Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-655_RES/23, Arrêt de la Cour, IP contre Quirin Privatbank AG, 4 septembre 2025
CJUE, Arrêt 4 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Violation des droits en matière de protection des données

    La cour a reconnu que le RGPD permet aux États membres de prévoir des voies de recours pour protéger les droits des personnes concernées, y compris la possibilité d'obtenir une injonction d'abstention.

  • Rejeté
    Existence d'un préjudice moral suite à la divulgation non autorisée

    La cour a estimé que la preuve d'un préjudice concret n'avait pas été fournie et que les sentiments d'humiliation ne constituaient pas un préjudice moral indemnisable.

Résumé par Doctrine IA

Dans l'affaire C-655/23, IP a demandé à la Cour de clarifier les droits conférés par le RGPD en cas de traitement illicite de ses données personnelles par Quirin Privatbank AG. Les questions juridiques posées incluent la possibilité d'obtenir une injonction préventive contre un traitement illicite et la définition du "dommage moral" ouvrant droit à réparation. La Cour a répondu que le RGPD ne s'oppose pas à la création d'une voie de recours préventive par les États membres, mais qu'il n'exige pas non plus une telle voie. De plus, elle a précisé que le dommage moral peut être réparé sans condition de gravité, et que la réparation ne peut pas être réduite par l'octroi d'une injonction d'abstention.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CJUE, Cour, 4 sept. 2025, C-655_RES/23
Numéro(s) : C-655_RES/23
Arrêt de la Cour (quatrième chambre) du 4 septembre 2025.#IP contre Quirin Privatbank AG.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Droits de la personne concernée – Article 17 – Droit à l’effacement de données – Article 18 – Droit à la limitation du traitement – Article 79 – Droit à un recours juridictionnel effectif – Traitement illicite de données à caractère personnel – Recours tendant à enjoindre au responsable du traitement de s’abstenir de procéder à l’avenir à tout nouveau traitement illicite – Fondement – Conditions – Article 82, paragraphe 1 – Droit à réparation – Notion de “dommage moral” – Évaluation de la réparation – Prise en compte éventuelle de la gravité de la faute du responsable du traitement – Incidence éventuelle du bénéfice d’une “injonction d’abstention”.#Affaire C-655/23.
Précédents jurisprudentiels : C 300/21, EU:C:2023:370
Identifiant CELEX : 62023CJ0655_RES
Identifiant européen : ECLI:EU:C:2025:655
Télécharger le PDF original fourni par la juridiction

Texte intégral

Affaire C-655/23

IP

contre

Quirin Privatbank AG

(demande de décision préjudicielle, introduite par le Bundesgerichtshof)

Arrêt de la Cour (quatrième chambre) du 4 septembre 2025

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Droits de la personne concernée – Article 17 – Droit à l’effacement de données – Article 18 – Droit à la limitation du traitement – Article 79 – Droit à un recours juridictionnel effectif – Traitement illicite de données à caractère personnel – Recours tendant à enjoindre au responsable du traitement de s’abstenir de procéder à l’avenir à tout nouveau traitement illicite – Fondement – Conditions – Article 82, paragraphe 1 – Droit à réparation – Notion de “dommage moral” – Évaluation de la réparation – Prise en compte éventuelle de la gravité de la faute du responsable du traitement – Incidence éventuelle du bénéfice d’une “injonction d’abstention” »

  1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Obligation, pour les États membres, de prévoir une voie de recours permettant d’enjoindre au responsable du traitement de s’abstenir de procéder à tout nouveau traitement illicite – Absence – Réglementation nationale permettant d’exercer une telle voie de recours dans l’ordre juridique interne – Admissibilité

    (Charte des droits fondamentaux de l’Union européenne, art. 8, § 1 et 2 ; règlement du Parlement européen et du Conseil 2016/679, considérants 1, 10 et 11 et art. 1er, 4, point 1, 5, 6, 17, 18 et 77 à 79)

    (voir points 38-52, disp. 1)

  2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Dommage moral – Notion – Sentiments négatifs éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à caractère personnel à un tiers – Inclusion – Conditions – Nécessité de démontrer l’existence de tels sentiments et leurs conséquences négatives en raison de la violation de ce règlement

    (Règlement du Parlement européen et du Conseil 2016/679, considérants 1, 10, 75, 85 et 146 et art. 1er et 82, § 1)

    (voir points 55, 56, 58-64, disp. 2)

  3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Détermination du montant et de la forme de la réparation – Réglementation nationale autorisant la prise en compte du degré de la faute commise par l’auteur du dommage aux fins de l’évaluation de la réparation d’un dommage moral – Inadmissibilité

    (Règlement du Parlement européen et du Conseil 2016/679, considérant 146 et art. 82 et 83)

    (voir points 66, 67, 69-73, disp. 3)

  4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Détermination du montant et de la forme de la réparation – Prise en compte, pour réduire ou exclure la réparation pécuniaire d’un dommage moral, d’une injonction d’abstention de la réitération d’une violation de ce règlement – Inadmissibilité

    (Règlement du Parlement européen et du Conseil 2016/679, art. 82)

    (voir points 77-79, 81-83, disp. 4)

Résumé

Saisie à titre préjudiciel par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), la Cour précise l’étendue des droits conférés par diverses dispositions du RGPD ( 1 ) à la personne concernée en cas de traitement illicite de ses données à caractère personnel.

