Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

7 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CJUE4 octobre 2024CJUE, 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C-507/23(source)

Droit à réparation et responsabilité 1) Conditions – Existence d'un dommage causé par la violation – 2) Forme de la r éparation – Excuses – Inclusion – 3) Montant de la réparation – Minoration en raison de l'attitude du responsable de traitement – Absence

1) L'article 82, paragraphe 1, du règlement général sur la protection des données (RGPD), lu à la lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un dommage, au sens de cet article 82, paragraphe 1.

2) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.

3) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable de traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

CJUE4 octobre 2024CJUE, 4 octobre 2024, Agentsia po vpisvaniyata, C 200/23(source)

Article 82 du RGPD 1) Autorité responsable de la publicité obligatoire des actes Refus d'effacer les données non requises – Droit à réparation – Existence d'un préjudice moral - 2) Exonération de responsabilité prévue à l'article 82 du RGPD - Interprétation

Article 82, paragraphe 1, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens qu'une perte de contrôle d'une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d'un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu'elle a effectivement subi un tel dommage, aussi minime fût‑il, sans que cette notion de « dommage moral » requière la démonstration de l'existence de conséquences négatives tangibles supplémentaires. Article 82, paragraphe 3, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens qu'un avis de l'autorité de contrôle d'un État membre, émis sur le fondement de l'article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l'article 82, paragraphe 2, dudit règlement, l'autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l'article 4, point 7, du même règlement.

CJUE25 janvier 2024CJEU, 25 janvier 2024, MediaMarktSaturn, C-687/21(source)

1 ) Demande de réparation d'un préjudice moral Cas d'une diffusion de données à caractère personnel à un tiers non autorisé 2 ) Condition de gravité de la violation – Absence – 3 ) Eléments de preuve Violation des dispo sitions du règlement – Existence d'un dommage matériel ou moral

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans l'hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu'il n'a pas pris connaissance de celles - ci, un « dommage moral », au sens de cette disposition, n'est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possib le la réalisation d'une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.

Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 doivent être interprétés en ce sens que dans le cadr e d'une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer qu e les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n'étaient pas « appropriées », au sens de ces articles 24 et 32.

2 ) L'article 82 du règlement 2016/679 doit être interprété en ce sens que cet article n e requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d'un dommage sur le fondement de cette disposition.

3 ) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d'établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.

CJUE21 décembre 2023CJUE, 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21(source)

1) Fonction compensatoire du droit à réparation Existence – Fonction dissuasive de ce même droit – Exclusion - 2) Condition - Existence d'une faute du responsable du traitement en cas de manquement – Régime de faute présumée

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu'une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.

2) L'article 82 du règlement 2016/679 doit être interprété en ce sens que d'une part, l'engagement de la responsabilité du responsable du traitement est subordonné à l'existence d'une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui soit nullement imputable ; et, d'autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d'un préjudice moral sur le fondement de cette disposition.

CJUE14 décembre 2023CJUE, 14 décembre 2023, Gemeinde Ummendorf, C-456/22(source)

Réglementation ou pratique nationale fixant un « seuil de minimis » afin de caractériser un dommage moral causé par une violation du RGPD Illicéité – Obligation de démontrer qu e les conséquences de cette violation sont constitutives d'un préjudice – Existence

L'article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu'il s'oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation du RGPD. La personne concernée est tenue de démontrer que les conséquences de cette violation qu'elle prétend avoir subies sont constitutives d'un préjudice qui se différencie de la simple violation des dispositions dudit règlement.

CJUE14 décembre 2023CJUE, 14 décembre 2023, Natsiona lna agentsia za prihodite, C‑340/21(source)

Demande de réparation d'un préjudice moral fondée sur la crainte d'un potentiel usage abusif de données à caractère personnel

L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la crainte d'un potentiel usage abusif de ses données à caractère personnel par des tiers qu'une personne concernée éprouve à la suite d'une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.

CJUE4 mai 2023CJUE, 4 mai 2023, Österreichische Post, C-300/21, point 54(source)

Droit à réparation du dommage causé par le traitement de données effectué en violation du RGPD Conditions du droit à réparation – Simple violation dudit règlement – Insuffisance – Condition de gravité minimale – Absence

L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation. L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité. Il y a lieu de relever que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui‑ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Par conséquent, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect desdits principes d’équivalence et d’effectivité.