CJUE, n° C-340/21, Arrêt (JO) de la Cour, 14 décembre 2023

CJUE, Demande (JO) 2 juin 2021

CJUE, Conclusions de l'avocat général 27 avril 2023

CJUE, Arrêt 14 décembre 2023

CJUE, Arrêt (sommaire) 14 décembre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Violation de la protection des données personnelles
La cour a reconnu que la crainte d'un potentiel usage abusif des données personnelles constitue un dommage moral au sens de la réglementation sur la protection des données.

Commentaires • 35

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. “Merci FREE !?!” ----- 24 millions de victimes FREE non informées ---- 24 jours d’intrusions non détectées ---- FREE n’informe pas la CNIL ---- les Hackers si !…

Me Armand-ari Bettan · consultation.avocat.fr · 2 juin 2026

2. Rapport cnil 2025 | pres de 500 millions € d'amendes | la cnil transforme l’obligation de sécurité de l’article 32 rgpd en ligne budgétaire incontournable.

Me Armand-ari Bettan · consultation.avocat.fr · 1 juin 2026

3. Rapport CNIL 2025 | Près de 500 millions d'amendes | La CNIL transforme l’obligation de sécurité de l’article 32 du RGPD en ligne budgétaire incontournable (;

Me Armand-ari Bettan · consultation.avocat.fr · 1 juin 2026

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (35)

Sur la décision

Référence :	CJUE, Cour, 14 déc. 2023, C-340/21
Numéro(s) :	C-340/21
Affaire C-340/21, Natsionalna agentsia za prihodite: Arrêt de la Cour (troisième chambre) du 14 décembre 2023 (demande de décision préjudicielle du Varhoven administrativen sad — Bulgarie) — VB / Natsionalna agentsia za prihodite [Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs à ce traitement – Article 24 – Responsabilité du responsable du traitement – Article 32 – Mesures mises en œuvre pour garantir la sécurité du traitement – Appréciation du caractère approprié de telles mesures – Portée du contrôle juridictionnel – Administration des preuves – Article 82 – Droit à réparation et responsabilité – Exonération éventuelle de responsabilité du responsable du traitement en cas de violation commise par des tiers – Demande de réparation d’un préjudice moral fondée sur la crainte d’un potentiel usage abusif de données à caractère personnel]
Date de dépôt :	2 juin 2021
Identifiant CELEX :	62021CA0340
Télécharger le PDF original fourni par la juridiction

Texte intégral

Journal officiel
de l’Union européenne

Séries C

C/2024/1065

5.2.2024

Arrêt de la Cour (troisième chambre) du 14 décembre 2023 (demande de décision préjudicielle du Varhoven administrativen sad — Bulgarie) — VB / Natsionalna agentsia za prihodite

(Affaire C-340/21 (1), Natsionalna agentsia za prihodite)

(Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs à ce traitement – Article 24 – Responsabilité du responsable du traitement – Article 32 – Mesures mises en œuvre pour garantir la sécurité du traitement – Appréciation du caractère approprié de telles mesures – Portée du contrôle juridictionnel – Administration des preuves – Article 82 – Droit à réparation et responsabilité – Exonération éventuelle de responsabilité du responsable du traitement en cas de violation commise par des tiers – Demande de réparation d’un préjudice moral fondée sur la crainte d’un potentiel usage abusif de données à caractère personnel)

(C/2024/1065)

Langue de procédure: le bulgare

Juridiction de renvoi

Varhoven administrativen sad

Parties à la procédure au principal

Partie requérante: VB

Partie défenderesse: Natsionalna agentsia za prihodite

Dispositif

Les articles 24 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que:

une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des «tiers», au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas «appropriées», au sens de ces articles 24 et 32.

L’article 32 du règlement 2016/679

doit être interprété en ce sens que:

le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.

Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui-ci,

doit être interprété en ce sens que:

dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.

L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union

doivent être interprétés en ce sens que:

afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

L’article 82, paragraphe 3, du règlement 2016/679

doit être interprété en ce sens que:

le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des «tiers», au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que:

la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un «dommage moral», au sens de cette disposition.

(1) JO C 329, du 16/08/2021

ELI: http://data.europa.eu/eli/C/2024/1065/oj

ISSN 1977-0936 (electronic edition)