10.000 euros de dommages et intérêts pour une réponse tardive à une demande d'information d'un ancien employé ? Le tribunal du travail de Duisburg a ordonné à une entreprise de verser cette somme étonnamment élevée - et a finalement été freiné par le tribunal fédéral du travail (BAG) : les juges ont certes pu comprendre la colère, mais considèrent que celle-ci n'est pas suffisante pour justifier des dommages et intérêts au titre du RGPD.
Perte de contrôle en raison d'une information tardive ?
Le demandeur a été employé par la défenderesse pendant tout le mois de décembre 2016, soit une courte période. En 2020, il a demandé et obtenu des informations sur le traitement de ses données à caractère personnel conformément à l'article 15 du RGPD. Deux ans plus tard, en octobre 2022, il a introduit une nouvelle demande d'accès. Il souhaitait vérifier si des données continuaient d'être traitées. Dans un premier temps, la défenderesse n'a pas réagi, de sorte que le demandeur a réitéré sa demande d'informations en fixant un délai. Ce n'est qu'après une nouvelle demande que la défenderesse a fourni une réponse, que le requérant a contestée comme étant incomplète.
Le plaignant a alors fait valoir un préjudice moral pour perte de contrôle sur ses données et a demandé au moins 2.000 euros de dommages et intérêts. Le tribunal du travail de Duisburg a condamné la défenderesse à verser des dommages et intérêts d'un montant de 10 000 euros. En appel, le tribunal du travail de Düsseldorf a toutefois rejeté la demande. Le BAG a finalement confirmé ce rejet.
L'abus de données doit être objectivement démontrable
Dans sa décision du 20 février 2025 (8 AZR 61/24), le tribunal fédéral du travail précise qu'un droit à des dommages et intérêts immatériels en vertu de l'article 82, paragraphe 1, du RGPD n'existe que si un préjudice concret est exposé et prouvé de manière substantielle par le demandeur. Tout d'abord, le tribunal souligne que la seule violation du RGPD - par exemple une information tardive selon l'article 15 du RGPD - ne donne pas automatiquement droit à une indemnisation. Au contraire, trois conditions doivent être remplies de manière cumulative : une violation du règlement, un préjudice concret ainsi qu'un lien de causalité entre les deux.
Dans le cas concret, le requérant n'a pas réussi à démontrer une réelle perte de contrôle sur ses données personnelles. Le tribunal a souligné que ni une fuite illicite de données ni une utilisation abusive des données n'avaient été alléguées. La simple affirmation de réactions émotionnelles telles que l'inquiétude ou la colère ne suffit pas juridiquement pour justifier un préjudice moral au sens du RGPD. Ce qui est déterminant, c'est l'existence d'une crainte objectivement compréhensible et justifiée d'une utilisation abusive des données - un simple risque hypothétique ne suffit pas.
Dans son arrêt, le BAG se réfère à la CJUE : "Par perte de contrôle, la Cour de justice de l'Union européenne n'entend donc qu'une situation dans laquelle la personne concernée nourrit une crainte fondée d'une utilisation abusive des données. Le simple fait d'invoquer un sentiment particulier ne suffit pas à cet égard. Le tribunal doit plutôt vérifier si, compte tenu des circonstances concrètes, le sentiment "peut être considéré comme fondé" (CJCE C-340/21). Cela implique obligatoirement l'application d'un critère objectif. Plus les conséquences d'une violation du RGPD sont graves, plus une crainte fondée d'utilisation abusive des données est proche. Ainsi, la publication de données sensibles sur Internet suite à une fuite de données constituera typiquement une base pour de telles craintes. En revanche, une simple information tardive ne constitue pas en soi une perte de contrôle sur les données au sens de la directive sur la protection des données. Il ne s'agit pas d'un risque d'utilisation abusive des données, mais d'un retard dans la communication des informations".
La Cour fédérale de justice autorise la perte de contrôle pour l'indemnisation des dommages causés par le RGPD
Contrairement au BAG, la BGH admet qu'une prétendue perte de contrôle suffit pour obtenir des dommages et intérêts.
Ainsi, dans l'arrêt Scraping contre Facebook, la Cour fédérale de justice a renforcé les droits à dommages et intérêts immatériels des personnes concernées en cas d'infraction à la protection des données. En reconnaissant que la simple perte de contrôle constitue un préjudice, il n'est plus nécessaire de prouver des conséquences psychologiques ou matérielles concrètes.
Conseil de lecture : Facebook-Scraping - La Cour fédérale de justice accorde des dommages et intérêts aux utilisateurs
Dans son arrêt du 11 février 2025 (réf. VI ZR 365/22), la Cour fédérale de justice a en outre reconnu que la perte de contrôle sur des données personnelles peut déjà constituer un préjudice moral indemnisable - même sans qu'il soit nécessaire de prouver un autre préjudice concret.
Toutefois, la Cour fédérale de justice limite régulièrement le dommage à un montant à trois chiffres peu élevé - ce qui donne au dédommagement un caractère presque symbolique.
Conséquences pour la pratique
Les employés ou anciens employés concernés doivent désormais présenter des dommages immatériels concrets et compréhensibles. Des sentiments généraux tels que la colère ou la frustration ("être énervé") ne suffisent plus. Cela augmente considérablement les obstacles à la demande de dommages et intérêts.
Les entreprises responsables peuvent en revanche respirer : une infraction au RGPD dans le contexte du droit du travail n'entraîne pas automatiquement une demande de paiement. Il n'en reste pas moins que l'obligation de fournir des informations complètes dans les délais impartis demeure - notamment pour éviter de nuire à l'image et à la réputation de l'entreprise.
Source : Arrêt de la Cour fédérale du travail du 20 février 2025 (8 AZR 61/24)
French 
German 
English 
Italian