Le Tribunal de l'Union européenne a condamné la Commission européenne à verser 400 euros à un citoyen européen dont des données personnelles ont été transférées vers les États-Unis via un site Internet géré par l'institution de l'UE sans que ce citoyen dispose des garanties de protection de ses données personnelles équivalentes à celles en vigueur dans l'UE, dans un arrêt rendu mercredi 8 janvier (affaire T-354/22).
En Allemagne, un citoyen réclame 1 200 euros en réparation du préjudice moral qu'il aurait subi en raison de la violation, par la Commission européenne, de son droit à la protection de ses données personnelles lorsqu'il a consulté le site Internet de la 'Conférence sur l’avenir de l’Europe' (https://futureu.europa.eu ). Il s’était inscrit via ce site à l’événement 'GoGreen', en utilisant le service 'EU Login' d’authentification de la Commission et en choisissant l’option offerte de se connecter à l’aide de son compte Facebook.
L’intéressé estime qu'en consultant le site Internet de la Commission, des données personnelles (adresse IP, informations sur son navigateur et son terminal) ont été transférées vers des destinataires établis aux États-Unis, notamment, à l'entreprise Amazon Web Services. En outre, lors de son inscription à l’événement 'GoGreen' à l’aide de son compte Facebook, certaines données auraient été transférées à l’entreprise américaine Meta Platforms.
Or, selon l’intéressé, les États-Unis ne disposaient pas, à l'époque, d'un niveau de protection adéquat des données personnelles dans la mesure où les transferts de données auraient donné lieu à un risque d’accès à ses données par les services américains de sécurité et de renseignement. Et la Commission n’avait fait état d’aucune des garanties appropriées pouvant justifier ces transferts prévues par le règlement (2018/1725) régissant la protection des personnes physiques à l'égard du traitement de leurs données personnelles par les institutions et organes de l'UE.
Le Tribunal rejette la demande en indemnité (800 euros) fondée sur la violation du droit d'accès aux informations, considérant que le préjudice moral allégué fait défaut. Il rejette la demande similaire concernant les transferts de données à travers Amazon CloudFront, estimant que le transfert des données a eu lieu non pas vers les États-Unis, mais vers un serveur localisé à Munich, en vertu du principe de proximité avec le terminal de l'utilisateur.
En revanche, concernant l'inscription de l'intéressé à l'événement 'GoGreen', le Tribunal estime que la Commission a créé, par le biais de l'hyperlien 'se connecter avec Facebook' affiché sur le site Internet 'EU Login', les conditions permettant que l’adresse IP de l’intéressé soit transmise à Facebook. Cette adresse IP constitue une donnée à caractère personnel qui, par le biais dudit hyperlien, a été transmise à Meta Platforms, entreprise établie aux États-Unis. Ce transfert doit être imputé à la Commission, estime le Tribunal.
Or, fin mars 2022, il n’existait aucune décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel des citoyens de l’UE, mais juste un accord de principe entre la Commission et les États-Unis pour remplacer le dispositif 'Privacy Shield' après l'arrêt 'Schrems II' de la Cour de justice de l'UE (EUROPE 12919/11).
De plus, note le Tribunal, la Commission n’a pas démontré - ni même allégué - l’existence d’une garantie appropriée, notamment d’une clause type de protection de données ou d’une clause contractuelle adoptée conformément au règlement 2018/1725. L’affichage de l’hyperlien 'se connecter avec Facebook' sur le site Internet 'EU Login' était tout simplement régi par les conditions générales de la plateforme Facebook.
En conséquence, le juge européen considère que la Commission a enfreint le droit de l’UE et que le plaignant a subi un préjudice moral en se retrouvant dans une situation d’insécurité quant au traitement de ses données personnelles. De plus, ajoute-t-il, il existe un lien de causalité suffisamment direct entre la violation commise par la Commission et le préjudice moral subi par l’intéressé. Les conditions de l’engagement de la responsabilité non contractuelle de l’Union étant réunies, le juge européen condamne la Commission à verser à l’intéressé la somme de 400 euros demandée pour ce préjudice.
Voir l'arrêt du Tribunal de l'UE : https://aeur.eu/f/eye (Mathieu Bion)