Alarmant : La Cour de justice risque de limiter fortement l'application du droit à la vie privée des Européens
À peine remarqué par le grand public, l'avocat général (AG) de la Cour de justice de l'Union européenne (CJUE) a émis un avis visant à limiter l'une des dernières voies potentielles pour les utilisateurs de faire valoir leurs droits à la vie privée en vertu du GDPR. Selon l'AG, les Européens pourraient difficilement obtenir des compensations pour les violations du GDPR - bien que le GDPR prévoie explicitement une demande de dommages et intérêts non matériels. L'arrêt définitif sera rendu par la CJUE dans les prochains mois.
- Avis de l'AG dans l'affaire C-300/21
- Renvoi autrichien à la CJEU sur les dommages immatériels (en allemand)
- Arrêt définitif autrichien sur les autres demandes dans cette affaire (en allemand)
Ressources supplémentaires :
- Analyse détaillée de l'avis de l'AG par Max Schrems (en anglais)
- podcast "Grump GDPR" avec Max Schrems sur cet avis (sur transistor.fm)
Contexte de l'affaire. Le service postal autrichien a calculé illégalement le penchant politique de millions d'Autrichiens, en violation du GDPR. Un plaignant viennois qui a été associé à tort au Parti de la liberté, un parti populiste de droite, a poursuivi le service postal en dommages et intérêts, réclamant 1 000 € pour une colère massive, une perte de confiance et un sentiment d'exposition. Le GDPR mentionne explicitement une demande de dommages et intérêts non matériels. Néanmoins, la Cour suprême autrichienne (OGH) a renvoyé trois questions à la CJUE, demandant si l'article 82 du GDPR permet des dommages sans dommages matériels ou si les tribunaux autrichiens peuvent exiger un "seuil" supplémentaire pour accorder des dommages immatériels.
Pas de dommages et intérêts pour la plupart des violations du GDPR ? La Cour suprême autrichienne a principalement demandé si elle pouvait limiter l'octroi de dommages et intérêts non matériels, si la colère d'un plaignant ne va pas au-delà de la colère qui accompagne la violation des droits du GDPR. Comme cette définition inclurait tous les types réalistes de colère pouvant découler d'une violation du GDPR, elle saperait largement l'intention du législateur d'accorder des dommages immatériels pour les violations du droit à la protection des données.
Max Schrems : "Cette affaire est profondément troublante. Si le point de vue de la Cour suprême autrichienne et de l'avocat général prévaut, la plupart des utilisateurs ne verront plus jamais de compensation pour les violations du GDPR. J'ai parlé à de nombreux experts ces derniers jours et vous entendez une inquiétude largement répandue."
Les autres options ne sont pas efficaces. L'avis de l'AG pointe à plusieurs reprises d'autres options que les dommages et intérêts, comme de simples déclarations, des dommages nominaux (généralement 1 €) ou des injonctions. Bien que tout plaignant sans aucun doute a le droit d'intenter de telles actions, elles ne peuvent généralement pas remédier aux violations passées ou rappeler les données illégalement partagées. Les plaignants devraient investir des sommes considérables pour obtenir un simple bout de papier indiquant qu'ils avaient raison. Les contrôleurs s'en tireraient avec les bénéfices des violations du GDPR sans aucune conséquence réaliste.
Max Schrems : "Il en coûte des milliers et souvent des dizaines de milliers d'euros pour intenter une action civile. Personne ne porterait plainte pour simplement obtenir un bout de papier disant qu'il avait raison."
L'avis de l'AG pointe également du doigt les autorités de protection des données (APD) pour qu'elles fassent leur travail. En réalité, de nombreuses autorités de protection des données considèrent toujours qu'elles n'ont pas le devoir de faire respecter les droits des utilisateurs. Certaines autorités estiment que les utilisateurs ne sont même pas parties à une procédure devant elles. L'avis de l'AG soutient qu'un plus grand nombre d'affaires devant les tribunaux civils "priverait" les DPA de plaintes, alors qu'en réalité, beaucoup ne traitent même pas le nombre actuel de plaintes.
Max Schrems : "Certaines sections de cet avis sont profondément cyniques pour quiconque travaille dans ce domaine. Nous avons une énorme lacune dans l'application du GDPR. Dans le même temps, il semble que l'avis tienne compte de nombreux arguments pour limiter l'application. C'est une approche très problématique venant de la Cour de justice."
Des " dommages " fragmentés dans l'UE ? L'avis de l'AG semble également permettre aux 30 États membres de l'UE et de l'EEE de proposer leurs propres " seuils " ou d'autres lois nationales susceptibles de limiter la compensation intégrale des dommages immatériels clairement prévue par le GDPR. Cela entraînerait une fragmentation massive, car certains États membres autoriseraient une compensation intégrale et d'autres pourraient introduire des limites de plus en plus élevées.
Même pas de clarté dans l'affaire en question. Même si les points de vue de l'avis de l'AG sont acceptés, il n'y a pas de réponse claire à l'affaire sous-jacente. La note 86 admet elle-même qu'en "exposant ces considérations, je ne préjuge pas de la question de savoir si, en l'espèce, la situation [du plaignant] relève de l'une ou l'autre catégorie" - ce qui signifie qu'il n'est toujours pas clair si le plaignant dans l'affaire autrichienne doit être indemnisé ou non.
L'avis n'est pas juridiquement rigoureux. Outre les questions relatives aux conclusions de l'avis de l'AG, celui-ci présente également de graves lacunes juridiques. L'avis soutient en partie que les règles relatives aux dommages et intérêts seraient harmonisées dans l'UE, pour ensuite affirmer que les États membres peuvent s'écarter de la loi. De même, des concepts tels que la "perte de contrôle" ou la libre circulation des données à caractère personnel dans l'UE semblent être très mal compris dans l'avis de l'AG. noyb a préparé un résumé juridique de 10 pages de l'avis de l'AG, mettant en évidence un grand nombre de ces erreurs plutôt techniques dans l'avis.
Max Schrems : "Nous espérons vivement que les juges ne suivront pas cet avis. Il ne résout pas les problèmes devant la Cour, et n'est pas juridiquement solide, mais il peut être utilisé pour fermer l'une des dernières voies d'application du GDPR."
Une action judiciaire croissante contre les droits liés au GDPR. Alors que la CJUE a jusqu'à présent adopté une approche très neutre et technique du GDPR, il devient de plus en plus évident que certaines juridictions nationales renvoient à la CJUE d'innombrables questions visant à limiter le GDPR. Actuellement, il y a environ 40 références à la CJEU, principalement avec des questions qui permettraient de limiter les droits du GDPR, ou avec des non questions qui sont clairement décidées sous le GDPR.
Max Schrems : "Nous constatons une tendance inquiétante selon laquelle les tribunaux limitent petit à petit les droits prévus par le GDPR et ajoutent de plus en plus de barrières. Alors que 96% du Parlement européen et tous les États membres de l'UE se sont prononcés en faveur de protections fortes de la vie privée, nous ne voyons guère d'application sur le terrain. Il semble que certains juges aient été convaincus par l'industrie que le GDPR doit être limité. Nous voyons de plus en plus de jugements qui tentent de défaire progressivement le GDPR en limitant les plaignants et les autorités. C'est notamment une tendance dans les pays germanophones et aux Pays-Bas. Certains tribunaux semblent espérer que la CJUE limitera le GDPR. De nombreux jugements se lisent comme si les juges voulaient faire la bonne chose en ajoutant ces barrages routiers, alors qu'ils s'écartent en fait d'une décision démocratique claire."
La décision finale de la CJUE dans cette affaire sera rendue dans les prochains mois.