CJUE | Arrêt du 27 octobre 2025 | C-655/23 | Quirin Privatbank │ MOTIFS & DISPOSITIF

---

EU:C:2025:201)

---

A. LA QUESTION DE L’INJONCTION D’ABSTENTION PRÉVENTIVE

 

L’Avocat Général a analysé, en premier lieu, la question de savoir si les dispositions du RGPD — en particulier l’article 79 — fondent un droit à obtenir, à titre préventif, une injonction d’abstention à l’encontre du responsable du traitement. Il a relevé que « le RGPD ne contient pas de dispositions prévoyant, explicitement ou implicitement, que la personne concernée bénéficie d’un droit à obtenir de manière préventive, par voie d’action judiciaire, que le responsable du traitement de données à caractère personnel soit contraint de s’abstenir, à l’avenir, de commettre une violation des dispositions de ce règlement ».

Il a néanmoins souligné que l’article 79, §1, du RGPD, « qui consacre le droit à un recours juridictionnel effectif contre un responsable du traitement, impose que les modalités concrètes d’exercice de cette voie de recours doivent être établies en conformité avec le droit à une protection juridictionnelle effective », et que « l’objectif de la protection juridictionnelle effective des droits résultant du RGPD milite […] contre une lecture restrictive des conditions d’exercice dudit recours ».

Concluant sur ce point, il a estimé que les États membres ne sont pas empêchés de prévoir un tel recours préventif au titre des clauses d’ouverture du RGPD et du principe d’autonomie procédurale, dans le respect du principe d’effectivité.

---

B. LA QUESTION DU FAIT GÉNÉRATEUR DU DOMMAGE AU TITRE DE L’ARTICLE 82 DU RGPD

 

Sur la question distincte du fait générateur du dommage, l’Avocat Général a développé une L’ARTICLE 82 DU RGPD. IL A OBSERVÉ QUE « LA COUR A ITÉRATIVEMENT INTERPRÉTÉ CETTE DISPOSITION EN CE SENS QUE LA SIMPLE VIOLATION DU RGPD NE SUFFIT PAS À CONFÉRER UN DROIT À RÉPARATION À LA PERSONNE CONCERNÉE SUR CE FONDEMENT, DÈS LORS QUE CE DROIT EST SOUMIS À LA RÉUNION DE TROIS CONDITIONS CUMULATIVES, À SAVOIR L’EXISTENCE D’UN DOMMAGE MATÉRIEL OU MORAL, UNE VIOLATION DE DISPOSITIONS DE CE RÈGLEMENT ET UN LIEN DE CAUSALITÉ ENTRE CE DOMMAGE ET CETTE VIOLATION ».

Il a ensuite analysé le rapport entre l’article 82, §1, et l’article 82, §2, du RGPD, observant que « le libelé de l’article 82 du RGPD, on pourrait comprendre que, à la différence de ce que prévoit le §1 de cet article, toute violation de ce règlement n’ouvre pas un droit à réparation du dommage causé par cette violation, mais que le dommage doit, plus précisément, avoir été causé par un traitement des données contraire à ce règlement ».

Toutefois, il a écarté cette lecture restrictive en considérant qu’elle serait contraire à l’historique et aux objectifs du RGPD : « si l’article 82, §1, du RGPD devait être lu dans ce sens, cela impliquerait que le législateur de l’Union a restreint, par rapport à cette directive [95/46/CE], la portée de la responsabilité du dommage dans le RGPD au seul acte illicite consistant en un traitement de données en violation de ce règlement. Or, j’estime que si le législateur avait entendu baisser le niveau de protection des données dans le cadre du private enforcement au titre dudit règlement, cela se reflèterait de manière plus claire dans le texte même de ce dernier ».

Il a conclu en proposant que « l’article 82, §1, du RGPD doit être interprété en ce sens que sont susceptibles de donner lieu à réparation les dommages subis par la personne concernée du fait d’une violation de ce règlement, même si ces dommages n’ont pas été causés par un traitement des données à caractère personnel de la personne concernée ».

