violations du GDPR et sur l'évaluation de ces dommages-intérêts en vertu de l'art. 82 GDPR.

Les faits

Les faits sous-jacents à cette affaire trouvent leur origine dans un litige juridique distinct (6Ob35/21x).

• Le défendeur a vendu des données à caractère personnel à des fins de marketing à des tiers en tant qu'éditeur d'adresses ("Adresshändler") en vertu de l'article 151 de la loi autrichienne sur la réglementation du commerce (Gewerbeordnung 1994, GewO) ;
• Les informations collectées par le défendeur comprenaient des détails sur les affinités partisanes des ressortissants autrichiens ;
  Suite à une demande d'accès (art. 15 GDPR), le requérant a appris que le défendeur avait présumé que les affinités politiques du requérant étaient celles du Parti autrichien de la liberté (FPÖ) ;
• L'information concernant l'affinité du sujet a été obtenue par l'utilisation d'un algorithme pour définir les "adresses du groupe cible" en fonction des caractéristiques sociodémographiques ;
• Sans avoir donné son consentement au traitement et à la conservation des données, le requérant a demandé
• Une injonction pour empêcher le défendeur de traiter des données sur ses opinions politiques présumées ;
• Une indemnisation de 1 000 euros pour le préjudice immatériel causé par l'affinité partisane qui lui a été attribuée et qu'il considère comme insultante, honteuse et portant atteinte à son crédit.

La demande d'injonction a été confirmée par le tribunal régional de Vienne pour les affaires civiles (Landesgericht für Zivilsachen), mais les dommages-intérêts ont été refusés au motif que le seuil requis pour un dommage immatériel indemnisable n'était pas atteint. La décision a été confirmée par le tribunal régional supérieur (Oberlandesgericht). Les deux parties ont fait appel de cette décision.

Questions juridiques

Le jugement de l'OGH s'est concentré sur les points suivants : 1) les données concernant l'affinité du parti pour les partis politiques sont-elles des données à caractère personnel (article 4(1) du GDPR) ; 2) ces données constituent-elles une catégorie spéciale de données à caractère personnel (article 9 du GDPR) ; 3) le défendeur doit-il s'abstenir de continuer à traiter les données du demandeur à l'avenir ; 4) le traitement des données donne-t-il au demandeur le droit d'être indemnisé (article 82 du GDPR).

Décision partielle de l'OGH

• Données à caractère personnel (article 4, paragraphe 1, du RGPD)
• Les données à caractère personnel désignent toute information concernant des personnes physiques identifiées ou identifiables ("personnes concernées") ;
• Une personne physique identifiable doit être une personne qui peut être identifiée, directement ou indirectement, par référence à un identifiant ;
• Les données à caractère personnel ont été considérées comme incluant les données obtenues à l'aide d'évaluations subjectives et/ou objectives (c'est-à-dire les données non personnelles, par exemple les sondages/statistiques) étant donné qu'elles permettaient d'attribuer directement l'"affinité pour un parti politique" à une personne physique identifiée/identifiable ;
• La validité de l'affinité alléguée n'est pas pertinente ;
• Le fait que l'information n'était que l'expression de l'intérêt supposé des sujets pour un parti politique particulier est également sans importance^[1].

Catégorie particulière de données à caractère personnel (article 9 du RGPD)

• Le terme "opinion politique" doit être interprété de manière large afin de garantir un niveau de protection uniforme et élevé ;
• Tout risque de discrimination grave résultant du traitement de certains types de données doit être écarté ;
• Les données relatives aux préférences politiques des personnes concernées donnent lieu à une discrimination potentielle et doivent donc être considérées comme relevant de la catégorie des opinions politiques au sens de l'article 9 du RGPD[2]. 9 GDPR^[2].

Recours (article 79 du GDPR)

• Le droit à un recours juridictionnel effectif est garanti par l'art. 79 GDPR lorsque les droits de la personne concernée ont été violés à la suite d'un traitement de ses données à caractère personnel non conforme aux dispositions du GDPR ;
• En l'absence de consentement explicite de la personne concernée, le traitement des données relatives aux affinités avec un parti politique est considéré comme illégal en vertu de l'article 9, paragraphe 2, point a), en soi ;
• Le fait que les données pertinentes aient été supprimées/non publiées, c'est-à-dire qu'elles aient eu lieu en interne mais ne soient pas apparues en externe, est sans importance puisqu'il n'élimine pas le risque que ces données soient (re)créées à l'avenir ;
• Une injonction doit être maintenue lorsqu'il existe une possibilité de recréer les données à l'avenir.

Questions posées à la CJUE

La Cour suprême autrichienne a posé une question préjudicielle à la CJUE en vertu de l'art. 267 TFUE sur l'interprétation et l'application de la demande de dommages-intérêts prévue à l'art. 82 GDPR.

En particulier, la CJUE est invitée à clarifier :

• Si une demande de dommages-intérêts, en plus de la violation d'une disposition du GDPR, exige que le demandeur ait subi des dommages spécifiques ou si cette violation est suffisante pour donner droit à l'attribution de dommages-intérêts ;
• Si des exigences supplémentaires du droit de l'UE, au-delà des principes d'efficacité et d'équivalence, doivent être prises en compte par les tribunaux nationaux dans leur évaluation des dommages ;
• Si le seuil de dommages-intérêts non pécuniaires/non matériels exige que l'infraction ait des conséquences d'un certain degré ou d'un certain poids qui vont au-delà de la colère ou de la gêne causée par ladite infraction.

Bien qu'elle soit généralement poursuivie par le biais de plaintes de masse, toute personne ayant subi un préjudice matériel ou moral à la suite d'une violation d'une disposition du GDPR conserve le droit d'intenter une action en justice en vertu de l'art. 82 DU GDPR.

Il est conseillé aux entreprises de suivre de près les articles de presse sur les pertes de données et d'identifier rapidement les indicateurs de violations de la protection des données afin de permettre une révision rapide des lacunes des réglementations existantes en matière de protection des données. En outre, il serait utile de veiller à ce que la documentation et les processus internes soient mis en conformité avec les principes et les exigences de mise en œuvre du GDPR. À cette fin, l'examen des décisions antérieures relatives à l'art. 82 du GDPR, tant au niveau national qu'au niveau de l'UE. Il est évident que le renvoi de questions préjudicielles par l'OGH à la CJUE a jeté des bases importantes qui pourraient permettre une interprétation uniforme de la loi sur la protection des données en matière de dommages et intérêts.

Ressources

1. Voir aussi 6Ob127 / 20z (OGH) ; W258 2217446-1 (BVwG).
2. Voir aussi W258 2217446-1 (BVwG).

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.