L’article 82 du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.
Ce droit à réparation est-il automatique ou suppose-t-il la preuve d’un préjudice ? Reprenant la jurisprudence de la Cour de Justice de l’Union européenne (CJUE), la Cour de cassation retient la seconde solution.
En l’espèce, un salarié d’un établissement bancaire avait été licencié pour faute, notamment, après avoir cliqué sur les liens contenus dans des courriels de phishing fictifs adressés dans le cadre d’une campagne de sensibilisation aux cyberattaques organisée par l’employeur.
Bien qu’informé de l’existence de cette campagne, il avait délibérément cliqué sur les liens figurant dans six faux courriels successifs, en contradiction avec les consignes données. Il avait également renseigné des identifiants volontairement fantaisistes, parfois injurieux, afin de tourner en dérision ces exercices de prévention, sans toutefois compromettre la sécurité informatique de l’entreprise puisqu’il savait qu’il s’agissait de faux messages. Estimant que ce comportement révélait un refus délibéré de respecter les consignes de sécurité, l’employeur avait prononcé son licenciement disciplinaire.
Si le salarié n’est pas parvenu à faire annuler son licenciement, il a néanmoins obtenu des dommages-intérêts pour exécution déloyale du contrat de travail. Les juges du fond ont en effet retenu que l’employeur avait recueilli ses données personnelles sans qu’il ait consenti à leur traitement par la société chargée de mettre en œuvre la campagne de prévention contre le phishing, en méconnaissance des dispositions du RGPD.
Contestant cette condamnation, l’employeur s’est pourvu en cassation. La Haute juridiction devait alors répondre à la question suivante : la violation des dispositions du RGPD suffit-elle à caractériser un préjudice ouvrant droit à réparation ?
La Chambre sociale rappelle que la personne sollicitant une indemnisation sur le fondement de l’article 82 du RGPD doit établir trois éléments cumulatifs :
- une violation du RGPD ;
- l’existence d’un dommage matériel ou moral ;
- un lien de causalité entre cette violation et le dommage invoqué.
Or, en considérant que la seule méconnaissance du RGPD avait nécessairement causé un préjudice au salarié, sans rechercher si celui-ci démontrait l’existence d’un dommage, la cour d’appel a violé l’article 82 du RGPD.
Cette décision s’inscrit dans le prolongement de la jurisprudence européenne.
Dans un arrêt du 4 mai 2023, la CJUE avait déjà jugé que « l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions du règlement ne suffit pas pour conférer un droit à réparation ». Elle avait également précisé que le droit à réparation prévu par cet article, notamment en cas de dommage moral, remplit une fonction compensatoire : il vise à réparer intégralement le préjudice effectivement subi et non à sanctionner le responsable du traitement.
Plus récemment, dans un arrêt du 19 mars 2026, la CJUE a ajouté qu’une personne ne peut obtenir la réparation sur le fondement du RGPD lorsque son propre comportement constitue la cause déterminante du préjudice invoqué.
► En l’espèce, le demandeur avait l’habitude de communiquer volontairement ses données personnelles à des entreprises afin d’exercer ensuite son droit d’accès et d’introduire des actions en réparation.

Commentaires récents