Rédigé par Alice Soldatenkov
Le 8 janvier 2025, la Cour de justice de l’Union européenne s’est penchée sur la protection des renseignements à caractère personnel des personnes physiques par la Commission européenne dans la décision T‑354/22 (Thomas Bindl contre Commission européenne)[1].
Elle y a notamment examiné les transferts de données à caractère personnel des institutions et organes de l’Union européenne vers des pays tiers à l’Union européenne, plus spécifiquement les États-Unis, qui ne disposent pas d’un niveau de protection adéquat selon le règlement 2018/1725[2] (le « Règlement »). Elle a ainsi condamné la Commission européenne à payer une indemnité au plaignant en raison du transfert de ses données vers Meta Platforms qui a découlé de la connexion de ce dernier à l’aide de son compte Facebook.
Les faits de l’affaire
La direction générale de la communication de la Commission européenne est responsable du traitement des données à caractère personnel recueillis sur le site Internet de la Conférence sur l’avenir de l’Europe (la « CAE »). Le 30 mars 2022, Thomas Bindl, un citoyen allemand, a consulté ce site et a procédé à s’inscrire à l’événement « GoGreen » qui y était annoncé. Pour s’inscrire à cet événement, il a dû se connecter à EU Login, ce qu’il a fait par le biais de son compte Facebook, une option proposée sur le site et qu’y consistait à cliquer sur le l’hyperlien « Sign in with Facebook ». Le 8 juin 2022, Bindl a de nouveau consulté ce site Internet.
Au courant de l’année précédente à son inscription à l’événement, soit le 9 novembre 2021, Bindl a envoyé au délégué à la protection des données de la Commission une demande d’information conforme au Règlement par courriel. Dans ce courriel, il indique avoir remarqué une connexion activée avec des fournisseurs tiers lors de sa connexion sur le site Internet mentionnée ci-dessus, a demandé quelles données à caractère personnel le concernant avaient été traitées, stockées ou transférées à des tiers et a demandé des renseignements sur le fondement juridique d’un tel transfert ainsi que sur l’existence d’éventuelles garanties concernant le transfert vers des pays tiers ne disposant pas d’un niveau de protection adéquat[3].
Le 3 décembre 2021, la Commission répond par courriel à la demande de Bindl en lui transmettant un lien permettant de générer directement une liste des données à caractère personnel qui avaient été traitées lors de de sa consultation du site Internet. Elle lui indique également qu’il n’y a pas eu de transfert de ses données à caractère personnel en dehors de l’Union européenne et que ces dernières sont stockées et traitées par le site Internet de la CAE en utilisant un réseau de diffusion de contenu géré par Amazon Web Services EMEA SARL. Elle précise en outre que, par accords contractuels entre la Commission et AWS EMEA, il n’y a pas de transfert de données vers les partenaires d’AWS EMEA situés aux États-Unis et que le transfert en dehors du territoire de l’Union n’était pas autorisé[4].
Par la suite, le 1er avril 2022, soit après son inscription à l’événement « GoGreen », Bindl demande de nouveau à la Commission des informations sur le traitement de ses données. Cette fois-ci, il ajoute avoir remarqué une connexion qui s’est établie à l’entreprise Microsoft lorsqu’il a utilisé ses données de connexion Facebook pour s’enregistrer à l’événement et demande des renseignements à ce sujet[5]. Ce n’est que le 30 juin 2022, soit après que Bindl ait introduit un recours contre elle, que la Commission répond à cette demande d’information[6].
Le 9 juin 2022, Bindl intente le recours contre la Commission devant la Cour de justice de l’Union européenne. Il demande au tribunal:
- d’annuler le transfert de ses données à caractère personnel vers des pays tiers ne disposant pas d’un niveau de protection adéquat ayant eu lieu le 30 mars et le 8 juin 2022;
- de constater que la Commission s’est illégalement abstenue de prendre position sur la demande d’informations qu’il lui a transmis le 1er avril 2022;
- de condamner la Commission à lui verser des indemnités , assortie d’intérêts: (i) Au montant de 800 euros, en réparation du préjudice moral subi à la suite d’une violation de son droit d’accès aux informations; (ii) Au montant de 400 euros, en réparation du préjudice moral subi à la suite desdits transferts de ses données; et
- de condamner la Commission aux dépens[7].