IP a postulé, par l’intermédiaire d’un réseau social professionnel en ligne, à un emploi auprès de Quirin Privatbank, une société de droit allemand. Par la suite, une employée de celle-ci a utilisé le service de messagerie électronique de ce réseau pour envoyer à un tiers, non concerné par le processus de recrutement, un message destiné uniquement à IP, dans lequel elle informait ce dernier du rejet de ses prétentions salariales et lui proposait une autre rémunération. Ayant travaillé avec IP auparavant, cette tierce personne lui a transmis ce message et lui a demandé s’il était à la recherche d’un emploi.

IP a introduit, devant le Landgericht Darmstadt (tribunal régional de Darmstadt, Allemagne), une action tendant à ce que Quirin Privatbank soit condamnée, d’une part, à s’abstenir de tout traitement des données à caractère personnel en rapport avec sa candidature de nature à réitérer la divulgation non autorisée de celles-ci et, d’autre part, à lui verser des dommages-intérêts en réparation du préjudice moral subi. La juridiction de première instance a fait droit à ces demandes.

À la suite de l’appel formé par Quirin Privatbank devant l’Oberlandesgericht Frankfurt (tribunal régional supérieur de Francfort, Allemagne), ce jugement a été partiellement réformé en ce que la demande de dommages-intérêts a été rejetée. En effet, de l’avis de cette juridiction, la preuve d’un préjudice concret n’avait pas été fournie par IP et, à supposer même que celui-ci ait vécu une humiliation, elle ne saurait être qualifiée de préjudice moral.

IP et Quirin Privatbank ont chacun formé un pourvoi contre cet arrêt devant le Bundesgerichtshof (Cour fédérale de justice, Allemagne), la juridiction de renvoi.

Nourrissant des doutes quant à l’interprétation de plusieurs dispositions du RGPD, la haute juridiction a interrogé la Cour sur l’étendue des voies de recours, la portée du droit à la réparation du préjudice subi et les critères permettant d’évaluer le dommage moral indemnisable.

Appréciation de la Cour

Dans un premier temps, la Cour est appelée à se prononcer sur le point de savoir si les dispositions du RGPD prévoient, au profit de la personne concernée par le traitement illicite de données à caractère personnel qui ne demande pas l’effacement de celles ci, une voie de recours juridictionnel lui permettant d’obtenir, à titre préventif, qu’il soit enjoint au responsable du traitement de s’abstenir d’effectuer à l’avenir un nouveau traitement illicite, et si, dans la négative, ces dispositions empêchent les États membres d’établir une telle voie de recours dans leurs ordres juridiques respectifs.

Elle relève, à cet égard, que le RGPD ne contient pas de dispositions prévoyant, explicitement ou implicitement, que la personne concernée bénéficie d’un droit à obtenir de manière préventive, par voie d’action judiciaire, que le responsable du traitement de données à caractère personnel soit contraint de s’abstenir, à l’avenir, de commettre une violation des dispositions de ce règlement, plus spécialement sous la forme d’une réitération d’un traitement illicite.

Par ailleurs, la Cour constate qu’aucune des dispositions de ce règlement visant les voies de recours ( 2 ) n’oblige les États membres à instaurer un recours préventif. En particulier, l’article 79, paragraphe 1, du RGPD, qui consacre le droit à un recours juridictionnel effectif contre un responsable du traitement, n’impose pas aux États membres de prévoir une voie de recours spécifique permettant d’obtenir au moyen d’une action en justice, à titre préventif, une injonction d’abstention.

Cela étant, eu égard, notamment, à la reconnaissance, par le RGPD, du droit de chaque personne concernée à disposer d’un recours juridictionnel effectif si elle considère que les droits que lui confère ce règlement ont été violés du fait d’un traitement de ses données personnelles effectué en violation dudit règlement, « sans préjudice » de tout autre recours administratif ou extrajudiciaire, la Cour considère que les États membres ne sont pas empêchés de prévoir un tel recours préventif en vue d’enjoindre au responsable du traitement de s’abstenir de toute nouvelle violation des droits conférés par ce règlement à la personne concernée.

