RGPD : la Commission européenne condamnée pour l'utilisation de Facebook Connect

La Commission européenne, pas exemplaire en matière de conformité au RGPD ? Le Tribunal de l'UE vient tout cas de la condamner à indemniser un internaute.

Ce dernier, un citoyen allemand, avait consulté à plusieurs reprises, en 2021 et 2022, un site que gérait la Commission. En l'occurrence, celui de la Conférence sur l'avenir de l'Europe (futureu.europa.eu).

Le 9 novembre 2021, l'intéressé avait sollicité des informations auprès de l'institution. Il expliquait avoir noté, lors de sa visite du site, l'activation d'une connexion avec des fournisseurs tiers situés aux États-Unis, dont AWS. Il souhaitait savoir quelles données le concernant avaient été traitées, stockées et éventuellement transmises à des tiers.

Le 3 décembre 2021, la Commission européenne lui avait envoyé un lien permettant de générer une liste des données personnelles traitées. Elle avait ajouté qu'aucun destinataire n'était situé hors de l'UE. Notamment du fait que le contrat conclu avec AWS EMEA (utilisation du CDN CloudFront) n'autorisait pas, en principe, les transferts hors de ce territoire.

Le 1^er avril 2022, l'internaute avait effectué une nouvelle demande. En des termes similaires, mais en ajoutant qu'il avait relevé une connexion avec Microsoft dans le cadre de l'utilisation du bouton "Se connecter avec Facebook" pour s'inscrire à un événement.

Sa demande étant restée sans réponse malgré deux relances, l'intéressé avait déposé une requête auprès du Tribunal de l'UE le 9 juin 2022.

La Commission européenne, réglo avec Amazon CloudFront...

La requête portait sur des transferts litigieux survenus cette même année, le 30 mars et le 8 juin.

Dans le premier cas, le demandeur pointait le transfert de données vers un serveur Amazon situé à Seattle. Il n'a pas obtenu gain de cause : le Tribunal a constaté que le serveur était en réalité localisé à Munich. Il appartenait à l'entreprise 100 ROW GmbH, qui le mettait à disposition dans le cadre de l'offre CloudFront. Une situation conforme à la section 11.2 du contrat signé entre la Commission européenne et AWS EMEA : ce dernier doit être en mesure de garantir que les données restent, au repos et en transit, sur le territoire de l'Espace économique européen (UE + Islande, Liechstenstein et Norvège). Partant, il n'est pas établi que les autorités américaines aient eu accès aux données transmises dans ce cadre, conclut le Tribunal.

Pour ce qui est de la connexion du 8 juin, elle a effectivement impliqué un transfert hors UE (serveurs Amazon aux États-Unis et au Royaume-Uni). Mais il a été déterminé que cela résultait d'un réglage technique du côté de l'internaute, de sorte qu'il semblait localisé dans ces pays. Les 17 autres adresses IP qui se sont connectés au site ce jour-là ont d'ailleurs toutes été dirigées vers des serveurs situés dans l'EEE.

... mais pas avec Facebook Connect

L'infraction au RGPD est intervenue le 30 mars 2022. L'internaute avait utilisé le site pour s'inscrire à l'événement "GoGreen". Pour cela, il avait recouru au service d'authentification de la Commission (EU Login), en choisissant l'option "Se connecter avec Facebook".

Au clic sur le bouton, le navigateur a accédé à une URL sur le site web de Facebook et lui a donc communiqué l'IP de l'internaute. Celui-ci, a ensuite accepté uniquement les cookies essentiels, s'est connecté à son compte puis a autorisé Facebook à communiquer à EU Login ses noms et prénom, photo de profil et adresse électronique.

L'adresse IP en question est une donnée à caractère personnel. Or, à la date de son transfert à Meta, il n'existait pas de décision d'adéquation entre l'UE et les USA (le Data Privacy Framework était en cours d'élaboration). Il appartenait donc à la Commission européenne de s'appuyer sur un mécanisme alternatif pour de justifier de l'existence de garanties appropriées. Ce qu'elle n'a pas démontré, ni même allégué. L'affichage du lien était en fait tout simplement régi par les conditions générales de la plate-forme Facebook.

Dans ce contexte, le bouton Facebook Connect a "créé les conditions pour que l'adresse IP du requérant soit transmise à [Meta]. Il en résulte un préjudice moral pour la personne concernée, "en situation d'insécurité quant au traitement de ses données personnelles".

L'internaute obtient donc les 400 € de dommages-intérêts qu'il avait demandés au titre de ce chef de conclusions. Il n'a, en revanche, pas obtenu l'annulation des transferts litigieux. Parce que dans les grandes lignes, ils constituent des actes matériels et non des actes juridiques. Ils ne sont donc pas susceptibles de modifier de façon caractérisée la situation juridique du requérant.

Illustration générée par IA