Votre recherche

Popular Tags

Paris

23.3°C
Clear Sky Humidity: 59%
Wind: NE at 4.12 M/S

CJUE : présomption de faute du responsable du traitement pour l'accès illicite de tiers à des données personnelles

Protection de la vie privée

L’accès illicite de la part de tiers à des données à caractère personnel implique la responsabilité pour faute présumée du responsable du traitement et peut donner lieu à un dommage moral réparable.

La Cour suprême administrative bulgare a posé à la Cour de justice de l'Union européenne plusieurs questions préjudicielles portant sur l’interprétation du règlement général sur la protection des données (règlement n° 2016/679 du 27 avril 2016 - RGPD) visant à faire préciser les conditions de réparation du préjudice moral invoqué par une personne dont les données à caractère personnel, en possession d’une agence publique, ont fait l’objet d’une publication sur Internet à la suite d’une attaque de hackers.

Dans ses conclusions du 27 avril 2023 (affaire C-340/21), l’avocat général Giovanni Pitruzzella précise que l’accès illicite de la part de tiers à des données à caractère personnel implique la responsabilité pour faute présumée du responsable du traitement et peut donner lieu à un dommage moral réparable.

En premier lieu, l’avocat général estime que la survenance d’une "violation des données à caractère personnel" n’est pas en soi suffisante pour conclure que les mesures techniques et organisationnelles appliquées par le responsable du traitement n’étaient pas "appropriées".

En deuxième lieu, l’avocat général précise que, lors de la vérification du caractère approprié des mesures, la juridiction nationale doit effectuer un contrôle qui s’étend à l’analyse concrète tant du contenu de ces mesures que de la manière dont elles ont été appliquées et de leurs effets pratiques. Le contrôle juridictionnel devra tenir compte, par conséquent, de tous les facteurs contenus dans le RGPD.
Parmi ceux-ci, l’adoption de codes de conduite ou de systèmes de certification peut fournir un élément utile d’appréciation aux fins de la preuve à apporter, étant précisé que le responsable du traitement a la charge de prouver qu’il a adopté concrètement les mesures prévues par le code de conduite, alors que la certification constitue en soi la preuve de la conformité au RGPD des traitements effectués.
Puisque les mesures doivent être réexaminées et actualisées si nécessaire, la juridiction devra apprécier également cette circonstance.

En troisième lieu, l’avocat général (...)

Cet article est réservé aux abonné(e)s LegalNews
Vous êtes abonné(e) ?
Identifiez-vous
Vous n'êtes pas abonné(e) à LegalNews
Découvrez nos formules d'abonnement
Image
Back To Top

Actualisé quotidiennement, le Monde du Droit est le magazine privilégié des décideurs juridiques. Interviews exclusives, les décryptages des meilleurs spécialistes, toute l’actualité des entreprises, des cabinets et des institutions, ainsi qu’une veille juridique complète dans différentes thématiques du droit. De nombreux services sont également proposés : annuaire des juristes d’affaires, partenariats de rubriques (affichez votre expertise sur Le Monde du Droit), création d’émissions TV diffusées sur 4Change (Interviews, talkshows, chroniques...), valorisation de vos différentes actions (deals, nominations, études, organisations d’événements, publication de contributions, récompenses, création de votre cabinet...)