Le 8 janvier 2025, le Tribunal de l’Union Européenne (TUE) a rendu une décision marquante dans l’affaire T-345/22 (Bindl / Commission), condamnant la Commission Européenne pour un transfert non autorisé de données personnelles vers les Etats-Unis. En cause : l’utilisation du module « Se connecter avec Facebook », qui a conduit à la transmission de l’adresse IP d’un citoyen européen à des entreprises américaines telles que Meta Platforms ou Amazon Web Services. Une décision qui souligne les risques liés aux outils d’authentification tiers et les obligations strictes du RGPD.
🟠 1 – Contexte de l’affaire
La Commission Européenne faisait usage du module d’authentification de Facebook pour accéder à certaines plateformes en ligne. Lorsqu’un utilisateur optait pour cette méthode de connexion, son adresse IP était automatiquement transmise. Ce transfert, effectué sans cadre juridique valide, a conduit un citoyen européen à saisir le Tribunal de l’Union Européenne, estimant que la Commission violait ainsi les principes fondamentaux du Règlement Général sur la Protection des Données (RGPD).
Le plaignant arguait notamment que la Commission, en tant qu’institution européenne, était tenue d’assurer un niveau de protection des données personnelles conforme au RGPD. Obligation qu’elle n’aurait pas respectée en utilisant un service américain non conformes aux exigences européennes en matière de transferts internationaux de données.
🟠 2 – Décision du TUE
Dans sa décision du 8 janvier 2025, le TUE a reconnu la responsabilité de la Commission Européenne en matière de protection des données personnelles. Il a estimé que l’institution avait failli à son obligation de s’assurer que l’utilisation d’outils tiers, comme le login via Facebook, respectait les exigences du RGPD.
Le Tribunal a notamment souligné que :
- L’adresse IP de l’utilisateur constitue une donnée à caractère personnel au sens de l’article 3, point 1 du RGPD ;
- La transmission de cette donnée à des entreprises américaines constitue un transfert vers un pays tiers (les États-Unis), soumis aux règles strictes du RGPD ;
- Aucune base légale valable ne justifiait ce transfert, en l’absence de garanties appropriées.
En conséquence, la Commission Européenne a été condamnée à indemniser le plaignant pour le préjudice subi et à revoir ses procédures pour assurer une meilleure conformité avec le RGPD.
🟠 3 – Un signal fort pour les institutions européennes et les entreprises
Cette décision met en évidence les risques liés à l’utilisation de modules d’authentification tiers, en particulier ceux fournis par des entreprises non européennes. Elle rappelle que toute entité, y compris les institutions de l’UE, doit veiller à la conformité de ses pratiques avec le RGPD.
Pour les entreprises et organisations opérant en Europe, ce jugement constitue un avertissement supplémentaire quant à l’importance de :
- Vérifier la légalité des outils tiers utilisés, notamment en matière d’authentification et de collecte de données ;
- Mettre en place des mesures techniques et organisationnelles garantissant la protection des données personnelles ;
- Éviter tout transfert de données vers des pays non adéquats sans garanties suffisantes.
🟠 4 – Vers une remise en question des connexions via les réseaux sociaux ?
L’affaire Bindl / Commission pourrait avoir des répercussions plus larges sur l’utilisation des solutions d’authentification sociale au sein de l’UE. Les entreprises et institutions qui s’appuient sur ces outils devront redoubler de vigilance pour éviter des sanctions similaires.
Cette décision s’inscrit dans un contexte plus large de renforcement du cadre européen de protection des données. Elle pourrait encourager une approche plus stricte quant à l’utilisation de services américains impliquant des données personnelles européennes.
🟠 Conclusion
La condamnation de la Commission Européenne par le TUE pour l’utilisation du login via Facebook illustre une nouvelle fois l’exigence de conformité au RGPD, même pour les institutions de l’UE.
Ce jugement pourrait redéfinir les pratiques en matière d’authentification en ligne et inciter les entreprises à privilégier des solutions respectant strictement les standards européens en matière de protection des données.
Pour en savoir plus / sources : |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.