You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
La cyberattaque contre l’Agence Nationale des recettes Publiques bulgare (NAP) a mis en lumière les enjeux cruciaux entourant la protection des données personnelles. Le 15 juillet 2019, une intrusion dans le système informatique de la NAP a entraîné la publication sur Internet de données à caractère personnel concernant des millions de personnes. Face à cette menace potentielle, de nombreux individus ont décidé d’agir en justice, invoquant un préjudice moral résultant de la crainte d’une utilisation abusive de leurs données.
La Cour administrative suprême bulgare a soumis des questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE), cherchant à clarifier les conditions de réparation du préjudice moral dans le contexte d’une cyberattaque.
L’arrêt rendu par la CJUE explique que la divulgation non autorisée de données à caractère personnel nécessite une évaluation concrète des mesures de protection mises en œuvre par le responsable du traitement. La simple divulgation ne suffit pas à conclure que ces mesures étaient inappropriées ni à engager la responsabilité du responsable de traitement.
Cependant, la charge de la preuve incombe au responsable du traitement. Il doit ainsi démontrer que les mesures de protection étaient adéquates pour prévenir l’accès non autorisé aux données. Autrement dit, il doit démontrer que le dommage subi par les personnes concernées victimes de cette divulgation par des tiers, ne lui est pas imputable.
Par cet arrêt la Cour confirme la légitimité de la crainte d’un usage abusif de données personnelles, qui constitue en soi un « dommage moral ». Ainsi, la simple appréhension d’une utilisation inappropriée par des tiers peut donner lieu à une réparation.
Cette décision renforce la protection des individus contre les conséquences néfastes des violations du Règlement Général sur la Protection des Données (RGPD) et plus particulièrement son article 32 relatif aux exigences de sécurité des données à caractère personnel. Elle fait ainsi ressortir la responsabilité accrue des organisations dans la mise en place de mesures robustes pour prévenir de telles atteintes.
La cybersécurité demeure un enjeu majeur, et cette jurisprudence établit un précédent important pour la protection des droits individuels face aux menaces croissantes de la cybercriminalité.
Consultez ici la décision de la CJUE : CJUE-affaire-C-340/21-
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre