Principaux renseignements
- Le Tribunal de l’UE a statué contre la Commission européenne, la jugeant responsable d’avoir enfreint les règles de l’UE en matière de protection des données.
- Le Tribunal a estimé que la Commission avait violé le droit des citoyens à la confidentialité des données en transférant leurs informations personnelles à des destinataires aux États-Unis.
- Ce jugement souligne que même les institutions européennes sont soumises aux règles du GDPR et peuvent être tenues pour responsables en cas de violation.
Le Tribunal de l’Union européenne a récemment condamné la Commission européenne pour violation des règles européennes en matière de protection des données. Cette décision historique, qui découle d’un procès intenté par un citoyen de l’UE résidant en Allemagne, pourrait ouvrir la voie à des actions collectives dans la région.
Résultats et décisions clés
Le tribunal a estimé que la Commission avait violé le droit des citoyens à la confidentialité des données en transférant leurs informations personnelles à des destinataires aux États-Unis. Au moment du transfert, il n’était pas certain que les États-Unis disposent d’un niveau de protection adéquat pour les données des citoyens de l’UE. Cette conclusion s’aligne sur un arrêt rendu en 2020 par la Cour de justice de l’Union européenne (CJUE) dans l’affaire « Schrems II », qui a invalidé le système de transfert de données du bouclier de protection de la vie privée en raison de préoccupations concernant l’accès potentiel des agences de sécurité et de renseignement américaines.
L’affaire contre la Commission de l’UE
En mars 2022, lorsque les données du citoyen ont été transférées, les mécanismes juridiques pour le transfert de données personnelles entre l’UE et les États-Unis étaient absents sans garanties appropriées, telles qu’une clause standard de protection des données. La Commission n’a pas réussi à démontrer l’existence de telles garanties. Ce non-respect de la législation européenne relative aux transferts de données vers des pays tiers a conduit le tribunal à déclarer la Commission responsable.
Les allégations du plaignant
L’affaire a débuté en 2021 et 2022 lorsque le citoyen allemand a visité le site Web de la Conférence sur l’avenir de l’Europe, géré par la Commission. Il s’est inscrit à l’événement « GoGreen » par le biais du service d’authentification EU Login de la Commission, en utilisant son compte Facebook. Le citoyen allègue que lors de ces visites, ses données à caractère personnel, y compris son adresse IP et les informations relatives à son navigateur, ont été transférées à Amazon Web Services (AWS) aux États-Unis, en tant que réseau de diffusion de contenu Amazon CloudFront utilisé par le site web de la Commission.
L’arrêt de la Cour
La CJUE a jugé que la Commission n’était pas responsable du transfert des données à AWS, car leur contrat stipulait qu’AWS devait s’assurer que les données restaient en Europe. En revanche, la Commission a été tenue responsable des données transférées à Meta au cours de la procédure d’inscription à l’événement « GoGreen ». Cette responsabilité découle de l’hyperlien « Se connecter avec Facebook » sur la page web de connexion à l’UE, qui, selon le tribunal, a créé les conditions pour la transmission de l’adresse IP du citoyen à Facebook.
Conséquences et impact
Le tribunal a accordé une indemnité de 400 euros au requérant pour le préjudice moral causé par le transfert de son adresse IP aux États-Unis. Tout en rejetant d’autres demandes et requêtes, le jugement a souligné la grave violation par la Commission d’une règle destinée à protéger les droits des individus.
Cette affaire historique, malgré le montant relativement faible de l’indemnisation, devrait avoir des conséquences importantes. C’est la première fois que des dommages et intérêts sont accordés pour des transferts illégaux de données, ce qui montre que même les institutions de l’UE sont soumises aux règles du GDPR.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!