Le tribunal de l’UE a statué que la simple crainte d’une éventuelle utilisation abusive des données personnelles divulguées lors d’une violation de la sécurité des données peut être considérée comme un dommage immatériel.
Une personne peut avoir droit à une indemnisation, même si les données personnelles exportées lors d’une violation de données n’ont pas été utilisées de manière abusive. La simple peur d’un éventuel abus peut suffire. ronstik
La Cour de justice de l’Union européenne a pris position sur les raisons pour lesquelles une personne ayant été la cible d’une violation de la sécurité des données peut demander des dommages-intérêts à une organisation.
L’arrière-plan de cette histoire est une cyberattaque contre le système d’information de l’administration fiscale bulgare en 2019, qui a conduit à la fuite en ligne des données personnelles de millions de personnes.
Après l’incident, plusieurs poursuites ont été intentées dans le pays contre le fisc et de nombreux Bulgares ont exigé une compensation pour leur détresse émotionnelle.
La peur peut être un dommage intangible
La Cour de justice de l’Union européenne a statué qu’une organisation peut devoir verser des dommages et intérêts aux victimes d’une violation de données, même si les données personnelles n’ont pas été utilisées à mauvais escient.
Selon les lignes directrices, la simple crainte d’une éventuelle utilisation abusive des données personnelles peut être considérée comme un dommage immatériel.
Le bureau du commissaire finlandais à la protection des données souligne dans son annonceque la crainte doit néanmoins être justifiée pour pouvoir prétendre à des dommages et intérêts.
« C’est la responsabilité de l’organisation de montrer qu’elle n’est pas responsable »
Le Commissariat à la protection des données souligne que l’organisation n’est pas automatiquement responsable des dommages, même si une personne extérieure a eu accès aux données personnelles qui lui sont confiées.
Une personne ayant subi un dommage peut présenter des demandes d’indemnisation directement à l’organisation qui a violé le règlement sur la protection des données, mais l’évaluation de la responsabilité pour les dommages relève de la compétence des tribunaux.
Lorsque les tribunaux évaluent la responsabilité de l’organisation en matière d’indemnisation, ils examinent, entre autres, le caractère adéquat des mesures de protection utilisées.
– Il appartient à l’organisation de démontrer qu’elle n’est en aucun cas responsable de l’événement à l’origine du dommage et que ses mesures de sécurité ont été appropriées.