–

pour SO, par Me M. Ruigrok van de Werve, Rechtsanwalt,

–

pour Scalable Capital GmbH, par Me M. C. Mekat, Rechtsanwalt,

–

pour l’Irlande, par Mme M. Browne, Chief State Solicitor, MM. A. Joyce et M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,

–

pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

1

Les demandes de décision préjudicielle portent sur l’interprétation de l’article 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Ces demandes ont été présentées dans le cadre de deux litiges opposant respectivement JU et SO à Scalable Capital GmbH au sujet de la réparation du préjudice moral qu’ils affirment avoir subi en raison du vol, par des tiers dont l’identité est inconnue, de leurs données personnelles enregistrées sur une application de trading gérée par cette société.

3

Les considérants 75, 85 et 146 du RGPD sont libellés comme suit :

[…]

[…]

4

L’article 4 de ce règlement, intitulé « Définitions », prévoit :

« Aux fins du présent règlement, on entend par :

[…]

[…]

[…]

[…] »

5

L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », dispose, à ses paragraphes 1 à 3 :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »

6

Scalable Capital, une société de droit allemand, gère une trading app (application de trading) sur laquelle les requérants au principal, JU et SO, avaient ouvert un compte. À cet effet, ces derniers ont enregistré certaines données à caractère personnel sur leurs comptes respectifs, en particulier leur nom, leur date de naissance, leur adresse postale, leur adresse de courrier électronique ainsi qu’une copie numérique de leur carte d’identité. Un montant de plusieurs milliers d’euros nécessaire à l’ouverture de ces comptes avait été versé par les requérants au principal.

7

Au cours de l’année 2020, des données personnelles ainsi que des données relatives au portefeuille de titres des requérants au principal ont été piratées par des tiers dont l’identité demeure inconnue. Selon Scalable Capital, lesdites données personnelles n’ont pas fait l’objet d’un usage frauduleux jusqu’à présent.

8

Dans ce contexte, les requérants au principal ont saisi l’Amtsgericht München (tribunal de district de Munich, Allemagne), qui est la juridiction de renvoi, d’un recours tendant à obtenir la réparation du préjudice moral qu’ils affirment avoir subi en raison du vol de leurs données personnelles.

9

En premier lieu, les interrogations de la juridiction de renvoi découlent d’approches divergentes des juridictions allemandes pour l’évaluation des dommages-intérêts qu’il convient d’accorder dans ce type de situation. Il en résulte des variations importantes du montant de la réparation pécuniaire accordée dans des cas pourtant analogues à ceux en cause au principal, notamment selon qu’il a été tenu compte, ou pas, d’un éventuel effet dissuasif. La juridiction de renvoi indique que, en l’occurrence, plusieurs dizaines de milliers de personnes sont affectées par la perte des données en cause et qu’il conviendrait donc d’adopter un mode d’évaluation uniforme.

10

En deuxième lieu, s’agissant de l’évaluation des dommages moraux, elle s’appuie sur le droit allemand pour distinguer une fonction de « compensation » d’une fonction de « satisfaction personnelle ». La fonction de compensation viserait à compenser les conséquences subies et prévisibles du préjudice allégué, tandis que la fonction de satisfaction personnelle viserait à neutraliser le sentiment d’injustice ressenti du fait de la survenance dudit préjudice. Elle indique que, en droit allemand, cette fonction de satisfaction ne joue qu’un rôle accessoire et elle estime que, en l’occurrence, cette fonction ne devrait exercer aucune influence sur le calcul des dommages-intérêts réclamés par les requérants.

11

En troisième lieu, il n’existerait pas, en droit allemand, de barème permettant de fixer le montant des dommages-intérêts qu’il convient d’accorder selon les situations dans lesquelles ils sont réclamés. Toutefois, le grand nombre de décisions individuelles rendues permettrait de fixer un cadre auquel se référer, ce qui conduit à une forme de systématisation des compensations. À cet égard, dans l’ordre juridique allemand, une réparation pécuniaire ne serait accordée pour compenser des atteintes aux droits de la personnalité que lorsque celles-ci sont particulièrement graves. L’évaluation pécuniaire serait plus objectivable pour la compensation d’atteintes corporelles. La juridiction de renvoi est donc d’avis que la perte des données devrait avoir un poids moindre que celui des atteintes physiques.

12

En quatrième lieu, cette juridiction s’interroge sur la possibilité d’octroyer de faibles indemnisations, qui pourraient être perçues comme étant symboliques, dans les cas où le préjudice lié à une violation du RGPD est minime.

