I. Présentation
L’autorité turque de protection des données personnelles a publié début janvier les lignes directrices sur les transferts internationaux de données personnelles.Suite à cette publication, les transferts internationaux de données sont devenus un sujet majeur dans les domaines du droit et de la cybersécurité dans le pays. Dans cet article, nous analyserons l’arrêt du Tribunal de la Cour de justice de l’Union européenne (« Tribunal ») dans l’affaire Bindl contre Commission, rendu public le mois dernier, concernant le transfert de données vers des pays tiers.
II. Allégations et prétentions du requérant
En 2021 et 2022, Bindl, personne physique de nationalité allemande, a visité à plusieurs reprises le site web de la Conférence sur l’avenir de l’Europe, qui est associée à la Commission européenne (« Commission « ). En particulier, il a visité le site en utilisant l’option « Sign in with Facebook » via le service d’authentification EU login de la Commission (EU Login, anciennement ECAS) pour s’inscrire à l’événement « GoGreen ». Le requérant allègue que ses données à caractère personnel, y compris son adresse IP et les informations relatives à son navigateur et à son terminal, ont été transférées aux États-Unis (U.S.) lorsqu’il a utilisé le site web.
Le requérant a d’abord affirmé que ses données à caractère personnel avaient été transférées à Amazon Web Services, l’opérateur d’Amazon CloudFront, le réseau de diffusion de contenu utilisé sur le site web en question.
Sa deuxième allégation est que lorsqu’il s’est inscrit à l’événement GoGreen en utilisant son compte Facebook, ses données ont été transférées à Meta Platforms, Inc.
Selon les allégations du requérant, les États-Unis ne disposaient pas d’un niveau adéquat de protection des données et ces transferts de données présentaient même un risque d’accès à ses données personnelles par les services de sécurité et de renseignement américains. La Commission n’a pas présenté de garanties appropriées pour justifier ces transferts.
Le requérant a demandé à la Commission de lui verser 400 euros en réparation du préjudice moral subi du fait de ces transferts.
En second lieu, le requérant demandait au Tribunal d’annuler le transfert de ses données personnelles, de constater que la Commission s’est illégalement abstenue de définir sa position sur la demande d’information et de condamner la Commission à lui verser 800 euros en réparation du préjudice moral subi du fait d’une violation de son droit d’accès à l’information.
III. Observations et arrêt de la Cour de justice de l’Union européenne
Le Tribunal a rejeté le deuxième groupe de demandes et la demande concernant Amazon CloudFront .
La situation est différente en ce qui concerne l’inscription du requérant à l’événement GoGreen via EU Login avec l’option « Sign in with Facebook ». Le Tribunal a conclu que le transfert de l’adresse IP du requérant à Meta Platforms, une entreprise établie aux États-Unis, doit être attribué à la Commission. À la date du transfert (30 mars 2022), il n’existait pas de décision de la Commission reconnaissant que les États-Unis assuraient un niveau adéquat de protection des données.
Selon l’arrêt du Tribunal, la Commission n’a pas non plus affirmé et prouvé qu’une garantie appropriée était en place, telle qu’une clause standard sur la protection des données ou une clause contractuelle. En l’espèce, l’affichage du lien hypertexte « Sign in with Facebook » sur la page concernée était entièrement soumis aux conditions générales de la plateforme Facebook. Par conséquent, la Commission n’a pas respecté les conditions fixées par le droit de l’UE pour le transfert de données à caractère personnel par une institution, un organe ou un organisme de l’UE vers un pays tiers.
En conséquence, le Tribunal a conclu que la Commission a commis une violation suffisamment caractérisée d’une règle de droit conférant des droits aux particuliers. Ainsi, le Tribunal a jugé que le requérant a subi un préjudice moral du fait de l’incertitude relative au traitement de ses données personnelles, en particulier de son adresse IP. Le Tribunal a également estimé qu’il existait un lien de causalité suffisamment direct entre l’infraction commise par la Commission et le préjudice moral subi par le requérant. Suite à ces observations, le Tribunal a condamné la Commission à verser au requérant les 400 euros de préjudice moral réclamés par ce dernier, les conditions de la responsabilité extracontractuelle de l’Union européenne étant réunies.
