mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

L’arroseur arrosé : la Commission UE condamnée pour le module « login via Facebook »

Publié le par 122 vues

La Commission a été condamnée à payer des dommages et intérêts à un visiteur de son site Internet de la Conférence sur l’avenir de l’Europe en raison du transfert de données à caractère personnel aux États-Unis. Par le biais de l’hyperlien « se connecter avec Facebook », affiché sur la page Internet d’EU Login, la…

La Commission a été condamnée à payer des dommages et intérêts à un visiteur de son site Internet de la Conférence sur l’avenir de l’Europe en raison du transfert de données à caractère personnel aux États-Unis. Par le biais de l’hyperlien « se connecter avec Facebook », affiché sur la page Internet d’EU Login, la Commission a créé les conditions permettant que l’adresse IP de l’intéressé soit transmise à l’entreprise américaine Meta Platforms.

Les faits

Un citoyen, qui habite en Allemagne, reproche à la Commission d’avoir violé son droit à la protection de ses données à caractère personnel lors de ses consultations, en 2021 et 2022, du site Internet de la Conférence sur l’avenir de l’Europe, qui est géré par la Commission. Plus précisément, il s’était inscrit via ce site à l’événement « GoGreen », en utilisant le service d’authentification de la Commission EU Login et en choisissant l’option offerte de se connecter à l’aide de son compte Facebook.

L’intéressé estime que, lors de ses consultations de ce site Internet, des données à caractère personnel lui appartenant auraient été transférées vers des destinataires établis aux États-Unis, notamment, son adresse IP ainsi que des informations sur son navigateur et son terminal. Il estime que :

  • d’une part, ses données auraient été transférées à l’entreprise américaine Amazon Web Services, en sa qualité d’opérateur du réseau de diffusion de contenu dénommé Amazon CloudFront, qui serait utilisé par le site Internet en question ;
  • d’autre part, lors de son inscription à l’événement « GoGreen » à l’aide de son compte Facebook, ses données auraient été transférées à l’entreprise américaine Meta Platforms, Inc.

Il demande notamment le versement de 400 euros en réparation du préjudice moral qu’il aurait subi du fait des transferts litigieux.

Une décision nuancée

En ce qui concerne la demande d’indemnité fondée sur les transferts de données litigieux, le Tribunal :

  1. Rejette cette demande en ce qui concerne les transferts de données à travers Amazon CloudFront. Le Tribunal conclut que, lors de l’une des connexions litigieuses, le transfert des données a eu lieu non pas vers les États-Unis, mais, selon le principe de proximité, vers un serveur localisé à Munich (Allemagne). Selon le contrat conclu entre la Commission et le gérant d’Amazon CloudFront, l’entreprise luxembourgeoise Amazon Web Services, cette dernière devait garantir que les données restent au repos et en transit en Europe.
  2. Rejette cette demande en ce qui concerne une autre connexion pour laquelle c’est l’intéressé lui-même qui a provoqué son renvoi, par le mécanisme de routage d’Amazon CloudFront, vers des serveurs aux États-Unis. En effet, en raison d’un réglage technique, il était en apparence localisé aux États-Unis.
  3. Accepte cette demande en ce qui concerne l’inscription de l’intéressé à l’événement « GoGreen ». Le Tribunal estime que la Commission a créé, par le biais de l’hyperlien « se connecter avec Facebook » affiché sur la page Internet d’EU Login, les conditions permettant que l’adresse IP de l’intéressé soit transmise à Facebook. Cette adresse IP constitue une donnée à caractère personnel qui, par le biais dudit hyperlien, a été transmise à Meta Platforms, entreprise établie aux États-Unis. Ce transfert doit être imputé à la Commission. Or, au moment de ce transfert, à savoir le 30 mars 2022, il n’existait aucune décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel des citoyens de l’Union. De plus, la Commission n’a pas démontré, ni même allégué, l’existence d’une garantie appropriée, notamment, d’une clause type de protection de données ou d’une clause contractuelle. L’affichage de l’hyperlien « se connecter avec Facebook » sur le site Internet d’EU Login était tout simplement régi par les conditions générales de la plate-forme Facebook.

