Éric Landot Brèves et articles, Contrats, gestion publique et aménagement (dont domaine public), Ressources et institutions (dont fonction publique, élections, responsabilités, droit administratif général...), Transitions, environnement et intercommunalité (dont finances)

Peut-on mettre en place, en Europe, une inscription à un événement public via un profil de données aux Etats-Unis (FaceBook ou autre) ?

Audience devant le TUE en formation à 3 juges ; Crédits photographiques : Cour de justice de l'Union européenne - CJUE

Réponse NON avant juillet 2023… et peut-être OUI depuis… quoiqu’avec moult précautions.

Revenons sur un jugement où le tribunal de l’Union a, à ce propos, sanctionné la Commission européenne, au titre de l’inscription à l’événement « GoGreen » de 2022. Mais ce jugement traduit l’état du droit d’avant juillet 2023… sauf si ledit état du droit venait à être lui-même censuré. D’où un usage à prévoir avec prudence. 

———–

Peut-on mettre en place, en Europe, une inscription à un événement public via un profil de données aux Etats-Unis (FaceBook ou autre) ? Réponse NON… pas avant juillet 2023… et pas si, via l’hyperlien « se connecter avec Facebook » (en l’espèce, mais le même raisonnement aurait été conduit avec d’autres outils, comme X par exemple), affiché sur la page Internet de LogIn, se trouvaient créées les conditions permettant que l’adresse IP de l’intéressé soit transmise à une entreprise américaine (Meta Platforms en l’espèce) ne respectant pas le RGPD.

Le droit a sans doute changé sur ce point en juillet 2023… mais ce point pourrait être discuté. 

C’est le tribunal de l’UE (TUE) qui nous le dit et… le plus ironique dans cette histoire est que c’est la commission européenne qui est sanctionnée en l’espèce.

Le Tribunal a en effet condamné la Commission à payer des dommages et intérêts à un visiteur de son site Internet de la Conférence sur l’avenir de l’Europe en raison du transfert de données à caractère personnel aux États-Unis.

Le requérant était un citoyen, habitant en Allemagne, et qui reprochait à la Commission d’avoir violé son droit à la protection de ses données à caractère personnel lors de ses consultations, en 2021 et 2022, du site Internet de la Conférence sur l’avenir de l’Europe, qui est géré par la Commission.

Ce citoyen de l’Union s’était inscrit via ce site à l’événement « GoGreen », en utilisant le service d’authentification de la Commission EU Login et en choisissant l’option offerte de se connecter à l’aide de son compte Facebook.
L’intéressé estimait que, lors de ses consultations de ce site Internet, des données à caractère personnel lui appartenant auraient été transférées vers des destinataires établis aux États-Unis, notamment, son adresse IP ainsi
que des informations sur son navigateur et son terminal.

En effet, d’une part, ces données auraient été transférées à l’entreprise américaine Amazon Web Services, en sa qualité d’opérateur du réseau de diffusion de contenu dénommé Amazon CloudFront, qui serait utilisé par le site Internet en question. D’autre part, lors de son inscription à l’événement « GoGreen » à l’aide de son compte Facebook, ces données auraient été transférées à l’entreprise américaine Meta Platforms, Inc.

Or, selon l’intéressé, les États-Unis n’ont pas un niveau de protection adéquat. Ces transferts auraient donné lieu à un risque d’accès à ses données par les services américains de sécurité et de renseignement. La Commission n’aurait fait état d’aucune des garanties appropriées pouvant justifier ces transferts.

Certaines demandes de ce requérant ont été rejetées pour des raisons juridiques voire techniques.

En revanche, en ce qui concerne l’inscription de l’intéressé à l’événement « GoGreen », le Tribunal estime que la Commission a créé, par le biais de l’hyperlien « se connecter avec Facebook » affiché sur la page Internet d’EU Login, les conditions permettant que l’adresse IP de l’intéressé soit transmise à Facebook. Cette adresse IP constitue une donnée à caractère personnel qui, par le biais dudit hyperlien, a été transmise à Meta Platforms, entreprise établie aux États-Unis. Ce transfert doit être imputé à la Commission.

