La Commission européenne écope parfois elle aussi d’amendes pour ne pas avoir respecté le RGPD.
Et si les sanctions restent difficilement comparables aux amendes records prononcées contre les géants américains du numérique, elles viennent rappeler que les règlements s’appliquent à tout le monde.
Une question de timing
Dans un arrêt rendu mercredi 8 janvier, la Cour de Justice de l’Union Européenne (CJUE) a condamné la Commission à payer la somme de 400 euros à un utilisateur allemand du site web Future of Europe, suite au transfert de son adresse IP vers des serveurs basés aux Etats Unis.
La décision de la justice européenne fait suite à une plainte déposée par un citoyen européen vivant en Allemagne. Celui-ci explique qu’en 2021 et 2022, il s’est connecté sur le site Future of Europe. Ce site est hébergé et opéré par la Commission européenne. Pour s’inscrire à un événement proposé par le site, le service proposait l’option de se connecter en utilisant son compte Facebook. Mais ce faisant, l’adresse IP de l’utilisateur était alors transférée sur des serveurs appartenant à la société américaine Meta, propriétaire du réseau social Facebook.
La simple présence de cette option de connexion a poussé la CJUE à donner raison au plaignant. La Commission européenne « a créé, par le biais de l’hyperlien « se connecter avec Facebook » affiché sur la page Internet d’EU Login, les conditions permettant que l’adresse IP de l’intéressé soit transmise à Facebook » dit la Cour. A l’époque des faits, les transferts de données personnelles (dont l’adresse IP fait partie) vers des entreprises basées aux États Unis n’étaient pas encadrés. Le Privacy Shield avait été invalidée en 2020. Son successeur n’a été adopté qu’en juillet 2023.
« De plus, la Commission n’a pas démontré, ni même allégué, l’existence d’une garantie appropriée, notamment, d’une clause type de protection de données ou d’une clause contractuelle » permettant d’encadrer juridiquement ce transfert de données, note le communiqué de la CJUE.
Données éparpillées
La Commission devra donc verser 400 euros au plaignant. Celui ci dans les colonnes d’Euractiv, s’est félicité de la décision. Mais la CJUE l’a en revanche débouté concernant une autre plainte déposée en parallèle, qui soutenait que le recours à des fournisseurs américains comme Amazon Web Services pour héberger les sites web de la Commission européenne constituaient une infraction au RGPD. Sur ce point, la CJUE rappelle que le contrat passé entre AWS et la Commission précisait bien que les données des utilisateurs devaient être stockées en Europe.
Ce n’est pas la première fois que la justice européenne rappelle la Commission à respecter les règlements européens en matière de protection des données.
Au mois de décembre, l’association noyb avait ainsi obtenu une victoire devant le Contrôleur européen de la protection des données, qui avait estimé qu’une campagne de publicité diligentée par la Commission européenne n’avait pas respecté les règlements en vigueur concernant le ciblage des internautes.