CJUE | Arrêt du 27 octobre 2025 | C-655/23 | Quirin Privatbank │ CONSEILS

---

CONSEILS AUX RESPONSABLES DU TRAITEMENT

---

A. MAÎTRISE DES ACCÈS ET DES CANAUX DE COMMUNICATION INTERNE

 

L’affaire Quirin Privatbank rappelle avec force qu’une violation du RGPD peut résulter non d’un acte délibéré du responsable du traitement lui-même, mais d’une erreur humaine commise par l’un de ses employés dans le maniement d’un outil de communication professionnel — en l’espèce, la messagerie interne d’un réseau social professionnel. Cette circonstance n’exonère pas le responsable du traitement de sa responsabilité au titre de l’article 82, §1, du RGPD.

Il est donc impératif que les responsables du traitement mettent en place des procédures internes strictes régissant l’utilisation des outils de communication dans le cadre de la gestion des candidatures et, plus largement, de l’ensemble des processus RH : vérification systématique des destinataires avant tout envoi de messages contenant des données à caractère personnel ; interdiction de communiquer des données de candidature à des personnes non habilitées à y accéder ; et mise en place d’un circuit de validation interne pour les décisions de recrutement impliquant une communication écrite avec les candidats.

---

B. FORMATION DU PERSONNEL SUR LA PROTECTION DES DONNÉES EN MATIÈRE RH

 

Le responsable du traitement doit former régulièrement et efficacement son personnel — y compris les équipes RH et les managers impliqués dans le recrutement — aux règles fondamentales du RGPD applicables au traitement des données de candidature. Cette obligation de formation découle de l’article 29 du RGPD (« les personnes agissant sous l’autorité du responsable du traitement […] ne traitent ces données que sur instruction »), mais aussi du risque indemnitaire concret illustré par l’affaire Quirin Privatbank : une erreur d’un seul employé peut engager la responsabilité de l’employeur-responsable du traitement et lui valoir une condamnation au paiement de dommages-intérêts au titre du préjudice moral subi par la personne concernée.

La formation devra notamment insister sur le principe de minimisation des données (article 5, §1, sous c), du RGPD) appliqué aux communications de recrutement : seules les informations strictement nécessaires à la finalité de la communication doivent être partagées, et uniquement avec les personnes habilitées à en prendre connaissance.

---

C. OBLIGATION DE DOCUMENTATION ET DE TRAÇABILITÉ DES TRAITEMENTS RH

 

Les responsables du traitement doivent documenter précisément le registre des activités de traitement (article 30 du RGPD) relatif aux opérations de traitement de données de candidature, en identifiant notamment les flux de données internes et les accès autorisés. Cette documentation facilite la détection précoce des incidents et la démonstration, en cas de contentieux, des mesures techniques et organisationnelles mises en place conformément à l’article 24 du RGPD.

En cas de violation de données, le responsable du traitement doit être en mesure de démontrer que « le fait qui a provoqué le dommage ne lui est nullement imputable » (article 82, §3, du RGPD) pour s’exonérer de sa responsabilité — une charge de la preuve lourde que l’arrêt Quirin Privatbank confirme peser entièrement sur lui. Une documentation robuste des mesures de prévention adoptées est donc un atout défensif indispensable.

---

D. ANTICIPATION DES RISQUES LIÉS À L’INJONCTION D’ABSTENTION PRÉVENTIVE

 

L’arrêt Quirin Privatbank confirme que les États membres peuvent prévoir des mécanismes nationaux d’injonction d’abstention préventive (tels que l’Unterlassungsklage en droit allemand ou le référé-injonction en droit français). Les responsables du traitement doivent donc prendre conscience que, en cas de traitement illicite, ils peuvent être exposés simultanément à une injonction d’abstention de toute réitération et à une condamnation à des dommages-intérêts en réparation du préjudice moral subi par la personne concernée.

Ces deux mesures sont cumulatives et non fongibles : l’existence d’une injonction d’abstention ne réduit ni n’éteint l’obligation de réparation pécuniaire. Les responsables du traitement ne doivent donc pas anticiper que l’obtention d’une injonction par la personne concernée réduira leur exposition financière. Seule la prévention efficace des traitements illicites permet de limiter cette exposition.

---

RÉPONSE RAPIDE ET RÉDUCTION DU PRÉJUDICE

 

En cas de divulgation non autorisée de données à caractère personnel, le responsable du traitement a tout intérêt à agir rapidement pour informer la personne concernée, limiter les effets de la divulgation et mettre en place des mesures correctives. Si la diligence du responsable du traitement ne peut pas réduire le montant de la réparation pécuniaire due (la gravité de la faute étant indifférente à la hausse comme à la baisse), elle peut en revanche contribuer à limiter l’étendue effective du dommage subi par la personne concernée, et donc le quantum de la réparation due au titre de l’article 82, §1, du RGPD.

---

CONSEILS AUX PERSONNES CONCERNÉES

---

DEUX DROITS CUMULATIFS

 

L’arrêt Quirin Privatbank consacre sans ambiguïté le droit cumulatif de la personne concernée à obtenir, d’une part, une injonction d’abstention de toute réitération de la violation et, d’autre part, une réparation pécuniaire intégrale du préjudice moral subi. Ces deux instruments peuvent être demandés conjointement, devant les juridictions nationales compétentes. L’obtention d’une injonction d’abstention ne réduit pas le montant de la réparation auquel vous avez droit et ne peut s’y substituer.

Si vous avez été victime d’une divulgation non autorisée de vos données à caractère personnel — dans le cadre d’un recrutement, d’une relation commerciale ou de toute autre situation —, vous pouvez donc agir sur les deux terrains simultanément, sans avoir à choisir entre la prévention de futurs traitements illicites et l’indemnisation de vos préjudices passés.

