La société de fintech munichoise Scalable a dû signaler une fuite de données en octobre 2020. En décembre 2021, le tribunal régional de Munich a accordé à un plaignant des dommages et intérêts pour préjudice moral. Scalable a maintenant retiré l'appel qu'elle avait interjeté. Qu'est-ce que cela signifie à l'avenir pour les actions en dommages et intérêts liées à la protection des données ?
Fuite de données chez Scalable
Scalable Capital est un gestionnaire de patrimoine basé à Munich. L'entreprise a récemment franchi la barre des dix milliards d'euros de fonds de clients. L'entreprise fintech a ainsi connu une croissance fulgurante.
En octobre 2020, l'entreprise à succès a toutefois signalé un incident de protection des données : des personnes non autorisées avaient eu accès aux données personnelles de 33.000 clients actuels et anciens. Il s'agissait de données telles que des informations fiscales et de dépôt, ainsi que des adresses. Cela avait été rendu possible par une faille de sécurité dans l'environnement cloud. Apparemment, il n'y a pas encore eu d'abus de ces données.
Jugement du tribunal de grande instance de Munich
En décembre 2021, un plaignant a obtenu des dommages et intérêts en vertu du RGPD pour préjudice moral devant le tribunal régional de Munich. Il était un ancien client de Scalable et a été touché par la fuite de données. Les données dérobées comprenaient : le prénom et le nom, la civilité, l'adresse postale, l'adresse électronique, le numéro de téléphone portable, la date, le lieu et le pays de naissance, la nationalité, la situation familiale, la résidence fiscale et le numéro d'identification fiscale, l'IBAN, la copie d'une pièce d'identité, une photo de portrait prise par la procédure d'identification postale.
Suite à des enquêtes pénales menées dans le cadre de la procédure civile, il est apparu que les auteurs avaient tenté d'obtenir des crédits avec les données volées et qu'ils avaient proposé ces données sur le Darknet.
Le tribunal régional de Munich a statué en faveur du plaignant et lui a accordé des dommages et intérêts d'un montant de 2 500 €. Les dommages et intérêts étaient basés sur l'article 82 du RGPD. Scalable a enfreint l'article 32 du RGPD (sécurité du traitement). Le fait que d'éventuels manquements à la sécurité de la part d'entreprises tierces dont les services ont été utilisés puissent être imputés au responsable ne joue aucun rôle. Le reproche porte plutôt sur le fait que Scalable, en tant que responsable, n'a pas pris elle-même de mesures organisationnelles suffisantes pour éviter la perte de données litigieuse.
Importance du jugement
Après que Scalable ait retiré son appel auprès de la Cour d'appel de Munich en juillet de cette année, il s'agit du premier jugement définitif en matière de dommages et intérêts suite à une fuite de données. Même s'il n'a pas d'effet contraignant pour les autres tribunaux, il constitue un signal clair.
La réticence des tribunaux allemands à concéder des dommages et intérêts pour préjudice moral pourrait ainsi diminuer considérablement.
Notre équipe d'experts offre des conseils et des services en matière de protection des données. Contacter nous contacter !
Français 
Deutsch 
English 
Español 
Polski