Le rejet de la demande d’annulation et de constatation
La Cour a déterminé que Bindl ne peut pas se prévaloir du recours en annulation prévu à l’article 263 TFUE[8], car pour que cet article s’applique, l’acte dont on recherche l’annulation doit produire des effets de façon à modifier la situation juridique de la partie requérante. En l’espèce, les possibles transferts non-permis d’information ne sont pas des actes de la Commission ayant des effets juridiques contraignants sur Bindl. En conséquence, ce dernier ne peut en demander l’annulation sous l’article 263 TFUE[9].
La Cour a également rejeté de statuer sur les conclusions en carence en vertu de l’article 265 TFUE de Bindl concernant le manque de réponse de la part de la Commission à sa demande de renseignements du 1er avril 2022 dans le délai d’un mois. Comme la Commission y a ultimement répondu, l’objet du recours a disparu. La Cour a également précisé que le fait que la réponse de la Commission ne corresponde pas à celle souhaitée par Bindl n’est d’aucune pertinence, car l’article 265 TFUE ne vise que la carence par l’abstention de statuer[10].
Demandes en indemnités
Le droit d’obtenir réparation pour une personne ayant subi un dommage matériel ou moral en cas de violation du Règlement est prévu par l’article 65 de ce dernier sous réserve des « conditions prévues dans les traités ». Cet article est donc subordonné aux conditions de l’article 340, deuxième alinéa, TFUE, selon lequel « l’Union doit réparer, conformément aux principes généraux communs aux droits des États membres, les dommages causés par ses institutions ou par ses agents dans l’exercice de leurs fonctions ».
La jurisprudence a établi que la responsabilité non-contractuelle de l’Union est enclenchée (selon l’article 340 TFUE) si trois conditions cumulatives sont réunies: « l’illégalité du comportement reproché aux institutions, la réalité du dommage et l’existence d’un lien de causalité entre ce comportement et le préjudice invoqué »[11].
Première demande en indemnité: réparation du préjudice moral subi à la suite de la violation du droit d’accès aux informations
-
Déclaration relative à la protection de la vie privée, qui figure sur le site Internet de la CAE
Bindl dénonce l’absence d’informations relatives au transfert de données à caractère personnel vers des pays tiers et à d’éventuelles garanties appropriées aux fins dudit transfert dans la déclaration relative à la protection de la vie privée, qui figure sur le site Internet de la CAE contraire à l’article 48 du Règlement[12]. La Cour précise que le Règlement établit un « droit d’accès de la personne concernée à certaines informations, mais ne prévoi[t] pas que lesdites informations doivent figurer obligatoirement sur un document donné, voire sur une déclaration relative à la protection de la vie privée, telle que celle qui figure sur le site Internet de la CAE »[13].
-
Violation du principe de transparence
Aucun argument concret n’a été avancé à l’appui d’une violation au principe de transparence[14].
-
Transmission d’informations erronées
Bindl soutient que la Commission lui aurait communiqué des informations erronées dans le courriel du 3 décembre 2021 en raison de son hypothèse selon laquelle la consultation du site Internet de la CAE implique un transfert de données à caractère personnel des utilisateurs vers un pays tiers. La Cour n’a pas considéré cet argument puisqu’il s’agit de la base de la seconde demande en indemnité[15].
-
La Commission n’ a pas répondu à la demande d’informations du 1er avril 2022 dans le délai imparti
La Commission n’a pas respecté le délai d’un mois, prévu à l’article 14, paragraphe 4, du Règlement[16]. Il s’agit d’une illégalité. Cependant, aucun préjudice moral n’est démontré en l’espèce. Le délai de réponse de la Commission n’a pas dépassé les deux mois et les demandes d’informations du 9 novembre 2021 et du 1er avril 2022 étaient fondamentalement les mêmes, ce qui a pour conséquence qu’une partie, au moins, de la réponse a déjà été rendue le 3 décembre 2021[17].
Deuxième demande en indemnité: réparation du préjudice moral résultant des transferts litigieux
Bindl soutient avoir encouru un préjudice moral à cause de transferts litigieux de ses données à caractère personnel qui ont lieu vers des destinataires situés aux États-Unis.
Les dispositions du chapitre V du Règlement « visent à préserver, lors des transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union »[18].
Les États-Unis ne disposent pas d’un niveau de protection adéquat selon le règlement, car il s’agit d’un pays situé à l’extérieur de l’Union Européenne, aucune décision d’adéquation de la commission n’existe en ce qui concerne les États-Unis[19] et les conditions définies par le Règlement ne sont pas respectées, par exemple, par des clauses types de protection de donnés[20].