---

C. LA QUESTION DU DOMMAGE MORAL INDEMNISABLE

 

Sur l’évaluation du dommage moral, l’Avocat Général a rappelé la jurisprudence consolidée de la Cour selon laquelle « la perte de contrôle sur des données à caractère personnel, même pendant un court laps de temps, peut constituer un dommage moral, au sens de l’article 82, §1, du RGPD, ouvrant droit à réparation, sous réserve que la personne concernée démontre avoir effectivement subi un tel dommage, sans qu’un seuil de minimis soit exigé », citant notamment l’arrêt du 4 septembre 2025, Quirin Privatbank (C-655/23, ECLI:EU:C:2025:655, points 62 et 64). Il a ajouté que « lorsqu’un préjudice est caractérisé, une juridiction nationale peut, en l’absence de gravité de ce préjudice, le compenser en accordant à la personne concernée une indemnité minime, pour autant que cette indemnité soit de nature à compenser intégralement le préjudice subi ».

---

EU:C:2025:655)

---

A. SUR L’INJONCTION D’ABSTENTION PRÉVENTIVE (PREMIER TEMPS)

 

La Cour relève, en premier lieu, « que le RGPD ne contient pas de dispositions prévoyant, explicitement ou implicitement, que la personne concernée bénéficie d’un droit à obtenir de manière préventive, par voie d’action judiciaire, que le responsable du traitement de données à caractère personnel soit contraint de s’abstenir, à l’avenir, de commettre une violation des dispositions de ce règlement, plus spécialement sous la forme d’une réitération d’un traitement illicite ». Elle constate par ailleurs qu’« aucune des dispositions de ce règlement visant les voies de recours […] n’oblige les États membres à instaurer un recours préventif ».

La Cour souligne néanmoins que « plusieurs dispositions du RGPD ouvrent expressément la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (clauses d’ouverture) ». Elle en conclut que « si les dispositions du RGPD visant les voies de recours ne comportent pas spécifiquement une telle clause d’ouverture, le législateur de l’Union n’a pas entendu procéder à une harmonisation exhaustive des voies de recours ouvertes en cas de violation de ce règlement et, en particulier, n’a pas exclu une telle possibilité de recours préventif ». Partant, les États membres ne sont pas empêchés de prévoir un tel recours préventif en vue d’enjoindre au responsable du traitement de s’abstenir de toute nouvelle violation des droits conférés par ce règlement à la personne concernée.

---

B. SUR LA FONCTION COMPENSATOIRE EXCLUSIVE DE LA RÉPARATION (TROISIÈME TEMPS)

 

« Compte tenu de la fonction exclusivement compensatoire du droit à réparation », la Cour « rappelle avoir déjà admis que, dans les limites découlant du principe d’effectivité, certaines circonstances puissent influer sur l’évaluation de la réparation due au titre de l’article 82 du RGPD, spécialement pour restreindre cette réparation. Or, une forme de réparation prévue par le droit national applicable ne peut être considérée comme étant conforme au RGPD que pour autant qu’elle soit de nature à assurer une réparation complète et effective du préjudice subi par la personne concernée ».

Elle précise, sur ce fondement, que « cette fonction exclusivement compensatoire du droit à réparation en vertu du RGPD s’oppose à ce que le degré de gravité et l’éventuel caractère intentionnel de la violation de ce règlement commise par le responsable du traitement soient pris en compte aux fins de la réparation d’un dommage sur ce fondement. Ainsi, l’attitude et la motivation du responsable du traitement ne sauraient être prises en considération afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi, que ce soit quant au montant ou quant à la forme de cette réparation ». Les juges nationaux sont tenus d’assurer « une réparation complète et effective du dommage subi, sans qu’il soit nécessaire, aux fins d’une telle compensation intégrale, d’imposer le versement de dommages-intérêts punitifs ».

---

C. SUR LE RAPPORT ENTRE INJONCTION D’ABSTENTION ET RÉPARATION PÉCUNIAIRE (QUATRIÈME TEMPS)

 

« Dans un quatrième et dernier temps, la Cour considère que l’article 82, §1, du RGPD s’oppose à ce que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, soit prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article ou, a fortiori, de se substituer à cette réparation ».

La Cour fonde cette solution sur la distinction fondamentale de finalité entre les deux instruments : « une réparation due au titre de l’article 82 du RGPD ne saurait être allouée sous la forme, en partie ou en intégralité, d’une injonction d’abstention, puisque le droit à réparation d’un dommage remplit une fonction exclusivement compensatoire, tandis qu’une injonction d’abstention opposée à l’auteur du dommage a une finalité purement préventive ».