13

En cinquième lieu, elle observe que les parties au principal interprètent de manière différente la notion de « vol d’identité ». À cet égard, elle estime qu’il y a seulement un vol d’identité lorsque les données illégalement obtenues sont utilisées par un tiers afin d’usurper l’identité de la personne concernée.

14

Dans ces conditions, l’Amtsgericht München (tribunal de district de Munich) a décidé, dans les affaires C-182/22 et C-189/22, de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes, qui sont libellées en des termes identiques dans ces deux affaires :

15

Par décision du président de la Cour du 19 avril 2022, les affaires C-182/22 et C-189/22 ont été jointes aux fins des phases écrite et orale de la procédure ainsi que de l’arrêt.

16

Le 1er juin 2022, le président de la Cour a rejeté la demande de Scalable Capital tendant à obtenir l’anonymisation de la présente procédure au titre de l’article 95, paragraphe 2, du règlement de procédure de la Cour.

17

Scalable Capital soutient, en substance, que les présentes demandes de décision préjudicielle ne sont pas recevables dans la mesure où elles sont dépourvues d’incidence sur la solution des litiges au principal. Elle considère qu’une perte abstraite de contrôle sur des données, comme c’est le cas en l’occurrence, ne doit pas être qualifiée de « dommage », au sens de l’article 82, paragraphe 1, du RGPD lorsqu’une telle perte de contrôle est restée sans conséquence concrète, et donc que les conditions d’application dudit article 82 ne sont pas remplies. En effet, une telle qualification reviendrait à considérer que toute violation du règlement fait naître une présomption de dommage, contrairement au libellé, à l’économie générale et à la genèse de l’article 82 du RGPD.

18

À cet égard, selon une jurisprudence constante, il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour, lesquelles bénéficient d’une présomption de pertinence. Partant, dès lors que la question posée porte sur l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer, sauf s’il apparaît de manière manifeste que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile à ladite question [voir arrêts du 5 mai 2022, Zagrebačka banka, C-567/20, EU:C:2022:352, point 43, et du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 23].

19

En l’occurrence, il suffit de rappeler que, lorsqu’il n’apparaît pas de manière manifeste que l’interprétation d’une disposition de droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, l’objection tirée de l’inapplicabilité de cette disposition à l’affaire au principal n’a pas trait à la recevabilité de la demande de décision préjudicielle, mais relève du fond des questions (voir, en ce sens, arrêts du 13 juillet 2006, Manfredi e.a., C-295/04 à C-298/04, EU:C:2006:461, point 30 ; du 4 juillet 2019, Kirschstein, C-393/17, EU:C:2019:563, point 28, ainsi que du 24 juillet 2023, Lin, C-107/23 PPU, EU:C:2023:606, point 66).

20

Il s’ensuit que les présentes demandes de décision préjudicielle sont recevables.

21

Par sa première question et la première partie de sa deuxième question, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi du fait de la violation de ce règlement, ou qu’il remplit également une fonction punitive visant, notamment, à satisfaire les intérêts individuels de la personne concernée.

22

À cet égard, la Cour a déjà jugé que l’article 82 du RGPD revêt une fonction non pas punitive, mais compensatoire, contrairement à d’autres dispositions de ce règlement figurant aussi au chapitre VIII de celui-ci, à savoir ses articles 83 et 84, qui ont, quant à eux, essentiellement une finalité punitive, puisqu’ils permettent respectivement d’infliger des amendes administratives ainsi que d’autres sanctions. L’articulation entre les règles énoncées audit article 82 et celles énoncées auxdits articles 83 et 84 démontre qu’il existe une différence entre ces deux catégories de dispositions, mais aussi une complémentarité, en termes d’incitation à respecter le RGPD, étant observé que le droit de toute personne à demander réparation d’un préjudice renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites [voir, notamment, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 38 et 40, ainsi que du 11 avril 2024, juris, C-741/21, EU:C:2024:288, point 59].

23

Partant, l’article 82, paragraphe 1, du RGPD a été interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive [voir, en ce sens, arrêts du 4 mai 2023,Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 57 et 58, ainsi que du 11 avril 2024, juris, C-741/21, EU:C:2024:288, point 61].

24

Par conséquent, il y a lieu de répondre à la première question et à la première partie de la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice subi.

25

Compte tenu de la réponse apportée à la première question et à la première partie de la deuxième question, il n’est pas nécessaire de répondre à cette deuxième partie de la deuxième question.

26

Par la troisième partie de sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il requiert que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.

27

S’agissant de l’évaluation des dommages-intérêts éventuellement dus en vertu de l’article 82 du RGPD, en l’absence d’une disposition ayant un tel objet dans ce règlement, les juges nationaux doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 53, 54 et 59, ainsi que du 25 janvier 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, point 53].

