S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La Commission européenne condamnée pour avoir proposé la connexion via Facebook

Un précédent fâcheux en cas d'arrêt Schrems III ?

La Commission européenne condamnée pour avoir proposé la connexion via Facebook

Illustration : Flock

La justice vient de condamner la Commission européenne à verser 400 euros de dommages et intérêts à un internaute allemand. Elle reproche à l’institution d’avoir utilisé l’option « Se connecter avec Facebook » pour gérer l’inscription à l’un de ses événements en dehors du cadre légal offert par les accords transatlantiques pour la protection de la vie privée. Elle aurait ainsi exposé l’utilisateur au risque de transfert de ses informations personnelles vers les États-Unis.

La décision, publiée mercredi 8 janvier, a un petit parfum d’arroseur arrosé : la Cour de justice européenne vient en effet de condamner la Commission européenne pour non-respect des règles en matière de protection de la vie privée. L’indemnité, fixée à 400 euros, est symbolique, mais l’affaire soulève une question qui n’a rien d’anecdotique pour tous les éditeurs qui font appel à des outils ou des ressources d’origine états-unienne pour le fonctionnement de leurs sites Web.

Une option de connexion proposée en dehors du cadre réglementaire

La procédure émane d’un internaute allemand, Thomas Bindl qui fréquente à plusieurs reprises le site Web de la Conférence sur l’avenir de l’Europe à partir de 2021. Le 30 mars 2022, il décide, de son propre chef, d’utiliser une option de connexion via Facebook proposée sur le site en question, afin de s’inscrire à un événement baptisé GoGreen. Quelques semaines plus tard, il introduit un recours devant la Cour de justice européenne, pour se plaindre que la Commission a permis le transfert de ses données personnelles à des sociétés américaines.

« Les États-Unis sont un État tiers pour lequel la Commission n’a pas adopté de décision d’adéquation », estime le plaignant dans sa demande de recours. La plainte intervient en effet à une période particulière : le Privacy Shield, texte qui encadrait les échanges de données personnelles entre Europe et États-Unis, a en effet été invalidé par l’arrêt dit Schrems II le 16 juillet 2020.

Or son successeur, le Data Privacy Framework, n’est quant à lui entré en vigueur qu’en juillet 2023. Dans l’entre-deux, il n’y a donc pas de « décision d’adéquation », ce qui pose problème, estime la Cour de justice européenne.

« En l’absence d’une décision d’adéquation de la Commission concernant les États-Unis, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut se faire que si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives », écrit-elle dans sa décision.

Dans la mesure où le module de connexion proposé par Facebook est régi par les conditions générales édictées par Meta, le tribunal estime que la Commission a bien « créé les conditions pour qu’un transfert de données à caractère personnel du requérant vers un pays tiers se soit produit », et condamne l’exécutif européen à verser 400 euros « au titre du préjudice moral subi résultant du transfert litigieux ».

Quid d’une invalidation du Data Privacy Framework ?

L’Europe et les États-Unis entretiennent pour mémoire des positions particulièrement difficiles à concilier en matière de données personnelles. Le Vieux continent défend une logique de primauté de la protection individuelle, qui s’incarne au travers du RGPD, le règlement général sur la protection des données. Outre-Atlantique, on fait primer les enjeux nationaux sur les intérêts particuliers, ce qui donne notamment naissance à des textes comme le Cloud Act, ou la loi FISA (Foreign Intelligence Surveillance Act).

L’absence de frontières numériques impose toutefois de trouver des terrains d’entente : ce sont ces « décisions d’adéquation » mentionnées par la CJUE. Il y a d’abord eu le Safe Harbor, puis le Privacy Shield, mais ces deux cadres ont successivement été brisés en justice suite aux arrêts Schrems et Schrems II, du nom du fondateur de l’association noyb, à l’origine de ces actions.

Le cadre actuel, le Data Privacy Framework, tient encore, mais pour combien de temps ? Dès son entrée en vigueur, noyb avait menacé de nouvelles actions, au motif que les bases juridiques du DPF étaient identiques à celles des deux accords précédents.

La décision relative à l’utilisation du module de connexion de Facebook pourrait dans ce contexte créer un précédent. « Comme on dit, dura lex sed lex, mais la décision aura des répercussions importantes en particulier en cas de décision Schrems III ou équivalente, qui viendrait invalider le Data Privacy Framework (DPF) comme ont été invalidés les Safe Harbor et Privacy Shield avant lui. Je pense par exemple à tous les sites internet qui embarquent des Google Fonts et qui impliquent donc un transfert de l’adresse IP de l’internaute vers les serveurs de Google », remarque par exemple Guillaume Champeau, directeur juridique d’Olympe.legal, sur LinkedIn.

En dépit des déclarations tenues à l’été 2023, noyb n’a pour l’instant pas engagé de recours formel contre le Data Privacy Framework. La Commission européenne estime quant à elle que le cadre donne satisfaction, même si elle admet qu’un certain nombre de recommandations et d’orientations communes restent à écrire pour que le régime européen s’accommode des pratiques américaines.

Commentaires (8)

votre avatar
la Cour de justice européenne vient en effet de condamner la Commission européenne pour non-respect de ses propres règles en matière de protection de la vie privée.
Ce ne sont pas ses propres règles mais le RGPD qui a été voté par le Parlement Européen. Certains règlements européens peuvent être adoptés par la seule Commission, mais ce n'est pas le cas ici.

À part cela, c'est une très bonne nouvelle que la Commission soit ainsi sanctionnée.
La prochaine fois (après Schrems III:D), j'espère qu'elle établira des "garanties appropriées" qui seront elles-mêmes invalidées par la CJUE. On n'a pas fini de pleurer à ce sujet qui ne me fait plus rire.
votre avatar
très juste, merci.
votre avatar
Vu la tournure des évènements aux USA, il temps de faire extrêmement attention (encore plus que maintenant) sur les données que l'ont partage avec ce pays qui part en coui...
votre avatar
J'ai pas compris pourquoi l'internaute a porté plainte après avoir utilisé le bouton, vu qu'il savait à l'avance que ses données seraient partagées. En théorie, il n'y a pas besoin de l'utiliser pour porter plainte ou intenter une action si celui-ci n'est pas réglementaire non?
votre avatar
Là, il était sûr qu'il avait un intérêt à porter plainte puisque ses données avaient été transférées aux USA. Sinon, il n'aurait pas pu porter plainte auprès de la CJUE. Il a dû faire une action en réparation qui était le seul recours possible contre la Commission auprès de la CJUE.

Mais ta question est bonne.
votre avatar
C'est d'autant plus stupide de la part de la Commission qu'elle a déjà son propre système d'authentification, dans lequel tout un chacun peut se créer un compte. Il s'agit d'EU Login (anciennement "ECAS").... Parfaitement RGPD compatible, lui. :roll:

( https://webgate.ec.europa.eu/cas/login )
votre avatar
Sur la page EU login (lien ci dessus)... il y a Facebook comme possibilité
?
votre avatar
Euh... A priori, non :)