May 12, 2023
Dans cet arrêt du 11 avril 2023, la patiente reprochait notamment à l’AP-HP (i) de ne pas avoir donné son consentement au recueil et à la conservation de ses données au sein de son dossier médical et (ii) de ne pas avoir été informée de son droit de rectification.
La patiente imputait, de ce fait, à l’AP-HP, un préjudice moral lié à une atteinte à l’intimité de sa vie privée en raison de la nature des données personnelles mentionnées dans son dossier médical. Ces mêmes données avaient pu être consultées par des professionnels de santé avant même qu'elle ne soit informée de son droit de rectification.
En dépit de ce manquement au RGPD, la CAA de Paris a cependant retenu l’absence de préjudice :
Selon la CAA de Paris, le préjudice allégué par la patiente ne pouvait donc être établi.
Cette position a été confortée par la CJUE dans le cadre d'une toute autre affaire.
Les faits à l’origine du renvoi préjudiciel dont était saisie la CJUE sont les suivants : l’entreprise autrichienne Österreichische Post avait traité des données qui l’avaient amenée, via une extrapolation statistique, à déduire l’existence d’une affinité élevée du requérant avec un certain parti politique.
Ce requérant, qui n’avait pas consenti au traitement de ses données personnelles, sollicitait la réparation du préjudice moral subi.
La saisine de la part des juridictions autrichiennes avait vocation à répondre à deux principales interrogations :
En premier lieu, la CJUE a affirmé que le droit à réparation ne peut résulter de la simple violation du RGPD. Le droit à réparation prévu par le RGPD est subordonné de manière univoque à 3 conditions cumulatives :
Cette analyse est conforme à l’article 82, paragraphe 1, de même qu’aux considérants 75, 85 et 146 du RGPD.
La CJUE rappelle toutefois la distinction fondamentale entre les actions en réparation (finalité compensatoire) et les autres voies de recours ouvertes par le RGPD (finalité punitive), qui permettent notamment d’infliger des amendes administratives et d’autres sanctions, sans être subordonnées à l’existence d’un dommage individuel.
En deuxième lieu, la CJUE a conclu qu’il n’existe pas de seuil de gravité du dommage pour conférer un droit de réparation. La position de la CJUE est, encore là, dénuée d’ambiguïté :
« Subordonner la réparation d’un dommage moral à un certain seuil de gravité risquerait de nuire à la cohérence du régime instauré par le RGPD. En effet, la graduation dont dépendrait la possibilité ou non d’obtenir de la réparation serait susceptible de fluctuer en fonction de l’appréciation des juges saisis »
Enfin, la CJUE rappelle l’absence de règles relatives à l’évaluation des dommages-intérêts prévues au sein du RGPD. La fixation des modalités relatives aux actions en réparation, et notamment des règles relatives à l’étendue de la réparation pécuniaire relèvent du seul droit national, sous réserve de respecter les principes d’équivalence et d’effectivité du droit de l’UE.
Encore une fois, la Cour souligne la fonction compensatoire du droit à réparation prévu par le RGPD et rappelle, à ce titre, la nécessité d’une réparation intégrale du dommage subi.
.png)