Le principe de proximité pris en compte

La décision est intéressante à plusieurs égards, à commencer par la prise en compte du principe de proximité de stockage qui vise à garantir que les données soient conservées aussi près que possible de leur origine géographique.  

Lorsqu’un utilisateur soumet des données, celles-ci sont acheminées vers des serveurs situés dans des centres de données optimisés pour leur proximité avec l’utilisateur. Cette architecture repose sur des réseaux de diffusion de contenu (CDN), qui non seulement gèrent le trafic pour des raisons de performance, mais aussi orientent le stockage selon des critères géographiques et juridiques. Par exemple :

  • Localisation des serveurs : Les fournisseurs comme AWS implantent des centres de données dans des régions stratégiques. En Europe, AWS dispose de centres dans des pays comme l’Allemagne, la France, et l’Irlande, permettant aux données européennes de rester dans des juridictions régulées par le RGPD.
  • Routage intelligent : Le routage des données est automatisé grâce à des algorithmes qui identifient le serveur le plus proche tout en respectant les restrictions géographiques. Cela garantit que les données ne traversent pas les frontières vers des pays tiers non conformes, sauf autorisation explicite.
  • Garanties contractuelles : Les entreprises s’engagent contractuellement à limiter la portée géographique des données, en précisant que celles-ci resteront « au repos et en transit » dans une zone spécifique.

Pour structurer leur infrastructure autour de ce principe, les entreprises comme AWS, Microsoft Azure, ou Google Cloud multiplient les initiatives :

  1. Investissements massifs dans les centres de données régionaux : Ces sociétés développent des infrastructures locales pour répondre aux exigences des juridictions, notamment en Europe. Ces centres sont conçus pour stocker et traiter les données localement, réduisant ainsi le besoin de transfert vers d’autres régions.
  2. Régions dédiées à la souveraineté numérique : Certaines grandes entreprises proposent désormais des régions ou zones de données spécifiques, comme la Région Cloud pour l’Europe d’Azure, qui garantit que les données européennes ne quittent pas le continent.
  3. Isolation des données sensibles : En complément, ces sociétés mettent en œuvre des politiques rigoureuses pour isoler les données sensibles, empêchant qu’elles soient accessibles depuis des régions non conformes ou par des entités non autorisées.

Le principe de proximité répond donc à deux besoins fondamentaux. D’une part, il garantit une meilleure performance technique en rapprochant les données des utilisateurs, ce qui accélère leur traitement. D’autre part, il assure une conformité juridique stricte, notamment en empêchant les données de sortir de régions où elles bénéficient de niveaux de protection adéquats, comme l’Union européenne avec le RGPD.

En acceptant de prendre en compte les conséquences du principe de proximité, après avoir vérifié qu’il était bien mis en œuvre en l’espèce dans le contrat conclu entre la Commission et son fournisseur, la décision envoie un signal fort.

Le login via Facebook

Il existe plusieurs procédures dans l’union européenne consacrée à la question des modules d’identification et d’authentification via des réseaux sociaux.

Dans la foulée des arrêts précédents de la Cour, le Tribunal considère que l’utilisation de ce module engendre une communication d’informations à destination de Facebook aux Etats-Unis. Dans la mesure où cette communication a eu lieu avant l’adoption de la nouvelle décision de la commission concernant l’adéquation du droit américain, et qu’il n’y avait pas d’autre garantie appropriée ou mécanisme mis en place, ce transfert est considéré comme contraire à la réglementation applicable.

Plus d’infos ?

En lisant le la décision, disponible ci-dessous.

Droit & Technologies

Annexes

Arret du tribunal

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags #####

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1333 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK