Protection des données à caractère personnel et responsabilité des Institutions de l’UE : Enseignements clés de l’Arrêt T-354/22

La question des transferts de données à caractère personnel en dehors de l’Espace économique européen reste non seulement très actuelle, mais également très sensible. La décision rendue par le Tribunal de justice de l’Union européenne le 8 janvier 2025 l’illustre parfaitement. L’affaire examinée opposait un citoyen allemand à la Commission européenne. Cette affaire (T-354/22) questionne la licéité des transferts de données à caractère personnel vers des pays tiers réalisés par la Commission et rappelle l’obligation des institutions européennes de garantir un niveau de protection conforme aux standards du RGPD et du règlement 2018/1725.

L’affaire en bref. M. Bindl, après avoir accédé au site de la Conférence sur l’avenir de l’Europe, a constaté que des connexions avec des tiers, notamment Amazon Web Services (AWS) et Meta Platforms Inc. (Facebook), avaient été activées, soulevant des interrogations sur d’éventuels transferts de données hors de l’UE. En voulant s’inscrire à un événement sur ce site, il a utilisé l’option d’authentification via Facebook (EU Login), entraînant un transfert de son adresse IP et d’autres informations vers les serveurs de Meta, aux États-Unis. M. Bindl, citoyen allemand s’intéressant de près aux sujets d’informatique et de protection des données, a demandé des clarifications à la Commission, laquelle a tardé à lui répondre. L’affaire portait sur trois points : l’annulation des transferts de données, la reconnaissance d’une carence de la Commission et une demande d’indemnisation pour préjudice moral.
Les enseignements juridiques. Le Tribunal a rejeté les demandes d’annulation et de reconnaissance d’une carence, estimant que les transferts litigieux ne constituaient pas des actes attaquables au sens de l’article 263 TFUE. Toutefois, concernant la question de la responsabilité de la Commission, le Tribunal a retenu que le transfert de données personnelles vers les États-Unis constituait bien une violation de l’article 46 du RGPD, en l’absence de garanties suffisantes. Le Tribunal a ainsi condamné la Commission européenne à verser à M. Bindl la somme de 400 euros en réparation du préjudice subi.

Ce jugement repose sur trois éléments fondamentaux :

- La violation suffisamment caractérisée du droit de l’Union : La Commission a manqué à ses obligations en facilitant le transfert de données via l’hyperlien Facebook sans prévoir de garanties conformes aux exigences du RGPD.
- L’existence d’un préjudice moral : L’incertitude quant à la sécurité des données et l’absence de transparence de la Commission ont placé M. Bindl dans une situation d’insécurité juridique.
- Un lien de causalité direct : L’affichage de l’hyperlien Facebook sur EU Login a immédiatement entraîné la transmission des données, imputable à la Commission.

Impact et perspectives. Cet arrêt illustre la rigueur du contrôle juridictionnel en matière de protection des données et met en lumière les risques juridiques associés à l’utilisation de services tiers pour l’authentification des utilisateurs. Il souligne également la responsabilité des institutions européennes dans la mise en œuvre des dispositifs de connexion en ligne et la nécessité de prévoir des garanties conformes aux exigences du RGPD.

Cet arrêt constitue un précédent important, notamment pour les entités publiques utilisant des services américains impliquant des transferts de données hors UE. Il rappelle que la présence d’un simple hyperlien menant à un service externe peut suffire à engager la responsabilité d’une institution en cas de transfert de données non conforme. Cela démontre aussi que nos institutions ne sont en rien exemptées des règlements auxquels elles ont elles-mêmes donné naissance ; conformité et rigueur juridique sont de mise, y compris dans les hautes sphères de nos institutions démocratiques.

Transférer des données en dehors de l’Espace économique européen de façon conforme au RGPD reste à l’heure actuelle une gageure. L’on salue à cet égard l’initiative récente de la CNIL qui a publié un guide sur les analyses d’impact des transferts des données destiné à accompagner les organismes réalisant de tels transferts.

de Violette Hostens

Cookie	Type	Durée	Description
tk_ai	persistent	1 an	Ce cookie est défini par WooCommerce. Il stocke une identification anonyme générée de manière aléatoire. Celui-ci est uniquement utilisé dans la zone du tableau de bord (`/wp-admin`) et sert à suivre l'utilisation, s'il est activé. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_cart_[hash]	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
wp_woocommerce_session_	persistent	2 jours	Ce cookie est défini par WooCommerce. Il contient un code unique pour chaque client afin qu'il sache où trouver les données du panier dans la base de données pour chaque client. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/

Cookie	Type	Durée	Description
wordpress_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
workpress_logged_in_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour indiquer quand vous êtes connecté et qui vous êtes. Ce cookie est maintenu sur la page d'accueil du site web, ainsi que lors de la connexion. Plus d'informations : https://wordpress.org/support/article/cookies/
wp-settings-{time}-[UID]	persistent	1 an	Ce cookie est défini par Wordpress et est utilisé pour personnaliser l'affichage de votre interface d'administration et de la partie frontale du site web. La valeur représentée par [UID] est l'identifiant individuel de l'utilisateur tel qu'il lui est donné dans la table de la base de données des utilisateurs. Plus d'informations : https://wordpress.org/support/article/cookies/