-
Consultation du site Internet de la CAE le 30 mars 2022
Bindl soutient que lors de sa consultation du site Internet du 30 mars 2022, des données personnelles lui appartenant, notamment son adresse IP, ont été transférées vers les États-Unis en raison de l’utilisation par le site Internet du CEA du réseau de diffusion « Amazon CloudFront » dont l’opérateur serait une filiale de l’entreprise américaine Amazon.com. Il soutient donc que ses données auraient été envoyées dans un serveur de d’Amazon.com situé aux États-Unis. Il affirme également que même si ce n’est pas le cas, Amazon Cloudfront serait obligée de fournir des informations aux services de sécurité et de surveillance des États-Unis, puisqu’elle est soumise aux lois américaines, ce qui constituerait aussi un transfert litigieux[21].
La Cour rappelle qu’une adresse IP doit être qualifiée de donnée à caractère personnel[22]. Cependant, elle énonce que, dans les circonstances, il n’a pas été démontré qu’il a eu un transfert de données de Bindl vers des serveurs situés à l’extérieur de l’Union Européenne le 30 mars 2022[23]. Un serveur situé à Munich aurait plutôt été utilisé[24].
Quant à l’accès des renseignements personnels par les autorités américaines, la Cour indique, qu’en l’espèce, rien ne permet de supposer que cet accès a eu lieu[25]. Elle affirme que seul le risque de la violation, admettant que l’AWS EMEA serait dans l’obligation de fournir des renseignements personnels aux autorités américaines à leur demande, ne peut pas être assimilé à une violation (de l’article 46 du Règlement)[26].
-
Consultation du site Internet de la CAE le 8 juin 2022
Bindl soutient également qu’un transfert de ses données personnelles, notamment son adresse IP, a été effectué vers les États-Unis lors de sa consultation du site le 8 juin 2022, ce qui constitue une violation[27].
La preuve a démontré que l’adresse IP a bien été transférée à un serveur situé aux États-Unis[28], mais la Cour a rejeté la violation en raison du manque du lien de causalité. En effet, elle a jugé que « le comportement reproché à la Commission, à savoir l’utilisation du service Amazon CloudFront comme réseau de diffusion de contenu du site Internet de la CAE » n’ est pas « la cause directe du préjudice moral invoqué, consistant en une perte du contrôle sur les données à caractère personnel du requérant qui auraient fait l’objet d’un transfert vers les États-Unis lors de ses consultations dudit site Internet du 8 juin 2022 »[29].
Ce serait plutôt le « réglage technique effectué par [Bindl] afin de modifier sa localisation apparente »[30] qui aurait causé le réseau de diffusion à envoyer les données vers un serveur situé aux États-Unis. En effet, le réseau fonctionne selon un mécanisme de routage qui agit selon le principe de proximité et qui couvre une zone plus large que le territoire de l’espace économique européen[31]. Cela veut donc dire que les données de connexion, notamment l’adresse IP, sont envoyées vers le serveur le plus proche de la localisation lors de la connexion et que certains de ces serveurs se trouvent à l’extérieur du territoire de l’Union européenne.
Or, Bindl a modifié, par un réglage technique, sa localisation apparente et sa localisation lors de sa connexion et s’est présenté comme se trouvant proche de Hillsboro et de Newark aux États-Unis[32]. Par conséquent, en raison de son localisation apparente aux États-Unis, l’adresse IP de Bindl a établi une connexion avec les serveurs se trouvant aux États-Unis et non avec les serveurs se trouvant sur le territoire de l’Union européenne, comme elle l’aurait fait si la localisation apparente de Bindl se trouvait dans l’Union européenne[33]. Cette connexion s’est faite car les serveurs situés aux États-Unis étaient plus proches de la localisation apparente de Bindl .
Comme la Cour l’a énoncé, « bien que l’utilisation, par la Commission, du service Amazon CloudFront soit une condition nécessaire de la survenance des transferts de données à caractère personnel vers les États-Unis […], cette circonstance ne suffit pas, dans les conditions de l’espèce, à établir un lien de causalité suffisamment direct entre le dommage moral invoqué par le requérant et le comportement prétendument illégal de la Commission»[34]. Bref, bien que ce soit le mécanisme de routage utilisé par le service Amazon Cloudfront qui a causé le transfert de l’adresse IP de Bindl vers les États-Unis, ce transfert n’aurait pas eu lieu sans l’intervention de Bindl, et donc le lien de causalité entre l’utilisation du service et le transfert n’est pas suffisant.
-
Connexion établie par Bindl, le 30 mars 2022, au service d’authentification d’utilisateur de la Commission EU Login, à l’aide du compte Facebook, afin de s’inscrire à l’événement « GoGreen » sur le site Internet de la CAE
Lors de l’inscription à l’événement « GoGreen » par Bindl par le biais de son compte Facebook, une option proposée sur le site Internet de la CEA, des données à caractère personnel ont été transmises à Meta Platforms[35].