IV. Situation générale entre l’UE et les États-Unis
Le tournant concernant les transferts de données de l’UE vers les États-Unis a été l’arrêt Schrems II de la Grande Chambre du 16 juillet 2020. Dans cette décision, le Tribunal a invalidé le cadre du « Privacy Shield » réglementant le transfert de données entre l’UE et les États-Unis au motif que les États-Unis ne pouvaient pas protéger les données au niveau requis par l’Europe. Cette décision signifiait qu’il n’y avait pas de décision d’adéquation valide réglementant les transferts de données avec les États-Unis. Étant donné qu’aucune décision d’adéquation n’a été prise par la suite (jusqu’en juillet 2023), les entreprises et les organisations souhaitant transférer des données vers les États-Unis ont été tenues de prendre des mesures de sécurité supplémentaires. Le 4 juin 2021, la Commission a publié les clauses contractuelles types de l’UE (CCN). Ainsi, les anciennes clauses contractuelles types ont été invalidées pour les transferts de données vers des pays tiers à partir du 27 décembre 2022. Un nouveau cadre transatlantique a commencé à être négocié en 2022, et une décision d’adéquation a été prise pour le cadre UE-États-Unis de protection des données à caractère personnel le 10 juillet 2023.
V. Analyse et conclusionnalysis and Conclusion
En conclusion, pour sécuriser les transferts de données vers les pays tiers, il faut d’abord vérifier si ces pays remplissent les critères de sécurité des données et s’ils sont couverts par une décision d’adéquation. Dans les pays pour lesquels il n’existe pas de décision d’adéquation, il est important d’utiliser des instruments juridiques, tels que les clauses contractuelles types adoptées par la Commission, les clauses contractuelles soumises à l’approbation du contrôleur européen de la protection des données et les règles d’entreprise contraignantes notifiées à l’autorité de protection des données du pays concerné, et de prendre des mesures de protection supplémentaires (mesures techniques telles que le cryptage, l’anonymisation des données). À ce stade, il convient de souligner que la Turquie figure parmi les pays n’ayant pas fait l’objet d’une décision d’adéquation.
Bien que le montant de l’indemnisation accordée en fin de compte ne soit pas très élevé, la décision est importante en ce qu’elle souligne la nécessité pour les entreprises privées, mais aussi pour les institutions publiques, d’agir dans le cadre de garanties appropriées pour la protection des données à caractère personnel. La décision est également utile pour souligner l’attention que l’administration devrait porter à la législation sur la protection des données personnelles, la nécessité de protéger les droits des individus contre l’administration par le biais de mécanismes judiciaires efficaces et l’importance des décisions d’indemnisation des tribunaux à cet égard. Néanmoins, la décision est intéressante dans une certaine mesure. En ouvrant un compte Facebook et en utilisant l’option « Se connecter avec Facebook » sur n’importe quel site web, le demandeur est déjà exposé à des transferts de données basés sur les conditions générales de la plateforme Facebook. Par conséquent, le transfert de données à Meta Platforms, dont il affirme qu’il a causé un préjudice moral (et le risque que les forces de sécurité et de renseignement américaines aient accès à ses données si ses allégations reflètent la vérité) se produit déjà même s’il n’accède jamais à un site web de la Commission parce qu’il est un utilisateur de cette plateforme par son propre choix.
Le droit turc prévoit également l’indemnisation des dommages si les données personnelles ne sont pas protégées conformément à la loi n° 6698 sur la protection des données personnelles et à d’autres dispositions générales. En conséquence, étant donné la relation étroite entre la protection des données à caractère personnel et la protection des droits de la personne, il est possible de réclamer des dommages-intérêts non matériels lorsqu’il existe un lien de causalité. Toutefois, ces demandes ne sont pas courantes à l’heure actuelle, en particulier dans les procédures administratives, et ne trouvent pas d’écho auprès du public. Cela peut s’expliquer par la longue durée des procédures judiciaires et le faible montant des dommages-intérêts moraux qui peuvent être obtenus à la fin de la procédure.
İdil Aşkın, Associé