28

Il importe cependant de souligner, d’une part, que l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, que cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages-intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition (arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, point 103, et du 25 janvier 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, point 52).

29

En outre, la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82, paragraphe 1, du RGPD exclut la prise en compte du caractère éventuellement intentionnel de la violation de ce règlement, que le responsable du traitement est présumé avoir commise, lors de la fixation du montant des dommages-intérêts alloués en réparation d’un préjudice moral sur le fondement de ladite disposition. Ce montant doit toutefois être fixé de manière à compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement (voir, par analogie, arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, point 102, et du 25 janvier 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, point 54).

30

Eu égard aux motifs qui précèdent, il convient de répondre à la troisième partie de la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il ne requiert pas que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur le fondement de cette disposition.

31

Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel est, par nature, moins important qu’un dommage corporel.

32

À cet égard, il importe de rappeler que, conformément à une jurisprudence constante, en l’absence de règles de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre de régler les aspects procéduraux des recours en justice destinés à assurer la sauvegarde des droits des justiciables, en vertu du principe de l’autonomie procédurale, à condition, toutefois, que ces modalités ne soient pas, dans les situations relevant du droit de l’Union, moins favorables que celles régissant des situations similaires soumises au droit interne (principe d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) [voir, en ce sens, arrêts du 13 décembre 2017, El Hassani, C-403/16, EU:C:2017:960, point 26, et du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 53].

33

En l’occurrence, il y a lieu de relever que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages-intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui-ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Partant, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect desdits principes d’équivalence et d’effectivité [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 54].

34

Aucun élément du dossier dont dispose la Cour ne suggérant que le principe d’équivalence pourrait être pertinent dans le contexte des présentes affaires au principal, il y a lieu de se focaliser sur le principe d’effectivité. Dans cette perspective, il appartient à la juridiction de renvoi de déterminer si les modalités prévues en droit allemand, pour la fixation judiciaire des dommages-intérêts dus au titre du droit à réparation consacré à l’article 82 du RGPD, ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union, et plus spécifiquement par ce règlement.

35

À cet égard, il résulte de la jurisprudence rappelée au point 23 du présent arrêt que, compte tenu de la fonction exclusivement compensatoire du droit à réparation prévu à l’article 82 paragraphe 1, de ce règlement, une réparation pécuniaire fondée sur cette disposition doit être considérée comme étant « complète et effective » si elle permet de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement.

36

Dans cette perspective, le considérant 146 dudit règlement indique d’ailleurs que « [l]a notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement » et que « [l]es personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi ».

37

Il convient également de relever que les considérants 75 et 85 du RGPD énoncent différentes circonstances susceptibles d’être qualifiées de « dommages physiques, matériels ou de préjudices moraux » sans opérer de hiérarchie entre elles ni indiquer que les atteintes résultant d’une violation de données sont, par nature, moins importantes que les atteintes corporelles.

38

Or, supposer, par principe, qu’un dommage corporel est, par nature, plus important qu’un dommage moral risquerait de remettre en question le principe d’une réparation complète et effective du dommage subi.

39

Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, il convient de considérer qu’un tel dommage causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel.

40

Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, qui pourrait être perçue comme étant symbolique.

41

Il convient de rappeler qu’il résulte d’une jurisprudence constante que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation, dès lors que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu audit article 82, paragraphe 1, tout comme l’existence d’une violation dudit règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois conditions étant cumulatives [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, point 32, et du 11 avril 2024, juris, C-741/21, EU:C:2024:288, point 34].

42

Ainsi, la personne demandant réparation d’un préjudice moral sur le fondement de cette disposition est tenue d’établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un tel préjudice, lequel ne saurait donc seulement être présumé en raison de la survenance de ladite violation [voir, en ce sens, arrêts du 4 mai 2023,Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 42 et 50, ainsi que du 11 avril 2024, juris, C-741/21, EU:C:2024:288, point 35].

43

Lorsqu’une personne parvient à démontrer que la violation du RGPD lui a causé un dommage ou un préjudice, au sens de l’article 82 de ce règlement, il ressort, en substance, du point 33 du présent arrêt que les critères d’évaluation de la réparation due dans le cadre des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article doivent être fixés au sein de l’ordre juridique de chaque État membre, pour autant qu’une telle réparation soit complète et effective.

44

À cet égard, la Cour a jugé que l’article 82, paragraphe 1, du RGPD n’exige pas que, à la suite d’une violation avérée de dispositions de ce règlement, le préjudice allégué par la personne concernée doive atteindre un « seuil de minimis » pour ouvrir droit à réparation (voir, en ce sens, arrêt du 14 décembre 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, point 18).