Or, au moment de ce transfert, à savoir le 30 mars 2022, il n’existait aucune décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel des citoyens de l’Union.

Citons, sur ce point, le jugement du TUE :

«98 En septième lieu, s’agissant des conditions définies dans le chapitre V du règlement 2018/1725, il convient d’observer que l’article 47, paragraphe 1, de ce règlement prévoit qu’un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé, par la voie d’une décision d’adéquation adoptée, notamment, en vertu de l’article 45, paragraphe 3, du règlement 2016/679, que le pays ou l’organisation internationale en question assure un niveau de protection adéquat et que le transfert de données à caractère personnel a lieu exclusivement pour permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.
« 99 À cet égard, il convient de rappeler que les deux décisions d’adéquation de la Commission concernant les États-Unis ont été déclarées invalides. D’une part, par l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), la Cour a déclaré invalide la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7). D’autre part, par l’arrêt Schrems II, la Cour a déclaré invalide la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1).
« 100 Il s’ensuit que, à la date des transferts litigieux, aucune décision d’adéquation, au sens de l’article 47 du règlement 2018/1725, n’existait en ce qui concerne les États-Unis.»

 

De plus, la Commission n’a pas démontré, ni même allégué, l’existence d’une garantie appropriée, notamment, d’une clause type de protection de données ou d’une clause contractuelle 5. L’affichage de l’hyperlien « se connecter avec Facebook » sur le site Internet d’EU Login était tout simplement régi par les conditions générales de la plate-forme Facebook.

La Commission n’a donc pas respecté les conditions posées par le droit de l’Union pour le transfert, par une institution, un organisme ou un organe de l’Union, de données à caractère personnel vers un pays tiers.
Le Tribunal considère que la Commission a commis une violation suffisamment caractérisée d’une règle de droit visant à conférer des droits aux particuliers. L’intéressé a subi un préjudice moral, en se retrouvant dans une situation d’insécurité quant au traitement de ses données à caractère personnel, notamment, de son adresse IP. De plus, il existe un lien de causalité suffisamment direct entre la violation commise par la Commission et le préjudice moral subi par l’intéressé.
Les conditions de l’engagement de la responsabilité non contractuelle de l’Union étant réunies, le Tribunal condamne la Commission à verser à l’intéressé la somme de 400 euros, qu’il avait demandée.

 

Est-il donc interdit d’avoir des données aux Etats-Unis pour cause de RGPD ? La question n’est pas si simple. 

En effet, par une décision du 10 juillet 2023, la Commission européenne a estimé que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l’UE vers certains organismes étatsuniens peuvent désormais s’effectuer librement, sans encadrement spécifique.

Sauf que : 

  • 1/ ceux des organismes étatsuniens en questions restent discutés et pourraient donner lieu à une appréciation différente Etat par Etat (à la base il faut aller sur une liste certifiée… mais qui repose sur une auto-certification. Voir ici)
  • 2/ nous ne sommes pas à l’abri d’un arrêt « Schrems III » ou équivalent qui viendrait censurer cette position de la Commission 

 

Citons sur ce point la CNIL :

«Une administration ou une collectivité locale qui souhaiterait recourir aux services d’un prestataire étatsunien inscrit sur la liste des entités auto-certifiées du Département du Commerce peut se baser sur cette décision d’adéquation pour ses transferts vers son prestataire.
« Néanmoins, seuls les transferts vers les entités américaines certifiées ne nécessitent pas l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties appropriées  doivent être fournies à travers un des instruments listés à l’article 46 du RGPD et ces transferts ne sont possibles qu’à condition de garantir des droits opposables aux personnes concernées ainsi que des voies de recours effectives.»

Source : https://www.cnil.fr/fr/adequation-des-etats-unis-les-premieres-questions-reponses

Pour accéder à cette décision du TUE, voir :

TUE, 6e chambre élargie, 8 janvier 2025, Thomas Bindl c. Commission européenne, affaire T‑354/22,

Audience devant le TUE en formation à 3 juges ; Crédits photographiques : Cour de justice de l’Union européenne – CJUE

En savoir plus sur

Subscribe to get the latest posts sent to your email.