Doctrine
Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-340/21, Demande (JO) de la Cour, 2 juin 2021

CJUE, n° C-340/21, Demande (JO) de la Cour, 2 juin 2021

  • Communication des données·
  • Protection des données·
  • Accès à l'information·
  • Piratage informatique·
  • Données personnelles·
  • Responsabilité·
  • Règlement (ue)·
  • Responsable du traitement·
  • Traitement de données·
  • Mesure technique

Chronologie de l’affaire

Commentaire1

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CJUE, Cour, 2 juin 2021, C-340/21
Numéro(s) : C-340/21
Affaire C-340/21: Demande de décision préjudicielle présentée par le Varhoven administrativen sad (Bulgarie) le 2 juin 2021 — VB/Natsionalnata agentsia za prihodite
Date de dépôt : 2 juin 2021
Identifiant CELEX : 62021CN0340
Journal officiel : JOR 329 du 16 août 2021
Télécharger le PDF original fourni par la juridiction

Texte intégral

16.8.2021

FR

Journal officiel de l’Union européenne

C 329/12

Demande de décision préjudicielle présentée par le Varhoven administrativen sad (Bulgarie) le 2 juin 2021 — VB/Natsionalnata agentsia za prihodite

(Affaire C-340/21)

(2021/C 329/16)

Langue de procédure: le bulgare

Juridiction de renvoi

Varhoven administrativen sad

Parties dans la procédure au principal

Partie requérante: VB

Partie défenderesse: Natsionalnata agentsia za prihodite

Questions préjudicielles

1.

Les dispositions des articles 24 et 32 du règlement (UE) 2016/679 (1) peuvent-elles être interprétées en ce sens qu’une divulgation ou un accès non autorisés à des données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, par des personnes qui ne sont pas des employés de l’administration du responsable du traitement des données à caractère personnel et ne sont pas sous le contrôle de celui-ci, suffit pour considérer que les mesures techniques et organisationnelles mises en œuvre n’étaient pas appropriées?

2.

En cas de réponse négative à la première question préjudicielle, quels doivent être l’objet et l’étendue du contrôle juridictionnel de légalité lors de l’examen du point de savoir si les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel en vertu de l’article 32 du règlement (UE) 2016/679 sont appropriées?

3.

En cas de réponse négative à la première question préjudicielle, le principe de responsabilité au sens de l’article 5, paragraphe 2 et l’article 24, en combinaison avec le considérant 74 du règlement (UE) 2016/679, peuvent-ils être interprétés en ce sens que, dans le cadre d’une action au titre de l’article 82, paragraphe 1, du règlement (UE) 2016/679, le responsable du traitement des données à caractère personnel supporte la charge de la preuve que les mesures techniques et organisationnelles mises en œuvre en vertu de l’article 32 du règlement sont appropriées? Si la juridiction ordonne une expertise judiciaire, cela peut-il être considéré comme un moyen de preuve nécessaire et suffisant pour établir si les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement des données à caractère personnel étaient appropriées dans un cas de figure comme celui de l’espèce, où l’accès et la divulgation non autorisés résultent d’une «attaque de hackers»?

4.

La disposition de l’article 82, paragraphe 3, du règlement (UE) 2016/679 peut-elle être interprétée en ce sens qu’une divulgation ou un accès non autorisés à des données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, en l’espèce par une «attaque de hackers» commise par des personnes qui ne sont pas des employés de l’administration du responsable du traitement des données à caractère personnel et ne sont pas sous le contrôle de celui-ci, constitue un fait qui n’est nullement imputable au responsable du traitement des données à caractère personnel et représente un motif d’exonération de responsabilité?

5.

Les dispositions de l’article 82, paragraphes 1 et 2, en combinaison avec les considérants 85 et 146, du règlement (UE) 2016/679, peuvent-elles être interprétées en ce sens que, dans un cas de figure comme celui de l’espèce, de violation de la sécurité de données à caractère personnel, se traduisant par un accès et une diffusion non autorisés de données personnelles, dans le cadre d’une «attaque de hackers», les préoccupations, les craintes et la peur, en tant que telles, de la personne concernée, d’un éventuel usage abusif futur de données personnelles, sans que soit établi un tel usage abusif et/ou que la personne concernée ait subi un autre dommage, relèvent du sens large de la notion de préjudice moral et justifient une indemnisation?

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1)

Chercher les extraits similaires
highlight
Chercher les extraits similaires
Extraits les plus copiés
Chercher les extraits similaires

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-340/21, Demande (JO) de la Cour, 2 juin 2021
Contenus populaires
Recherches fréquentes

Doctrine / Décisions de justice / 2021

  1. Doctrine
  2. Décisions de justice
  3. 2021
  4. CJUE, Cour, 2 juin 2021, C-340/21
Contactez notre service commercial au 01 84 80 33 48