La Cour souligne, sur ce point, que plusieurs dispositions du RGPD ouvrent expressément la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture »). Dans ce contexte, elle relève que, si les dispositions du RGPD visant les voies de recours ne comportent pas spécifiquement une telle clause d’ouverture, le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation de ce règlement et, en particulier, n’a pas exclu une telle possibilité de recours préventif.

La Cour ajoute que cette interprétation est confirmée par les objectifs poursuivis par le RGPD. En effet, la possibilité pour la personne concernée d’introduire un recours en justice afin qu’il soit enjoint à un responsable du traitement de s’abstenir, à l’avenir, d’une violation des dispositions matérielles du RGPD est de nature à renforcer l’effet utile de celles-ci et, ainsi, le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles.

La Cour en déduit que le RGPD ne s’oppose pas à ce qu’un droit de recours qui tend à obtenir une injonction permettant de prévenir une éventuelle commission d’une violation des dispositions matérielles de ce règlement, notamment par une potentielle réitération d’un traitement illicite, soit disponible sur le fondement de dispositions du droit d’un État membre qui seraient applicables devant la juridiction nationale saisie.

Dans un deuxième temps, la Cour apporte des précisions sur la notion de « dommage moral » qui ouvre, en vertu du RGPD ( 3 ), à la personne concernée, le droit d’obtenir du responsable du traitement réparation du préjudice subi.

Dans ce cadre, elle rappelle que l’article 82, paragraphe 1, du RGPD, relatif au droit à réparation, s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un « dommage moral » à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité. Ladite disposition n’exige pas qu’un dommage moral allégué par la personne concernée doive atteindre un « seuil de minimis » pour que ce dommage puisse être réparé ( 4 ).

En outre, la Cour observe que des situations, telles que celles invoquées dans le litige au principal, tenant à une « atteinte à la réputation » résultant d’une violation de données à caractère personnel ou à une « perte de contrôle » sur de telles données, figurent explicitement parmi les exemples de possibles dommages qui sont énumérés dans le RGPD ( 5 ).

Elle rappelle également que la crainte, ressentie par la personne concernée, que ses données à caractère personnel fassent l’objet d’une utilisation abusive dans le futur, à la suite d’une violation du RGPD, est susceptible de constituer, à elle seule, un « dommage moral », à condition que cette crainte, avec ses conséquences négatives, soit dûment prouvée, ce qu’il appartient à la juridiction nationale saisie de vérifier ( 6 ).

Ainsi, la Cour reconnaît que, s’ils peuvent par ailleurs faire partie des risques généraux inhérents à la vie courante, les sentiments négatifs mentionnés par la juridiction de renvoi, en particulier la crainte ou le mécontentement, sont susceptibles de constituer un « dommage moral », au sens du RGPD, pour autant que la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, précisément en raison de la violation en cause de ce règlement, telle qu’une transmission non autorisée de ses données à caractère personnel à un tiers engendrant le risque d’un usage abusif de celles-ci, ce qu’il incombe aux juges nationaux saisis d’apprécier.

La Cour souligne que cette interprétation est conforme au libellé de l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 85 et 146 de ce règlement qui invitent à retenir une conception large de la notion de « dommage moral », et est confortée par l’objectif dudit règlement consistant à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Dans un troisième temps, la Cour constate que l’article 82, paragraphe 1, du RGPD, relatif au droit à réparation, s’oppose à ce que le degré de gravité de la faute commise par le responsable du traitement soit pris en compte aux fins de l’évaluation de la réparation d’un dommage moral due au titre de cet article.

À cet égard, elle rappelle que, compte tenu de la fonction exclusivement compensatoire du droit à réparation, les juges nationaux sont tenus d’assurer une réparation « complète et effective » du dommage subi, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts punitifs ( 7 ).

Elle précise que cette fonction exclusivement compensatoire du droit à réparation en vertu du RGPD s’oppose à ce que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur ce fondement. Ainsi, l’attitude et la motivation du responsable du traitement ne sauraient être prises en considération afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi, que ce soit quant au montant ou quant à la forme de cette réparation.

Dans un quatrième et dernier temps, la Cour considère que l’article 82, paragraphe 1, du RGPD s’oppose à ce que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, soit prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article ou, a fortiori, de se substituer à cette réparation.

La Cour rappelle avoir déjà admis que, dans les limites découlant du principe d’effectivité, certaines circonstances puissent influer sur l’évaluation de la réparation due au titre de l’article 82 du RGPD, spécialement pour restreindre cette réparation. Or, une forme de réparation prévue par le droit national applicable ne peut être considérée comme étant conforme au RGPD que pour autant qu’elle soit de nature à assurer une réparation complète et effective du préjudice subi par la personne concernée. En particulier, une réparation due au titre de l’article 82 du RGPD ne saurait être allouée sous la forme, en partie ou en intégralité, d’une injonction d’abstention, puisque le droit à réparation d’un dommage remplit une fonction exclusivement compensatoire, tandis qu’une injonction d’abstention opposée à l’auteur du dommage a une finalité purement préventive.

