RGPD. Quelle indemnisation pour la victime d'une violation de données ?
Dans un arrêt du 14 décembre 2023, la Cour de justice de l'Union européenne (CJUE 14/12/2023, aff. 340/21) apporte des précisions sur les règles encadrant une demande d'indemnisation, notamment pour préjudice moral.
Le contexte
À la suite d’une cyberattaque dont a été victime l’Agence nationale des recettes publiques bulgare (NAP) en 2019, les données personnelles relatives à des millions de personnes ont été publiées sur internet.
S’écartant de la procédure habituelle consistant à saisir l’autorité nationale de protection des données, l’une des personnes concernées a introduit auprès du tribunal administratif une demande tendant à la réparation du préjudice moral résultant de la crainte d’une utilisation abusive de ses données.
Saisie par la cour administrative suprême de Bulgarie, la Cour de justice de l’Union européenne (CJUE) a répondu à plusieurs questions préjudicielles liées, d’une part, à la nature et aux contours de l’obligation de sécurité imposée à tout ...