La Commission européenne condamnée par le Tribunal de l’Union à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de ses données aux Etats-Unis.

Le tribunal de l’Union européenne a condamné la Commission européenne à verser 400 euros à un citoyen allemand pour préjudice moral lié au transfert non conforme de ses données personnelles vers les Etats-Unis via le site Internet de la Conférence sur l’avenir de l’Europe.

Publié le 
29/1/2025
La Commission européenne condamnée par le Tribunal de l’Union à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de ses données aux Etats-Unis.

La connexion via Facebook 

En 2021 et 2022, Thomas Bindl a utilisé le site de la Conférence sur l’avenir de l’Europe pour s’inscrire à l’événement « GoGreen ». En choisissant l’option de connexion « se connecter avec Facebook » via le service EU Login, ses données personnelles, telles que son adresse IP, des informations sur son navigateur et son terminal, ont été transmises à des entreprises américaines notamment Meta Platforms et Amazon Web Services. 

Cependant, un tel transfert de données a conduit la Commission à commettre une violation suffisamment caractérisée d’une règle de droit visant à conférer des droits aux particuliers, justifiant sa condamnation par le Tribunal de l’Union européenne. 

La sanction des transferts illicites de données à Meta

Aux termes du règlement 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu qu’en vertu d’une décision d’adéquation de la Commission ou à défaut en présence de garanties appropriées prévues par le responsable de traitement des données selon la jurisprudence Schrems II.

Or, en l’espèce et au moment des faits, le 30 mars 2022, aucune décision de la Commission n’attestait que les Etats-Unis assuraient un niveau de protection suffisant pour le traitement de ces données. Aucune garantie contractuelle ou clause de protection des données n’avaient également été mises en place.

Ainsi, le préjudice moral invoqué par le requérant est considéré comme réel et certain par le Tribunal, dans la mesure où le transfert de ses données personnelles, effectué en violation du règlement 2018/1725, a placé le requérant dans une situation d’insécurité quant au traitement de ses données personnelles.

L’absence de caractérisation de transfert illicite de données à Amazon Web Services

Le requérant a également formulé une demande de réparation du préjudice moral résultant du transfert litigieux de ses données personnelles à Amazon Web Services lors de ses consultations du site internet de la Conférence sur l’avenir de l’Europe. Cependant, le Tribunal n’a pas retenu la responsabilité de la Commission et pour cause : 

  • D’une part, le Tribunal a constaté que le transfert de données de l’une des connexions litigieuses avait eu lieu non pas vers les Etats-Unis mais, selon le principe de proximité, vers un serveur localisé à Munich. Or, selon le contrat conclu entre la Commission et le gérant d’Amazon Web Services, cette dernière devait garantir que le transfert de données reste en Europe.
  • D’autre part, bien qu’un transfert de données ait eu lieu, dans le cadre d’une autre connexion litigieuse, vers les États-Unis, celui-ci résultait d’un paramétrage incorrect de l’utilisateur et non d’une faute imputable à la Commission.

Une décision cruciale dans l’application des règles de protection des données

Cette décision du TUE marque un tournant dans l’application des règles de protection des données au sein des institutions européennes. La condamnation de la Commission illustre que les institutions européennes doivent respecter les mêmes normes que celles qu’elles imposent aux entreprises privées.

A ce titre, en décembre 2023, le Contrôleur européen de la protection des données (CEPD) avait émis un blâme à l’encontre de la Commission européenne pour avoir mené une campagne publicitaire ciblant les utilisateurs néerlandais sur le réseau social X pour promouvoir une proposition de règlement contre les abus sexuels en ligne.

Le Contrôleur européen de la protection des données a dénoncé ces pratiques retenant une exploitation illégale de données sensibles par la Commission et pointant l’ironie qu’une institution européenne, souvent critique des pratiques des GAFAM, viole elle-même les règles européennes. 

Flèche en arrière
Retour vers toutes les actualités

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins. Vous pouvez également nous contacter via notre formulaire de contact.

Prendre RDV pour une démo

Les dernières actualités du droit des affaires

Tout voir

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv.eu ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins.

Accédez à toute l'intelligence du droit des affaires

Inscrivez-vous gratuitement sur Livv et bénéficiez de notre expertise en droit des affaires.‍

Essayer gratuitement Livv
Élément décoratif accompagnant un texte descriptif Livv.

Inscrivez-vous à la newsletter Livv

et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus