La Cour de Cassation vient de revenir sur la notion de « préjudice d’anxiété ». Elle couvre l’exposition à un risque élevé de développer une pathologie grave (Civ. 1ère, 18 décembre 2024, n° 24-14750). Deux éléments importants : le sérieux du risque et la gravité de la conséquence.
À l’inverse, le régime d’indemnisation posé par le RGPD se montre bien plus favorable aux victimes.
Contre l’avis de son Avocat Général (et cela mérite d’être souligné) la CJUE refuse toute exigence de gravité en matière d’indemnisation du dommage moral. « Subordonner la réparation d’un dommage moral à une certaine gravité risquerait de nuire à la cohérence du régime instauré par le RGPD » (Arrêt Österreichische Post AG).
Conséquence, la crainte d’un potentiel usage abusif des données par des tiers peut suffire à constituer un « dommage moral » (Arrêts Natsionalna agentsia za prihodite et MediaMarktSaturn), sans condition de gravité de l’impact.
Et ce n’est pas tout. La CJUE n’exige même pas que le risque soit sérieux. Elle admet ainsi que le caractère très ponctuel de la perte de contrôle sur les données – donc un risque, somme toute, réduit – n’exclut pas l’indemnisation (CJUE, 20 juin 2024, n° C‑590/22).
En prétextant de l’absence de renvoi au droit national pour retenir une acception autonome du préjudice moral RGPD, la Cour n’est-elle pas allée trop loin?
Car à force de clamer son autonomie, le RGPD est en train de creuser un fossé avec le reste du droit. Il y a eu la question du consentement (comment, vous n’avez pas lu mon papier L’humain, grand singe incapable de consentir ? dans le n° 503 d’Expertise?). Il y a désormais l’appréciation du préjudice.
Le RGPD décolle! Ou il est en passe de ne plus toucher terre. Tout dépend du point de vue.
Qu’en pensez-vous? La comparaison entre ces deux régimes vous semble-t-elle justifiée ? Ne craignez vous pas que le RGPD devienne une machine à sous?