( 1 ) Articles 17, 18, 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) Chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comprenant, notamment, les articles 77 à 79 de celui-ci.

( 3 ) Article 82, paragraphe 1, du RGPD.

( 4 ) Voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C 300/21, EU:C:2023:370, point 51), ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata (C 200/23, EU:C:2024:827, points 147 et 149).

( 5 ) Voir les considérants 75 et 85 du RGPD.

( 6 ) Voir, en ce sens, arrêts du 20 juin 2024, PS (Adresse erronée) (C 590/22, EU:C:2024:536, points 32, 35 et 36), ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata (C 200/23, EU:C:2024:827, points 143, 144 et 155 ainsi que jurisprudence citée).

( 7 ) Voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C 300/21, EU:C:2023:370, points 57 et 58), ainsi que du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs (C 507/23, EU:C:2024:854, point 34).

Décisions similaires

Citées dans les mêmes commentaires3

  • Dispositif ·
  • Règlement ·
  • Directive ·
  • Réception ·
  • Véhicule à moteur ·
  • Illicite ·
  • Etats membres ·
  • Acheteur ·
  • Réparation ·
  • Prix d'achat
2 commentaires
  • Infraction ·
  • Directive ·
  • Lituanie ·
  • Sanction ·
  • Blanchiment de capitaux ·
  • Amende ·
  • Etats membres ·
  • Terrorisme ·
  • Financement ·
  • Montant
1 commentaire
  • Ententes ·
  • Etats membres ·
  • Société mère ·
  • Règlement ·
  • Compétence ·
  • Concurrence ·
  • Juridiction ·
  • Filiale ·
  • Pays-bas ·
  • Holding
1 commentaire

Citant les mêmes articles de loi3

  • Charte des droits fondamentaux ·
  • Libre prestation des services ·
  • Liberté d'établissement ·
  • Droits fondamentaux ·
  • Pari ·
  • Dalle ·
  • Norme ·
  • Ville ·
  • Whisky ·
  • Firme ·
  • Iran ·
  • Limites ·
  • Dire ·
  • Avéré
3 commentaires
  • Rapprochement des législations ·
  • Protection des consommateurs ·
  • Contrat de crédit ·
  • Consommateur ·
  • Directive ·
  • Durée du contrat ·
  • Clause ·
  • Principal ·
  • Information ·
  • Interprète ·
  • Question ·
  • Taux d'intérêt
6 commentaires
  • Parère ·
  • Iasi ·
  • Norme ·
  • Normative ·
  • Dalle ·
  • Unitar ·
  • Limites ·
  • Firme ·
  • Opéra ·
  • Laser
5 commentaires

De référence sur les mêmes thèmes3

  • Espace de liberté, de sécurité et de justice ·
  • Politique d'immigration ·
  • Sécurité sociale ·
  • Pays tiers ·
  • Etats membres ·
  • Ressortissant ·
  • Directive ·
  • Égalité de traitement ·
  • Prestation familiale ·
  • Regroupement familial ·
  • État ·
  • Enfant
8 commentaires
  • Paiement ·
  • Directive ·
  • Prestataire ·
  • Utilisateur ·
  • Service ·
  • Utilisation ·
  • Négligence ·
  • Obligation ·
  • Corrections ·
  • Part
20 commentaires
  • Prestataire ·
  • Directive ·
  • Paiement ·
  • Service ·
  • Utilisateur ·
  • Utilisation ·
  • Corrections ·
  • Marché intérieur ·
  • Obligation ·
  • Retrait
1 commentaire

Sur les mêmes thèmes3

  • Agriculture et pêche ·
  • Structures agricoles ·
  • Etats membres ·
  • Recouvrement ·
  • Règlement ·
  • Feader ·
  • Irrégularité ·
  • Subvention ·
  • Développement rural ·
  • Délai de prescription ·
  • Bénéficiaire ·
  • État
  • Espace de liberté, de sécurité et de justice ·
  • Contrôles aux frontières ·
  • Politique d'asile ·
  • Directive ·
  • Protection ·
  • Etats membres ·
  • Demande ·
  • Examen ·
  • Accroissement ·
  • Délai ·
  • Permis de séjour ·
  • Responsable ·
  • Pays tiers
1 commentaire
  • Directive ·
  • Protection ·
  • Etats membres ·
  • Accroissement ·
  • Demande ·
  • Examen ·
  • Délai ·
  • Asile ·
  • Prolongation ·
  • Responsable

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-655_RES/23, Arrêt de la Cour, IP contre Quirin Privatbank AG, 4 septembre 2025
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CJUE, Cour, 4 sept. 2025, C-655_RES/23
Contactez notre service commercial au 01 84 80 33 48