La Cour a confirmé cette violation malgré le fait que la Commission affirme n’avoir ni effectué ni lancé le transfert de données à Meta Plateforms, ainsi que le fait qu’il ne serait pas obligatoire de s’inscrire par l’intermédiaire d’EU Login pour participer à l’événement « GoGreen » et, que même en utilisant EU Login, des possibilités d’authentification n’exigeant pas l’utilisation d’un compte sur des réseaux sociaux sont disponibles[36].
En affichant l’hyperlien « se connecter avec Facebook » sur le site Internet d’EU Login, qui est tout simplement régi par les conditions générales de la plateforme Facebook[37], la Commission « a créé les conditions pour qu’un transfert de données à caractère personnel du requérant vers un pays tiers se soit produit, sans pour autant respecter les conditions établies à l’article 46 du règlement 2018/1725 »[38], ce qui constitue une violation au Règlement[39].
Ce transfert ayant causé un préjudice moral consistant en une perte du contrôle des données de Bindle et en une privation de ses droits et libertés[40], la Cour condamne la Commission à payer une indemnité de 400 euros à Bindl[41].
Et le Canada dans tout ça?
Le Canada a un niveau de protection « adéquat » des données personnelles selon l’Union européenne. En effet, cette dernière a reconnu, encore en 2001, que la Loi sur la protection des renseignements personnels et les documents électroniques du Canada offre un niveau de protection adéquat. Les données à caractère personnel peuvent donc, conformément au Règlement, être transférées au Canada sans qu’il soit nécessaire d’avoir des garanties supplémentaires ou une autorisation[42].
Il est intéressant d’observer comment l’Union européenne, qui a des pratiques très strictes en matière de protection de données, interprète sa législation en la matière et évalue les pays à l’extérieur de l’Union dans ce domaine. Nul doute qu’il faut se tenir informé de sa jurisprudence.
De plus, cette affaire démontre à merveille l’omniprésence des réseaux sociaux et leur manque de confidentialité. L’option de fournir un accès plus « facile » avec un compte Facebook n’est pas toujours une bonne option.
Avertissement
Cet article n’est pas rédigé par un juriste. L’information qui est présentée dans cet article sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme telle.
L’information contenue dans cet article est « telles quelles » sans aucune garantie d’exhaustivité, d’exactitude, d’utilité ou d’actualité et sans aucune garantie de quelque nature que ce soit, expressément ou implicite. Si vous avez des questions légales à propos du télétravail, consultez un avocat.
[1] T‑354/22 (Thomas Bindl contre Commission européenne), 8 janvier 2025, CJUE, 6ème Chambre, en ligne: https://curia.europa.eu/juris/document/document.jsf?mode=DOC&pageIndex=0&docid=294090&part=1&doclang=FR&text=&dir=&occ=first&cid=9360463 (ci-après « T‑354/22 »).
[2] Règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE, en ligne: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1725 (le « Règlement »).
[3] par. 5 et 6.
[4] T‑354/22, par. 7.
[5] Id., par. 8.
[6] Id., par. 11.
[7] Id., par. 13.
[8] Traité sur le fonctionnement de l’Union européenne, en ligne: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12012E/TXT:fr:PDF (ci-après « TFUE»).
[9] T‑354/22, par. 24, 25, 31-35.
[10] Id., par. 41-43.
[11] Id., par. 48.
[12] Id., par. 68.
[13] Id., par. 70.
[14] Id., par. 74.
[15] Id., par. 75.
[16] Id., par. 78.
[17] Id., par. 83.
[18] Id., par. 96.
[19] Id., par. 100.
[20] Id., par. 102.
[21] Id., par. 119.
[22] Id., par. 122.
[23] Id., par. 126.
[24] Id., par. 127.
[25] Id., par. 133.
[26] Id., par. 134-135.
[27] Id., par. 141.
[28] Id., par. 151.
[29] Id., par. 150.
[30] Id., par. 157.
[31] Id., par. 158.
[32] Id., par. 157.
[33] Id., par. 168.
[34] Id., par. 159.
[35] Id., par. 188.
[36] Id., par. 166.
[37] Id., par. 191.
[38] Id., par. 192.
[39] Id., par. 193.
[40] Id., par. 185.
[41] Id., par. 200.
[42] Service des délégués commerciaux, Gouvernement du Canada, en ligne: https://publications.gc.ca/collections/collection_2018/amc-gac/FR5-143-2018-fra.pdf