---

DISPOSITIF DE L’ARRÊT

Dispositif de l’arrêt de la Cour (quatrième chambre) du 4 septembre 2025, C-655/23, ECLI:EU:C:2025:655 :

1. Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne prévoit pas, au profit de la personne concernée par le traitement illicite de données à caractère personnel qui ne demande pas l’effacement de celles-ci, une voie de recours juridictionnel lui permettant d’obtenir, à titre préventif, qu’il soit enjoint au responsable du traitement de s’abstenir d’effectuer à l’avenir tout nouveau traitement illicite. Ce règlement ne s’oppose pas, en revanche, à ce qu’un État membre prévoie, dans son ordre juridique interne, une telle voie de recours préventif.

2. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens que la fonction exclusivement compensatoire du droit à réparation qu’il consacre s’oppose à ce que le degré de gravité de la faute du responsable du traitement, et notamment son éventuel caractère intentionnel, soit pris en compte, en vue de l’évaluation du montant de la réparation accordée au titre de cet article, que ce soit pour augmenter ou pour réduire ce montant.

3. L’article 82, §1, du règlement 2016/679 doit être interprété en ce sens qu’il s’oppose à ce que la circonstance que la personne concernée a obtenu, en vertu du droit national applicable, une injonction d’abstention de la réitération d’une violation de ce règlement, opposable au responsable du traitement, soit prise en compte afin de réduire l’étendue de la réparation pécuniaire d’un dommage moral due au titre de cet article ou, a fortiori, de se substituer à cette réparation.

---

 
 
 

---

POINTS ESSENTIELS

---

Saisie par le Bundesgerichtshof à la suite d’une divulgation non autorisée, par une employée d’une banque allemande, de données relatives à la candidature d’IP à un tiers n’ayant aucun rôle dans le processus de recrutement — divulgation effectuée par erreur via la messagerie interne d’un réseau social professionnel —,

la Cour de justice de l’Union européenne tranche, dans l’arrêt Quirin Privatbank (quatrième chambre, 4 septembre 2025, ECLI:EU:C:2025:655), trois questions fondamentales au confluent du droit à un recours effectif et du régime de responsabilité consacré par le RGPD :

en premier lieu, elle juge que le RGPD ne prévoit pas, au profit de la personne concernée, une voie de recours juridictionnel lui permettant d’obtenir à titre préventif qu’il soit enjoint au responsable du traitement de s’abstenir de tout nouveau traitement illicite, tout en précisant avec une égale fermeté que ce règlement ne s’oppose pas à ce qu’un État membre prévoie une telle voie de recours préventif dans son ordre juridique interne — confirmant ainsi l’autonomie procédurale des États membres dans les limites du principe d’effectivité ;

en deuxième lieu, elle affirme que la fonction exclusivement compensatoire du droit à réparation consacré par l’article 82, §1, du RGPD s’oppose à ce que le degré de gravité et l’éventuel caractère intentionnel de la violation commise par le responsable du traitement soient pris en compte, à la hausse comme à la baisse, dans l’évaluation du montant de la réparation, excluant ainsi toute logique punitive mais interdisant également toute réduction de l’indemnité fondée sur la bonne foi ou le caractère non délibéré de la violation ;

en troisième et dernier lieu, elle juge que l’article 82, §1, du RGPD s’oppose à ce que le bénéfice d’une injonction d’abstention obtenue en vertu du droit national applicable soit pris en compte pour réduire l’étendue de la réparation pécuniaire due ou, a fortiori, pour s’y substituer, au motif que l’injonction d’abstention — dont la finalité est purement préventive — et la réparation pécuniaire — dont la finalité est exclusivement compensatoire — constituent deux instruments distincts, cumulatifs et non fongibles, dont l’un ne saurait empiéter sur la sphère de l’autre ;

l’impact immédiat de cet arrêt se mesure à la radiation, dès le 30 septembre 2025, de l’affaire C-40/25 (Oberlandesgericht Wien) portant sur des questions similaires, ainsi qu’à sa citation par l’Avocat Général dans les conclusions du 18 septembre 2025 dans l’affaire C-526/24 (Brillen Rottler, ECLI:EU:C:2025:723), confirmant son rôle de référence désormais incontournable dans la construction jurisprudentielle de l’article 82 du RGPD.

---