RGPD : un employeur victime de hacking peut être tenu responsable

Selon la Cour de justice de l’UE, une cyberattaque n’exonère pas l’entreprise de sa responsabilité, ni de l’obligation de réparer le dommage en découlant.

Ce dommage peut consister en la « crainte » du potentiel usage abusif de données à caractère personnel.

Faits

Des hackers organisent une cyberattaque visant une autorité rattachée au Ministre des Finances bulgare. Ils diffusent sur internet les données de plus de six millions de personnes.

À la suite de la divulgation de ses données, un particulier introduit auprès d’un tribunal administratif une action en réparation de son préjudice moral, à l’encontre de l’autorité. Son préjudice consiste en la crainte d’une utilisation abusive de ses données.

Le tribunal interroge la Cour de justice de l’Union européenne, à double titre :

1)   Un responsable du traitement peut-il être tenu de réparer le dommage, dans la mesure où seuls des tiers ont divulgué les données ?

2)   La crainte d’un éventuel usage abusif de données volées constitue-il un préjudice moral pouvant donner droit à réparation ?

Décision de la CJUE

Quant à la première question : tout responsable du traitement peut être tenu à la réparation du dommage causé par le traitement qui constitue une violation au RGPD, s’il y a participé.

Il n’est pas tenu de réparer le dommage s’il prouve que le fait ayant provoqué le dommage ne lui est pas imputable.

En soi, le fait que des tiers divulguent des données ne permet pas au responsable de traitement de s’exonérer de sa responsabilité.

Lorsque la violation est commise par des cybercriminels, donc par des tiers, elle est imputable au responsable du traitement s’il a rendu possible la violation, en méconnaissant une obligation prévue par le RGPD.

Quant à la seconde question : toute personne a le droit d’obtenir réparation du responsable du traitement lorsqu’il a subi un dommage du fait d’une violation (article 82 du RGPD).

La notion de dommage s’interprète largement : le préjudice subi ne doit pas présenter un degré particulier de gravité.

Point important : le dommage peut tenir en la crainte que des données à caractère personnel fassent l’objet d’un futur usage abusif par des tiers. Le législateur européen a, d’ailleurs, inclus dans la notion de dommage la « perte de contrôle » de ses données.

La Cour précise toutefois que la personne qui exige réparation sur cette base doit prouver que sa crainte est fondée et, partant, démontrer l’existence d’un dommage moral.

Que retenir ?

Le fait que des tiers divulguent des données n’exonère pas le responsable du traitement de l’obligation de réparer le dommage, sauf s’il prouve que ce dommage ne lui est pas imputable. Cette preuve ne sera pas rapportée dès lors qu’il a rendu possible la violation de données en méconnaissant l’une de ses obligations découlant du RGPD.

La crainte qu’une utilisation abusive de ses données survienne dans le futur peut constituer un dommage moral. Cette crainte doit toutefois apparaitre fondée.

Source : C.J.U.E., 14 décembre 2023, aff. C-340/21, www.curia.be.