---

B. CARACTÉRISATION ET PREUVE DU DOMMAGE MORAL

 

La personne concernée n’est pas dispensée de démontrer l’existence effective d’un dommage moral pour obtenir réparation. Il ne suffit pas d’invoquer la violation du RGPD : vous devez démontrer que vous avez effectivement subi un préjudice du fait de cette violation, aussi minime soit-il — sans que la loi n’impose de seuil minimal (seuil de minimis) de gravité.

Le dommage moral peut inclure : une perte de contrôle sur vos données à caractère personnel ; une humiliation, une gêne ou un désagrément résultant de la divulgation ; une crainte fondée quant à un usage abusif de vos données dans le futur. En revanche, la simple crainte d’un usage abusif, non étayée par des éléments concrets propres à votre situation, ne suffit pas à ouvrir droit à réparation. Il vous appartient de rassembler, dès la survenance de l’incident, tous les éléments de preuve de nature à établir le préjudice subi : messages reçus du tiers bénéficiaire de la divulgation, témoignages, contexte relationnel, impact professionnel ou personnel.

---

DROIT À UNE COMPENSATION INTÉGRALE

 

La réparation à laquelle vous avez droit est déterminée par l’étendue du préjudice que vous avez effectivement subi, et non par la gravité de la faute du responsable du traitement. Que la violation ait été intentionnelle, négligente ou involontaire, le montant de votre indemnisation ne peut être ni augmenté ni réduit en conséquence. La Cour exclut toute logique punitive, mais garantit en contrepartie une réparation intégrale du préjudice concret.

En pratique, vous avez intérêt à documenter précisément l’étendue de votre préjudice : durée des conséquences négatives subies, impact psychologique et émotionnel, répercussions professionnelles, temps et démarches consacrés à la gestion de l’incident. Ces éléments seront déterminants pour le juge national chargé de fixer le quantum de la réparation.

---

CHOIX DES VOIES DE RECOURS DISPONIBLES

 

L’article 79, §1, du RGPD vous garantit le droit à un recours juridictionnel effectif. Selon l’État membre dans lequel le litige est porté, vous pouvez notamment avoir accès à :

—-une action en injonction d’abstention préventive (si le droit national le prévoit), pour obtenir que le responsable du traitement soit contraint de ne pas réitérer la violation ;
—-une action en réparation sur le fondement de l’article 82, §1, du RGPD, pour obtenir une indemnisation pécuniaire du préjudice subi ;
—-une réclamation auprès de l’autorité de contrôle compétente (en France : la CNIL), qui peut prononcer des amendes administratives à l’encontre du responsable du traitement.

Ces voies de recours sont cumulatives et complémentaires. Il est recommandé de vous rapprocher d’un professionnel du droit pour définir la stratégie contentieuse la mieux adaptée à votre situation et aux règles de procédure applicables dans votre pays.

---

 
 
 

---

POINTS ESSENTIELS

---

Saisie par le Bundesgerichtshof à la suite d’une divulgation non autorisée, par une employée d’une banque allemande, de données relatives à la candidature d’IP à un tiers n’ayant aucun rôle dans le processus de recrutement — divulgation effectuée par erreur via la messagerie interne d’un réseau social professionnel —,

la Cour de justice de l’Union européenne tranche, dans l’arrêt Quirin Privatbank (quatrième chambre, 4 septembre 2025, ECLI:EU:C:2025:655), trois questions fondamentales au confluent du droit à un recours effectif et du régime de responsabilité consacré par le RGPD :

en premier lieu, elle juge que le RGPD ne prévoit pas, au profit de la personne concernée, une voie de recours juridictionnel lui permettant d’obtenir à titre préventif qu’il soit enjoint au responsable du traitement de s’abstenir de tout nouveau traitement illicite, tout en précisant avec une égale fermeté que ce règlement ne s’oppose pas à ce qu’un État membre prévoie une telle voie de recours préventif dans son ordre juridique interne — confirmant ainsi l’autonomie procédurale des États membres dans les limites du principe d’effectivité ;

en deuxième lieu, elle affirme que la fonction exclusivement compensatoire du droit à réparation consacré par l’article 82, §1, du RGPD s’oppose à ce que le degré de gravité et l’éventuel caractère intentionnel de la violation commise par le responsable du traitement soient pris en compte, à la hausse comme à la baisse, dans l’évaluation du montant de la réparation, excluant ainsi toute logique punitive mais interdisant également toute réduction de l’indemnité fondée sur la bonne foi ou le caractère non délibéré de la violation ;

en troisième et dernier lieu, elle juge que l’article 82, §1, du RGPD s’oppose à ce que le bénéfice d’une injonction d’abstention obtenue en vertu du droit national applicable soit pris en compte pour réduire l’étendue de la réparation pécuniaire due ou, a fortiori, pour s’y substituer, au motif que l’injonction d’abstention — dont la finalité est purement préventive — et la réparation pécuniaire — dont la finalité est exclusivement compensatoire — constituent deux instruments distincts, cumulatifs et non fongibles, dont l’un ne saurait empiéter sur la sphère de l’autre ;

l’impact immédiat de cet arrêt se mesure à la radiation, dès le 30 septembre 2025, de l’affaire C-40/25 (Oberlandesgericht Wien) portant sur des questions similaires, ainsi qu’à sa citation par l’Avocat Général dans les conclusions du 18 septembre 2025 dans l’affaire C-526/24 (Brillen Rottler, ECLI:EU:C:2025:723), confirmant son rôle de référence désormais incontournable dans la construction jurisprudentielle de l’article 82 du RGPD.

---