L’avocat général de la Cour de justice de l’Union européenne (CJUE) a rendu un avis non contraignant, dont les défenseurs de la vie privée craignent qu’il ne limite davantage les possibilités des utilisateurs de faire valoir leurs droits en matière de protection de la vie privée dans le cadre du RGPD.
Selon l’avis rendu la semaine dernière, les Européens seraient difficilement indemnisés si leurs droits sont violés en vertu du Règlement général sur la protection des données, même si le règlement de l’UE sur la protection des données prévoit une demande d’indemnisation pour les dommages immatériels.
L’avis a été rendu en réaction à une affaire autrichienne dans laquelle le service postal national a calculé illégalement l’affiliation politique de millions d’Autrichiens, en violation du GDPR. Les noms, adresses et dates de naissance ont été utilisés comme données sous-jacentes de leur algorithme.
En octobre 2019, l’autorité autrichienne de protection des données a infligé une amende de 18 millions d’euros au service postal national autrichien pour avoir violé le GDPR après avoir utilisé ces éléments de données personnelles pour offrir des services de marketing à divers partis politiques pour la publicité.
Un plaignant viennois, associé au parti de droite Freedom Party par le biais de l’algorithme, a également poursuivi le service postal pour des dommages immatériels, réclamant 1 000 € pour la colère, la perte de confiance et le sentiment d’exposition subis. Il a déclaré que le fait d’être associé au parti de droite était insultant, honteux et très dommageable pour sa réputation.
Ses demandes ont été rejetées par les tribunaux de première et deuxième instance, qui ont fait valoir que la gêne et le sentiment de désagrément étaient inférieurs au seuil donnant droit à une indemnisation.
La Cour suprême autrichienne a alors saisi la Cour de justice de l’Union européenne, en demandant si l’octroi de dommages-intérêts moraux pouvait être limité si la colère d’un plaignant ne va pas au-delà de la colère liée à la violation des droits prévus par le GDPR.
Selon l’organisation à but non lucratif noyb, fondée par Max Schrems et basée en Autriche, cette définition inclurait tous les types de colère découlant d’une violation du GDPR. Par conséquent, les dommages immatériels pour les violations du GDPR ne seraient guère accordés.
Max Schrems, avocat et défenseur de la vie privée, a déclaré: « Cette affaire est profondément troublante. Si l’opinion de la Cour suprême autrichienne et de l’avocat général prévaut, la plupart des utilisateurs ne verront plus jamais de compensation pour les violations du GDPR ».
Bien que l’avis indique d’autres options que les dommages-intérêts, comme les déclarations, les dommages nominaux ou les injonctions, il semble permettre aux pays de l’Union Européenne de créer leurs propres seuils susceptibles de limiter l’indemnisation des dommages immatériels en vertu du GDPR.
