En cas d’attaque (cybercriminalité) contre un système IT ayant entrainé une perte de données, la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral. La divulgation des données n’est pas, en tant que telle, de nature à établir l’absence de mesures de sécurité appropriées prises par le responsable de traitement.
En Bulgarie, l’Agence nationale des recettes publiques bulgare (NAP), rattachée au ministre des Finances bulgare, est notamment chargée de l’identification, la sécurisation et le recouvrement des créances publiques. Dans ce cadre, elle est responsable du traitement de données à caractère personnel.
Le 15 juillet 2019, les médias ont rapporté une intrusion dans le système informatique de la NAP, révélant qu’à la suite de cette cyberattaque, des données à caractère personnel concernant des millions de personnes avaient été publiées sur Internet.
De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes quant à une utilisation abusive potentielle de leurs données.
La Cour administrative suprême bulgare soumet à la Cour de justice plusieurs questions préjudicielles portant sur l’interprétation du règlement général sur la protection des données (RGPD). Au centre des questions : à quelles conditions faut-il indemniser u data breach ?
Dans son arrêt, la Cour répond ce qui suit :
En cas de divulgation non autorisée de données à caractère personnel ou d’accès non autorisé à de telles données, les juges ne peuvent pas déduire de ce seul fait que les mesures de protection mises en œuvre par le responsable du traitement n’étaient pas appropriées.
Les juges doivent examiner le caractère approprié de ces mesures de manière concrète.
Exit donc l’idée d’une responsabilité objective qui transformerait l’obligation de sécurité en obligation de résultat.
C’est au responsable du traitement qu’il incombe de prouver que les mesures de protection mises en œuvre étaient appropriées.
La solution est logique eu égard au principe de responsabilité énoncé à l’article 5.2.
La solution est également logique vu l’absence de responsabilité objective : le responsable du traitement est en effet le mieux placé pour démontrer qu’il a, en raison du contexte, de la nature des données, des risques, de traitement en cause, etc. pris les mesures appropriées.
Dans l’hypothèse où la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données ont été commis par des « tiers » (tels que des cybercriminels), le responsable du traitement peut être tenu d’indemniser les personnes qui ont subi un dommage, sauf s’il parvient à prouver que ce dommage ne lui est nullement imputable.
La portée exacte de ceci n’est pas totalement claire. Notre compréhension, en l’état actuel, est qu’au niveau du dommage il faut faire une distinction entre : d’une part le dommage en lien causal avec la faute du responsable de traitement consistant dans le fait de n’avoir pas adopté des mesures de sécurité appropriées ; d’autre part le dommage en lien causal avec le comportement de tiers, par exemple un cybercriminel qui aurait publié les données illégalement obtenues.
La crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne éprouve à la suite d’une violation du RGPD est susceptible, à elle seule, de constituer un « dommage moral ».
L’arrêt et les conclusions de l’AG sont disponibles en annexe.
Source : Droit et Technologies, décembre 2023
Image : freepix, rawpixel.com