45

Cependant, de telles considérations n’excluent pas que les juridictions nationales puissent octroyer une indemnité d’un montant peu élevé pour autant que cette réparation compense intégralement ledit préjudice, ce qu’il appartient à la juridiction de renvoi de vérifier, dans le respect des principes rappelés au point 43 du présent arrêt.

46

Eu égard aux motifs qui précèdent, il convient de répondre à la quatrième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de celui-ci, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi.

47

Dans ses observations écrites, la Commission européenne s’est interrogée sur la pertinence de la cinquième question afin de répondre aux litiges au principal, dans la mesure où elle constate qu’aucune référence à une disposition concrète du droit de l’Union n’a été mentionnée par la juridiction de renvoi.

48

À cet égard, la cinquième question vise la notion de « vol d’identité », au sens du considérant 75 du RGPD, et ne concerne pas formellement l’article 82 de ce règlement. Cependant, le seul fait que la Cour soit appelée à se prononcer en des termes abstraits et généraux ne saurait avoir pour effet d’entraîner l’irrecevabilité d’une demande de décision préjudicielle (arrêt du 15 novembre 2007, International Mail Spain, C-162/06, EU:C:2007:681, point 24).

49

Or, par cette question la juridiction de renvoi demande à la Cour d’interpréter la notion de « vol d’identité », tel que figurant au considérant 75 du RGPD, afin de déterminer le montant de la réparation pécuniaire prévue à l’article 82 du RGPD. Ladite question porte donc bien sur une disposition du droit de l’Union. Au demeurant, la réponse à cette question est également pertinente en ce que ni la juridiction de renvoi ni les parties au principal ne s’accordent sur la définition de cette notion aux fins de l’évaluation du dommage subi dans les affaires en cause au principal.

50

Dans ces conditions, la cinquième question est recevable.

51

Selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises. En outre, la Cour peut être amenée à prendre en considération des normes du droit de l’Union auxquelles le juge national n’a pas fait référence dans l’énoncé de sa question (arrêt du 7 septembre 2023, Groenland Poultry, C-169/22, EU:C:2023:638, point 47 et jurisprudence citée).

52

En l’occurrence, la cinquième question porte sur le droit à réparation prévu à l’article 82, paragraphe 1, du RGPD, et plus particulièrement sur la notion de « vol d’identité », figurant au considérant 75 du RGPD. Or, il convient de relever que, outre ce considérant, cette notion est également mentionnée au considérant 85 de ce règlement.

53

Par conséquent, il y a lieu de considérer que, par sa cinquième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers, ou si un tel vol d’identité est caractérisé dès lors que ce tiers dispose de données qui permettent d’identifier la personne concernée.

54

La notion de vol d’identité n’est pas définie dans le RGPD. Cependant, le « vol » ou « l’usurpation » d’identité sont mentionnés au considérant 75 de ce règlement comme faisant partie d’une liste non exhaustive de conséquences d’un traitement de données à caractère personnel susceptible d’entraîner des dommages physiques ou matériels, ou un préjudice moral. Au considérant 85 dudit règlement, le « vol » ou « l’usurpation » d’identité sont de nouveau évoqués ensemble parmi une liste de dommages physiques ou matériels, ou de préjudice moral susceptibles d’être causés par une violation de données à caractère personnel.

55

Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées.

56

De plus, comme l’a également relevé M. l’avocat général au point 30 de ses conclusions, parmi les différentes notions énoncées dans les listes qui figurent aux considérants 75 et 85 du RGPD, la « perte de contrôle » ou l’empêchement « d’exercer le contrôle » sur des données à caractère personnel sont distingués du « vol » ou de l’« usurpation » d’identité. Il s’ensuit que l’accès et la prise de contrôle sur de telles données, qui pourraient être assimilés à un vol de ces dernières, ne sont pas, en eux-mêmes, assimilables à un « vol » ou à une « usurpation » d’identité. En d’autres termes, le vol de données à caractère personnel ne constitue pas, par lui-même, un vol ou une usurpation d’identité.

57

Toutefois, il y a lieu de préciser, à cet égard, que la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de l’article 82, paragraphe 1, du RGPD, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité. En effet, le vol des données à caractère personnel d’une personne concernée ouvre droit à réparation du dommage moral subi, au titre de l’article 82, paragraphe 1, du RGPD, si les trois conditions établies à cette disposition s’appliquent, à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée et un lien de causalité entre ce traitement illicite et ce dommage [voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C-300/21, EU:C:2023:370, points 32 et 36].

58

Par ces motifs, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.

59

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :

Signatures