Tel est pris qui croyait prendre. Alors que la Commission européenne s'évertue à chasser les mauvais élèves en matière de non-respect du règlement général sur la protection des données personnelles (RGPD), elle n'est cependant pas infaillible. Dans un jugement, la Cour de justice de l'Union européenne a en effet infligé une amende à l'institution pour avoir transféré aux Etats-Unis des données personnelles d'un citoyen allemand qui s'était inscrit en 2021 et 2022 à l'événement Go Green sur le site web de la conférence sur le futur de l'Europe. Les informations en question incluent aussi bien l'adresse IP que des données de navigateur et du terminal utilisé pour accéder à ce site web.

"Selon lui, les données ont été transférées à l'entreprise américaine Amazon Web Services, en sa qualité d'opérateur de CDN via CloudFront, utilisé par le site web en question. En outre, lorsqu'il s'est inscrit à l'événement GoGreen en utilisant son compte Facebook, ses données à caractère personnel ont été transférées à l'entreprise américaine Meta Platforms", explique la Cour de justice de l'Union européenne. "Or, selon l'intéressé, les Etats-Unis ne disposent pas d'un niveau de protection adéquat. Il soutient que ces transferts ont donné lieu à un risque d'accès à ses données par les services de sécurité et de renseignement américains. La Commission n'a indiqué aucune des garanties appropriées qui pourraient justifier ces transferts."

La transmission à Meta de l'adresse IP sanctionnée

Sur la base de ces éléments, le citoyen allemand a demandé le paiement de 400€ pour le préjudice moral subi et l'annulation des transferts de ses données personnelles, ainsi que 800€ (aussi pour préjudice moral) pour violation de son droit d'accès à l'information par la Commission qui s'est abstenue de prendre position sur cette demande. Dans son jugement, la Cour de justice a toutefois rejeté la demande de dommages et intérêts fondée sur la violation du droit d'accès à l'information, estimant qu'il n'y a pas de préjudice moral tel qu'allégué. En ce qui concerne la demande de dommages et intérêts fondée sur les transferts de données litigieux, le Tribunal a aussi rejeté la demande concernant les transferts de données via Amazon CloudFront.

En revanche concernant l'inscription de cette personne à l'événement GoGreen, le Tribunal a constaté qu'au moyen de l'hyperlien Sign in with Facebook figurant sur la page web EU Login, la Commission a créé les conditions de la transmission de son adresse IP à Facebook. Et cette dernière constitue une donnée à caractère personnel qui, au moyen de cet hyperlien, a été transmise à Meta Platforms, une entreprise établie aux États-Unis et donc que ce transfert doit être imputé à la Commission. "Les conditions d'engagement de la responsabilité extracontractuelle de l'Union européenne étant réunies, le Tribunal condamne la Commission à verser à l'intéressé la somme de 400 euros réclamée", indique la Cour. A l'heure de l'écriture de cet article, la Commission européenne n'avait pas réagi à ce verdict.