Copyright pour l’image d’en-tête ci-dessus : Steffen Prößdorf, CC BY-SA 4.0, via Wikimedia Commons
Déclaration de Max Schrems.
Max Schrems : « Malgré les dispositions claires du RGPD et plusieurs décisions de la CJUE, les tribunaux allemands ont régulièrement refusé d’accorder des dommages et intérêts dans des affaires de protection des données. Nous sommes ravis que le BGH ait mis les pieds dans le jeu et ait aligné la jurisprudence allemande. Le débat juridique en Allemagne a jusqu’à présent été dominé par les juristes d’entreprise, et certains tribunaux ont été influencés par leurs théories grossières et ont rapidement rejeté les affaires délicates liées au RGPD. En conséquence, l’Allemagne est devenue un problème à l’échelle européenne en matière de protection des données.»
Les tribunaux et la littérature allemande sont jusqu’à présent extrêmement hostiles au RGPD. En Allemagne, la littérature juridique exerce une grande influence sur les tribunaux. Or, dans le domaine de la protection des données, il n’existe pratiquement que des avocats spécialisés dans les entreprises. En outre, la recherche dans le domaine des droits numériques est de plus en plus commandée et financée par les entreprises, dans une mesure alarmante, souvent sans qu’elle soit divulguée en conséquence. Dans ce contexte, une industrie a émergé qui continue de produire des théories rudimentaires expliquant pourquoi les plaintes liées au RGPD devraient être rejetées ou pourquoi les dommages et intérêts pour violations de la protection des données sont pratiquement inexistants.
Par exemple, un « seuil de signification » a été inventé en Allemagne, à la suite duquel les tribunaux ont rejeté de nombreuses demandes de dommages-intérêts au titre du RGPD comme étant « sans importance ». Les tribunaux autrichiens ont également adopté cette théorie, même si le RGPD ne fournit aucune base pour cela. Seule la CJUE y a mis fin (C-300/21 Österreichische Post). Cependant, certains tribunaux allemands ont rejeté à plusieurs reprises de telles affaires, contrairement à l’arrêt de la CJUE.
L’atteinte à la vie privée constitue le « dommage principal ». Il est souvent difficile de calculer le préjudice lorsque les droits ne sont pas directement « mesurables ». Toutefois, dans des domaines autres que la protection des données, cela ne constitue pas une raison pour ne pas accorder de dommages-intérêts. En droit des médias, par exemple, une insulte peut constituer un « dommage » au même titre que la douleur d’une jambe cassée. Dans d’autres domaines, les tribunaux ont progressivement défini le type d’indemnisation approprié. Dans certains pays de l’UE, cela a également conduit au développement de « tables de répartition » informelles pour les demandes d’indemnisation.
Les « dommages secondaires » peuvent faire l’objet d’une indemnisation indépendante. La violation du droit fondamental à la protection des données peut également être séparée du « préjudice secondaire ». Par exemple, une personne peut déjà souffrir d’une publication illégale d’une maladie. Si vous perdez ensuite votre emploi à cause de cette publication, il s’agit d’un deuxième préjudice secondaire indépendant, qui peut faire l’objet d’une indemnisation distincte. Jusqu’à présent, les juristes d’entreprise ont toujours nié que le droit fondamental à la protection des données constitue un préjudice et se sont concentrés sur les dommages secondaires (rares et difficiles à prouver).
Résumé de la décision : Dans son arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle sur ses données personnelles peut constituer un dommage indemnisable au sens du RGPD, à condition que ce dommage soit dû à une violation du RGPD. Ce faisant, la Cour suprême allemande suit la jurisprudence de la CJUE (voir (C-200/23). D’autres inconvénients, tels qu’une mauvaise utilisation des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées au titre du RGPD. Même si le BGH traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées de contrôle sur leur vie privée.
