En 2022, un particulier allemand s’inscrit, sur le site internet de la Commission européenne, à l’événement « GoGreen » organisé par la Conférence sur l’avenir de l’Europe. Il choisit l’option de connexion « Se connecter avec Facebook » proposée par le service d’authentification utilisé par la Commission (EU Login). Il estime que, à cette occasion, certaines de ses données personnelles ont été illicitement transférées en dehors de l’Union européenne à l’entreprise américaine Meta Platforms. Il agit alors contre la Commission, notamment en vue d’obtenir des dommages et intérêts réparant son préjudice moral.
Le Tribunal de l’Union européenne fait droit à cette demande. En effet, l’adresse IP du particulier, constituant une donnée à caractère personnel, avait été transmise à la société Meta Platforms. Par le biais de l’hyperlien « Se connecter avec Facebook » affiché sur la page internet d’EU Login, la Commission européenne avait créé les conditions permettant que l’adresse IP de l’intéressé soit transmise à Facebook. Or, au moment des faits (le 30 mars 2022), aucune décision d’adéquation n’autorisait le transfert de données vers les États-Unis. La Commission n’avait pas non plus démontré, ni même allégué, l’existence de garanties appropriées de protection des données.
Par suite, la Commission avait violé les règles relatives au traitement de ces données, de sorte que le particulier pouvait demander réparation du préjudice moral consistant en une perte du contrôle de ses données personnelles et en une privation de ses droits et libertés, lequel résultait directement de la violation identifiée (allocation de 400 € de dommages-intérêts).
A noter :
1° L’arrêt a été rendu sur le fondement du règlement UE 2018/1725 du 23 octobre 2018 qui institue un cadre de protection spécifique pour les personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données. Le raisonnement adopté par le Tribunal pour l’application de ce texte est, à notre avis, transposable à l’application du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), ces deux réglementations faisant l’objet d’une interprétation homogène.
2° Comme dans le cadre de l'application du RGPD, des règles spécifiques doivent être observées concernant les transferts de données à caractère personnel vers un pays tiers, qui n’est membre ni de l’Union européenne ni de l’Espace économique européen (Règl. 2018/1725 art. 46). Afin de garantir un niveau élevé de protection, ces transferts sont autorisés s’ils sont fondés sur une décision d’adéquation (Règl. 2018/1725 art. 47). À défaut, ils sont autorisés si le responsable du traitement présente des garanties appropriées (Règl. 2018/1725 art. 48).
Le régime de transfert de données à caractère personnel entre l’Union européenne et les États-Unis a donné lieu à une abondante jurisprudence européenne. L’affaire commentée permet au Tribunal de l’Union de tirer les conséquences de la jurisprudence « Schrems II » (CJUE 16-7-2020 aff. 311/18 : RJDA 11/20 n° 621), ayant invalidé l’accord « Privacy Shield » (décision d'adéquation UE 2016/1250 du 12-7-2016). En l’espèce, le transfert litigieux avait été opéré le 30 mars 2022, pendant la période de transition entre cette décision et la validation de l’accord suivant « Trans-Atlantic Data Privacy Framework » (décision d’adéquation UE 2023/1795 du 10-7-2023).
Sous réserve d’une censure par la Cour de justice, l’arrêt commenté ouvre la voie à une nouvelle vague de contentieux. En effet, les transferts de données personnelles vers les États-Unis réalisés pendant la période de transition, grâce à l’utilisation de modalités de connexion « Se connecter avec Facebook » et similaires, ne sont pas conformes aux exigences de protection des données fixées par le droit de l’Union.
Documents et liens associés :
