10.000 euros de dommages et intérêts pour une réponse tardive à une demande d'information d'un ancien employé ? Le tribunal du travail de Duisburg a ordonné à une entreprise de verser cette somme étonnamment élevée - et a finalement été freiné par le tribunal fédéral du travail (BAG) : les juges ont certes pu comprendre la colère, mais considèrent que celle-ci n'est pas suffisante pour justifier des dommages et intérêts au titre du RGPD.
Perte de contrôle en raison d'une information tardive ?
Le demandeur a été employé par la défenderesse pendant tout le mois de décembre 2016, soit une courte période. En 2020, il a demandé des informations sur la Traitement de ses données personnelles conformément à l'art. 15 RGPD et l'a obtenu. Deux ans plus tard, en octobre 2022, il a introduit une nouvelle demande d'accès. Il voulait vérifier si des données continuaient à être traitées. La défenderesse n'a tout d'abord pas réagi, de sorte que le demandeur a réitéré sa demande d'informations en fixant un délai. Ce n'est qu'après une nouvelle demande que la défenderesse a fourni une réponse, que le requérant a contestée comme étant incomplète.
Le plaignant a alors fait valoir un préjudice moral pour perte de contrôle sur ses données et a demandé au moins 2.000 euros de dommages et intérêts. Le tribunal du travail de Duisburg a condamné la défenderesse à verser des dommages et intérêts d'un montant de 10 000 euros. En appel, le tribunal du travail de Düsseldorf a toutefois rejeté la demande. Le BAG a finalement confirmé ce rejet.
L'abus de données doit être objectivement démontrable
Dans sa décision du 20 février 2025 (8 AZR 61/24), la Cour fédérale du travail précise qu'un droit à des dommages-intérêts immatériels en vertu de l'article 82, paragraphe 1, de la loi sur l'égalité entre les hommes et les femmes peut être invoqué. RGPD n'existe que si un préjudice concret est exposé et prouvé de manière circonstanciée par le demandeur. Tout d'abord, le tribunal souligne que seul un Violation au RGPD - par exemple, un retard dans la communication d'informations en vertu de l'article 15 RGPD - ne donne pas automatiquement droit à une indemnisation. Trois conditions doivent plutôt être remplies de manière cumulative : un Violation contre le règlement, un préjudice concret ainsi qu'un lien de causalité entre les deux.
Dans le cas concret, le requérant n'a pas réussi à démontrer une réelle perte de contrôle sur ses données personnelles. Le tribunal a souligné que ni une fuite illicite de données ni une utilisation abusive des données n'avaient été alléguées. La simple affirmation de réactions émotionnelles, telles que l'inquiétude ou la colère, n'est pas suffisante sur le plan juridique pour établir un préjudice moral au sens de la directive. RGPD de justifier sa décision. Ce qui est déterminant, c'est de savoir s'il existe une crainte objectivement compréhensible et justifiée d'une utilisation abusive des données - un simple risque hypothétique ne suffit pas.
Dans son arrêt, le BAG se réfère à la CJCE : "Par perte de contrôle, la Cour de justice de l'Union européenne n'entend donc qu'une situation dans laquelle la concernés personne a des raisons de craindre une utilisation abusive des données. Le simple fait d'invoquer un sentiment particulier ne suffit pas à cet égard. Le tribunal doit plutôt vérifier si, compte tenu des circonstances concrètes, le sentiment "peut être considéré comme fondé" (CJCE C-340/21). Cela implique obligatoirement l'application d'un critère objectif. Plus les conséquences d'une violation du RGPD sont graves, plus une crainte fondée d'utilisation abusive des données est proche. Ainsi, la publication de données sensibles sur Internet suite à une fuite de données constituera typiquement une base pour de telles craintes. En revanche, une simple information tardive ne constitue pas en soi une perte de contrôle sur les données au sens de la directive. Il ne s'agit pas d'un risque d'utilisation abusive des données, mais d'un retard dans la communication des informations".
La Cour fédérale de justice autorise la perte de contrôle pour l'indemnisation des dommages causés par le RGPD
Contrairement au BAG, la BGH admet qu'une prétendue perte de contrôle suffit pour obtenir des dommages et intérêts.
Ainsi, dans l'arrêt Scraping contre Facebook, la Cour fédérale de justice a renforcé les droits à dommages et intérêts immatériels des personnes concernées en cas d'infraction à la protection des données. En reconnaissant que la simple perte de contrôle constitue un préjudice, il n'est plus nécessaire de prouver des conséquences psychologiques ou matérielles concrètes.
Conseil de lecture : Facebook-Scraping - La Cour fédérale de justice accorde des dommages et intérêts aux utilisateurs
Dans son jugement du 11 février 2025 (réf. VI ZR 365/22), la Cour fédérale de justice a en outre reconnu que la perte de contrôle de données à caractère personnel peut constituer un préjudice moral indemnisable - même sans qu'il soit nécessaire de prouver l'existence d'un autre préjudice concret.
Toutefois, la Cour fédérale de justice limite régulièrement le dommage à un montant à trois chiffres peu élevé - ce qui donne au dédommagement un caractère presque symbolique.
Conséquences pour la pratique
Personnes concernées Les employés ou anciens employés doivent désormais présenter des dommages immatériels concrets et compréhensibles. Des sentiments généraux tels que la colère ou la frustration ("être énervé") ne suffisent plus. Cela augmente considérablement les obstacles aux demandes de dommages et intérêts.
Responsable Les entreprises peuvent en revanche respirer : un Violation contre les RGPD dans le contexte du droit du travail n'entraîne pas automatiquement une demande de paiement. Il n'en reste pas moins que l'obligation de fournir des informations complètes dans les délais impartis demeure - notamment pour éviter de nuire à l'image et à la réputation de l'entreprise.
Source : Arrêt de la Cour fédérale du travail du 20 février 2025 (8 AZR 61/24)
German 
English 
Italian 
French