—

condamner le défendeur à réparer le préjudice moral subi par la partie requérante du fait des violations du règlement (UE) 2018/1725 (1) à hauteur d’un montant total de 4 700,00 euros, majoré d’intérêts de 2 points de pourcentage au-dessus du taux d’intérêt fixé par la Banque centrale européenne pour les opérations principales de refinancement, à compter du jour du prononcé de l’arrêt;

—

condamner le défendeur à réparer le préjudice matériel subi par la partie requérante du fait des violations du règlement 2018/1725, consistant dans les frais de procédure précontentieuse d’un montant total de 16 031,68 euros, majoré d’intérêts de 2 points de pourcentage au-dessus du taux d’intérêt fixé par la Banque centrale européenne pour les opérations principales de refinancement, à compter du jour du prononcé de l’arrêt;

—

condamner le défendeur aux dépens.

1.

Premier moyen tiré de la violation de l’article 33, paragraphe 1, et de l’article 4, paragraphe 1, sous b), du règlement 2018/1725

L’accès non autorisé de tiers aux données de la partie requérante stockées dans l’application «PEOPLE-App» au début de l’année 2024 résulte d’une mise en œuvre insuffisante des mesures techniques et organisationnelles appropriées que le défendeur, en tant que responsable du traitement, est tenu de prendre, conformément à l’article 33, paragraphe 1, du règlement 2018/1725, afin de garantir un niveau de sécurité adapté au risque. Conformément à l’article 4, paragraphe 1, sous f), lu en combinaison avec l’article 33, paragraphe 1, sous b), du règlement 2018/1725, le responsable du traitement doit garantir la sécurité du traitement des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte accidentelle, et notamment la confidentialité de ces données.

La partie requérante a subi une perte de contrôle profonde en raison de la violation de la protection des données et de l’accès par des tiers, rendu ainsi possible, à ses données hautement personnelles et sensibles. Outre la perte de contrôle subie, la partie requérante souffre de très fortes angoisses et de la crainte d’une utilisation abusive de ses données à caractère personnel.

2.

Deuxième moyen tiré de la violation de l’article 17, paragraphe 1, sous a), et de l’article 14, paragraphes 3 et 4, du règlement 2018/1725

3.

Troisième moyen tiré de la violation de l’article 4, paragraphe 1, sous c) et e), du règlement 2018/1725 (obligation de minimisation des données et de limitation de leur conservation)

Si la collecte des données à caractère personnel de la partie requérante par le défendeur peut en principe être nécessaire pour le recrutement, la conservation continue de celles-ci dans l’application «PEOPLE-App» pendant une période de dix ans n’est plus nécessaire ni requise à aucun égard pour la finalité du traitement «recrutement», même au sens le plus large du terme.

La durée injustifiée de conservation de dix ans entraîne pour la partie requérante une perte supplémentaire de contrôle sur ses données et renforce son mécontentement, sa frustration ainsi que son incompréhension. Ces sentiments négatifs causés par la violation du droit constituent, en vertu de la jurisprudence claire de la Cour, un préjudice moral autonome.