noyb se félicite de la décision de principe rendue hier par la Cour fédérale de justice allemande sur les réclamations liées à un incident de protection des données chez Facebook
Copyright pour l'image d'en-tête ci-dessus : Steffen Prößdorf, CC BY-SA 4.0 , via Wikimedia Commons
- Pressemitteilung des Bundesgerichtshofs (en anglais)
- Video der Urteilsverkündung (en anglais)
- ZDF-Bericht über das Urteil (en anglais)
Déclaration de Max Schrems.
Max Schrems : "Malgré les dispositions claires du GDPR et plusieurs décisions de la CJEU, les tribunaux allemands ont régulièrement refusé d'accorder des dommages-intérêts dans les affaires de protection des données. Nous nous réjouissons que le BGH ait mis les pieds dans le plat et mis la jurisprudence allemande en conformité. Le débat juridique en Allemagne a jusqu'à présent été dominé par les avocats d'affaires, et certains tribunaux se sont laissés influencer par leurs théories grossières et ont rapidement rejeté des affaires délicates liées au GDPR. En conséquence, l'Allemagne est devenue un problème à l'échelle européenne pour les affaires de protection des données"
Les tribunaux et la littérature allemande sont jusqu'à présent extrêmement hostiles au GDPR. En Allemagne, la littérature juridique a une grande influence sur les tribunaux. Toutefois, dans le domaine de la protection des données, il n'y a pratiquement que des avocats spécialisés dans les entreprises. Par ailleurs, la recherche dans le domaine des droits numériques est de plus en plus souvent commandée et payée par les entreprises, dans des proportions alarmantes, souvent sans que cela soit divulgué en conséquence. Dans ce contexte, une industrie a vu le jour qui continue à produire des théories rudimentaires expliquant pourquoi les plaintes relatives au GDPR devraient être rejetées ou pourquoi les dommages-intérêts pour violation de la protection des données sont virtuellement inexistants.
Par exemple, un "seuil de matérialité" a été inventé en Allemagne, à la suite de quoi les tribunaux ont rejeté de nombreuses demandes de dommages-intérêts au titre du GDPR en les qualifiant d'"immatérielles". Les tribunaux autrichiens ont également adopté cette théorie, bien que le GDPR n'offre aucune base pour cela. Seule la CJUE y a mis un terme(C-300/21 Österreichische Post). Néanmoins, certains tribunaux allemands ont rejeté à plusieurs reprises de telles affaires, contrairement à l'arrêt de la CJUE.
L'atteinte à la vie privée est le "dommage principal". Il est souvent difficile de calculer le dommage lorsque les droits ne sont pas directement "mesurables". Toutefois, dans d'autres domaines que la protection des données, ce n'est pas une raison pour ne pas accorder de dommages-intérêts. Dans le droit des médias, par exemple, une insulte peut constituer un "dommage" au même titre que la douleur d'une jambe cassée. Dans d'autres domaines, les tribunaux ont progressivement défini le type d'indemnisation approprié. Dans certains pays de l'UE, cela a également conduit à l'élaboration de "tableaux de fracture" informels pour les demandes d'indemnisation.
les "dommages secondaires" peuvent faire l'objet d'une indemnisation indépendante. L'atteinte au droit fondamental à la protection des données peut également être séparée des "dommages secondaires". Par exemple, une personne peut déjà souffrir de la publication illégale d'une maladie. Si l'on perd ensuite son emploi à cause de cette publication, il s'agit d'un second dommage secondaire indépendant, qui peut faire l'objet d'une indemnisation distincte. Jusqu'à présent, les juristes d'entreprise ont toujours nié que le droit fondamental à la protection des données constituait un préjudice et se sont concentrés sur les dommages secondaires (rares et difficiles à prouver).
Résumé de la décision : dans son arrêt de principe d'hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du GDPR, à condition que ce préjudice soit dû à une violation du GDPR. Ce faisant, la Cour suprême allemande suit la jurisprudence de la CJUE (voir(C-200/23). D'autres inconvénients, tels que l'utilisation abusive des données ou d'autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si le BGH traitait spécifiquement d'une violation de données sur Facebook, les déclarations contenues dans l'arrêt peuvent probablement s'appliquer à d'autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.