Cookie	Type	Durée	Description
cookielawinfo-checkbox-[category]	persistent	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Non nécessaire".
CookieLawInfoConsent	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour se souvenir du choix de l’utilisateur sur les cookies sur le site pour éviter d’ouvrir le popup après acceptation.
PHPSESSID	session		Ce cookie définit la session unique de l'utilisateur sur le site.
pll_language	persistent	1 an	Ce cookie définit la langue de l'utilisateur.
viewed_cookie_policy	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Type	Durée	Description
__utma	persistent	2 ans	Utilisé pour distinguer les utilisateurs et les sessions. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utma n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmb	session	30 minutes	Utilisé pour déterminer les nouvelles sessions/visites. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utmb n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmc	session		Ce cookie fonctionne en complément du cookie __utmb pour déterminer si il y a une nouvelle visite du visiteur actuel. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmt	session	10 minutes	Utilisé pour réduire le taux de demande. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmv	persistent	2 ans	Utilisé pour stocker des données variables personnalisées au niveau du visiteur. Ce cookie est créé lorsqu'un développeur utilise la méthode _setCustomVar avec une variable personnalisée au niveau du visiteur. Ce cookie a également été utilisé pour la méthode _setVar, qui est obsolète. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmz	persistent	6 mois	Stocke la source de trafic ou la campagne qui explique comment l'utilisateur a atteint votre site. Le cookie est créé lorsque la bibliothèque javascript s'exécute et est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_fbp	persistent	3 mois	Utilisé par Facebook pour fournir une série de produits publicitaires tels que les enchères en temps réel d'annonceurs tiers.
1P_JAR	persistent	1 mois	Ce cookie fournit des informations sur la façon dont l'utilisateur final utilise le site web et sur toute publicité que l'utilisateur final a pu voir avant de visiter ce site. Il est ajouté par Google avec le tracking de Linkedin.
AnalyticsSyncHistory	persistent	30 jours	Utilisé pour stocker des données sur le moment où une synchronisation a été effectuée avec le cookie lms_analytics
ANID	persistent	9 mois	Il s’agit d’un cookie publicitaire de Google (qui peut être injecté dans le cadre de l’utilisation d’un service tel que Facebook Pixel, MailChimp ou Linkedin).
bcookie	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
bscookie	persistent	2 ans	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
c_user	persistent	3 mois	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
cli_user_preference	persistent	1 an	Stocke le statut de consentement des cookies de l'utilisateur.
CONSENT	persistent	± 18 ans	Ce cookie stocke des informations liées au consentement de l’utilisateur et stocke la langue de l’utilisateur.
datr	persistent	2 ans	Cookie d'analyse statistique publicitaire Facebook. Pour en savoir plus, veuillez consulter la politique d'utilisation des cookie de Facebook
DSID	persistent	2 semaines	Sert à identifier un utilisateur connecté à son compte Google sur des sites n'appartenant pas à Google et à mémoriser ses préférences de personnalisation des annonces.
fr	persistent	3 mois	Le cookie "fr" est utilisé pour délivrer, mesurer et améliorer la pertinence des publicités, et sa durée de vie est de 90 jours.
IDE	persistent	13 mois	Utilisé par Google afin de présenter des annonces Google Ads aux utilisateurs sur des sites n'appartenant pas à Google.
JSESSIONID	session		Ce cookie est placé par Linkedin pour définir une nouvelle session.
lang	session		Ce cookie stocke la langue du navigateur. Ce cookie est ajouté par Linkedin.
li_at	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués. Ce cookie permet de se protéger des attaques en XSS.
li_oatml	persistent	1 mois	Identifiant indirect du membre pour le suivi des conversations, le reciblage et l’utilisateur. Ce cookie est ajouté par Linkedin.
lidc	session	1 jour	Cookie de Linkedin utilisé pour le routage.
lissc	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
lms_ads	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn hors LinkedIn dans les pays désignés à des fins de publicité
lms_analytics	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn dans les pays désignés à des fins d’analyse
NID	persistent	6 mois	Ce cookie de Google permet de personnaliser les annonces publicitaires. Il stocke un identifiant unique permettant à Google d’enregistrer les préférences et d’autres informations comme la langue.
sb	persistent	2 ans	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
UserMatchHistory	persistent	30 jours	Ce cookie de Linkedin est utilisé pour suivre les visiteurs afin que les publicités les plus pertinentes puissent être présentées en fonction des préférences du visiteur.
xs	persistent	90 jours	Ce cookie de Facebook enregistre un certain nombre de données de session lorsqu’une personne est connectée à Facebook via son navigateur ou son appareil.