Le Tribunal de l’Union européenne a récemment rendu une décision en faveur d’un citoyen allemand qui avait saisi la juridiction après le transfert de ses données personnelles à des entreprises américaines lors de sa visite et son inscription sur le site web de la Conférence sur l’avenir de l’Europe, géré par la Commission européenne.
Si cette décision est confirmée en appel par la Cour de justice de l’Union européenne, elle pourrait avoir un impact significatif sur l’interprétation de ce qui constitue un transfert de données personnelles en dehors de l’UE.
Cette décision pourrait également ouvrir la voie à une reconnaissance plus large des dommages moraux (voir notamment notre commentaire précédent sur la jurisprudence récente de la CJUE sur les dommages moraux ICI) dans le cadre de violations de la législation européenne sur la protection des données dans le contexte de transferts de données en dehors de l’UE.
Contexte
En 2021 et 2022, un citoyen allemand s’est inscrit à un événement intitulé « GoGreen » via le site web de la Conférence sur l’avenir de l’Europe. Lors de son inscription, il a utilisé le service d’authentification EU Login de la Commission et a choisi de se connecter via son compte Facebook.
Le plaignant affirme que, pendant son inscription, son adresse IP et les informations relatives à son navigateur ont été transférées à deux entreprises américaines :
- Meta Platforms Inc. (propriétaire de Facebook), lorsqu’il a cliqué sur l’option « Se connecter avec Facebook ».
- Amazon Web Services (AWS), via le réseau de distribution de contenu Amazon CloudFront utilisé par le site de la Commission.
Le plaignant a soutenu que ces transferts enfreignaient le chapitre V du RGPD de l’UE (Règlement 2018/1725, équivalent du RGPD pour les institutions européennes) car selon lui (les transferts ont eu lieu durant la période de transition entre l’invalidation du Privacy Shield et l’adoption du Data Privacy Framework) :
Les États-Unis ne garantissaient pas, à ce moment, un niveau de protection des données équivalent à celui de l’Union européenne.
La Commission européenne n’avait pas mis en place de garanties adéquates pour protéger ses données, ce qui les exposait à un accès potentiel par les services de sécurité américains.
Décision du Tribunal
Le Tribunal a examiné les arguments présentés par le plaignant et s’est prononcé sur plusieurs points :
- Transferts de données via Amazon CloudFront
Le Tribunal a constaté que, lors de l’une des connexions en question, les données à caractère du plaignant avaient été transférées vers un serveur situé à Munich, en Allemagne, conformément au principe de proximité, et non vers les États-Unis. Selon le contrat conclu entre la Commission européenne et Amazon Web Services, cette dernière était tenue de garantir que les données restent, tant au repos qu’en transit, en Europe.
Cependant, dans un autre cas, en raison d’un paramètre technique imputable à l’utilisateur, les données avaient été redirigées vers des serveurs situés aux États-Unis. Le Tribunal a jugé que ces transferts échappaient à la responsabilité directe de la Commission.
2.Transfert de données via le bouton « Se connecter avec Facebook »
Le Tribunal a confirmé que l’affichage du bouton « Se connecter avec Facebook » sur le service EU Login avait conduit au transfert de l’adresse IP de l’utilisateur à Meta Platforms Inc., une entreprise basée aux États-Unis.
Le Tribunal à décider que ces transferts constituait une violation des règles européennes sur la protection des données, car :
- Aucun mécanisme de protection, tel que des clauses contractuelles standard, n’avait été mis en place par la Commission.
- À la date du transfert (30 mars 2022), il n’existait pas de décision de la Commission garantissant que les États-Unis offraient un niveau de protection adéquat pour les données des citoyens européens.
3. Indemnisation du plaignant pour avoir subi des dommages moraux
Le Tribunal a reconnu que ce transfert non conforme avait placé le plaignant dans une situation d’incertitude quant au traitement de ses données personnelles, en particulier son adresse IP. Cela constitue un dommage moral. Par conséquent, il a condamné la Commission européenne à verser une indemnité de 400 euros au plaignant.
Conclusion
En ce qui concerne Amazon Web Services, le Tribunal a adopté une approche basée sur le risque.
Il a jugé qu’il n’y avait pas de transfert simplement parce que les États-Unis pouvaient théoriquement accéder aux données stockées en Europe.
Cette interprétation, si confirmée en appel par la Cour de justice de l’UE, pourrait tempérer l’approche stricte de certaines autorités nationales, comme la CNIL, qui considèrent que l’accès potentiel constitue à lui seul un transfert de données.
En ce qui concerne l’attribution de dommages moraux, traditionnellement, la jurisprudence de la Cour de Justice (notamment l’arrêt C-300/21 du 4 mai 2023 commenté ICI) exclut les dommages purement hypothétiques.
Cependant, dans cette affaire, le Tribunal a accordé une indemnisation de 400 euros pour un préjudice non matériel, lié à l’incertitude pour le plaignant sur le traitement des données personnelles.
Cette décision pourrait avoir des conséquences majeures si confirmée en appel par la Cour de Justice de l’UE : des organisations de défense des consommateurs pourraient engager des actions collectives à grande échelle pour des milliers, voire des millions, de personnes dans des situations similaires.
