CJUE – Natsionalna agentsia za prihodite – C-340/21

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-340/21

Nom:

Natsionalna agentsia za prihodite

Date:

14 décembre 2023

Pays:

Bulgarie

Lien:

Cliquer ici

Contexte

La NAP est une autorité rattachée au ministre des Finances bulgare. Dans le cadre de ses missions, consistant, entre autres, en l’identification, la sécurisation et le recouvrement des créances publiques, elle est responsable du traitement de données à caractère personnel. Le 15 juillet 2019, les médias ont révélé qu’un accès non autorisé au système informatique de la NAP avait eu lieu et que, à la suite de cette cyberattaque, des données à caractère personnel contenues dans ledit système avaient été publiées sur Internet. Plus de six millions de personnes physiques, de nationalité bulgare ou étrangère, ont été concernées par ces évènements. Quelques centaines d’entre elles, dont la requérante au principal, ont introduit, contre la NAP, des actions en réparation de préjudices moraux qui auraient découlé de la divulgation de leurs données à caractère personnel.

Dans ce contexte, la requérante au principal a saisi l’Administrativen sad Sofia-grad (tribunal administratif de la ville de Sofia, Bulgarie) d’un recours visant à obtenir que la NAP lui verse la somme de 1 000 leva bulgares. Par décision du 27 novembre 2020, l’Administrativen sad Sofia-grad (tribunal administratif de la ville de Sofia) a rejeté le recours de la requérante au principal aux motifs que la divulgation résultait d'un piratage e qu'aucune preuve d'insuffisance des mesures de sécurité n'a été apportée. La requérante au principal s’est alors pourvue en cassation contre ladite décision devant le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), qui est la juridiction de renvoi.

Apport(s)
Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence Extrait(s) pertinent(s)31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire. 39. Eu égard aux motifs qui précèdent, il convient de répondre à la première question que les articles 24 et 32 du RGPD doivent être interprétés en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32. Article(s) du RGPD Article 24 – Responsabilité du responsable du traitement Article 32 – Sécurité du traitement Article 82 – Droit à réparation et responsabilité Fait référence à > CJUE – Planet49 – C-673/17 > CJUE – Österreichische Post AG – C-300/21 Autres informations
Caractère approprié des mesures de sécurité - Appréciation concrète par les juges du fond - Prise en compte des risques liés au traitement Extrait(s) pertinent(s)47. Par conséquent, il convient de répondre à la deuxième question que l’article 32 du RGPD doit être interprété en ce sens que le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à Autres informations
Caractère approprié des mesures de sécurité - Charge de la preuve supportée par le responsable de traitement Extrait(s) pertinent(s)57. Il convient donc de répondre à la première partie de la troisième question que le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du RGPD et concrétisé à l’article 24 de celui-ci, doit être interprété en ce sens que, dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement. Article(s) du RGPD Article 5 – Principes relatifs au traitement Article 24 – Responsabilité du responsable du traitement Article 32 – Sécurité du traitement Article 82 – Droit à réparation et responsabilité Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22 > CJUE – Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) – C-252/21 Autres informations
Caractère approprié des mesures de sécurité - Expertise judiciaire comme moyen de preuve - Systématiquement nécessaire et suffisant - Absence Extrait(s) pertinent(s)64. Eu égard aux motifs qui précèdent, il convient de répondre à la seconde partie de la troisième question que l’article 32 du RGPD et le principe d’effectivité du droit de l’Union doivent être interprétés en ce sens que, afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à > CJUE – Nemzeti Adatvédelmi és Információszabadság Hatóság – C-132/21 > CJUE – Österreichische Post AG – C-300/21 > CJUE – Ligue des droits humains – C-817/19 Autres informations
Violation du RGPD - Réparation du préjudice - Divulgation non autorisée (ou accès non autorisé) par des tiers - Absence d'exonération Extrait(s) pertinent(s)74. Eu égard à l’ensemble de ces considérations, il y a lieu de répondre à la quatrième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens que le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable. Article(s) du RGPD Article 82 – Droit à réparation et responsabilité Fait référence à Autres informations
Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires Extrait(s) pertinent(s)86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition. Article(s) du RGPD Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel Article 82 – Droit à réparation et responsabilité Fait référence à > CJUE – Österreichische Post AG – C-300/21 Autres informations