Le 8 janvier 2025, le Tribunal de l’Union Européenne (TUE) a rendu une décision marquante dans l’affaire T-345/22 (Bindl / Commission), condamnant la Commission Européenne pour un transfert non autorisé de données personnelles vers les Etats-Unis. En cause : l’utilisation du module « Se connecter avec Facebook », qui a conduit à la transmission de l’adresse IP d’un citoyen européen à des entreprises américaines telles que Meta Platforms ou Amazon Web Services. Une décision qui souligne les risques liés aux outils d’authentification tiers et les obligations strictes du RGPD.
🟠 1 – Contexte de l’affaire
La Commission Européenne faisait usage du module d’authentification de Facebook pour accéder à certaines plateformes en ligne. Lorsqu’un utilisateur optait pour cette méthode de connexion, son adresse IP était automatiquement transmise. Ce transfert, effectué sans cadre juridique valide, a conduit un citoyen européen à saisir le Tribunal de l’Union Européenne, estimant que la Commission violait ainsi les principes fondamentaux du Règlement Général sur la Protection des Données (RGPD).
Le plaignant arguait notamment que la Commission, en tant qu’institution européenne, était tenue d’assurer un niveau de protection des données personnelles conforme au RGPD. Obligation qu’elle n’aurait pas respectée en utilisant un service américain non conformes aux exigences européennes en matière de transferts internationaux de données.
🟠 2 – Décision du TUE
Dans sa décision du 8 janvier 2025, le TUE a reconnu la responsabilité de la Commission Européenne en matière de protection des données personnelles. Il a estimé que l’institution avait failli à son obligation de s’assurer que l’utilisation d’outils tiers, comme le login via Facebook, respectait les exigences du RGPD.
Le Tribunal a notamment souligné que :
- L’adresse IP de l’utilisateur constitue une donnée à caractère personnel au sens de l’article 3, point 1 du RGPD ;
- La transmission de cette donnée à des entreprises américaines constitue un transfert vers un pays tiers (les États-Unis), soumis aux règles strictes du RGPD ;
- Aucune base légale valable ne justifiait ce transfert, en l’absence de garanties appropriées.
En conséquence, la Commission Européenne a été condamnée à indemniser le plaignant pour le préjudice subi et à revoir ses procédures pour assurer une meilleure conformité avec le RGPD.
🟠 3 – Un signal fort pour les institutions européennes et les entreprises
Cette décision met en évidence les risques liés à l’utilisation de modules d’authentification tiers, en particulier ceux fournis par des entreprises non européennes. Elle rappelle que toute entité, y compris les institutions de l’UE, doit veiller à la conformité de ses pratiques avec le RGPD.
Pour les entreprises et organisations opérant en Europe, ce jugement constitue un avertissement supplémentaire quant à l’importance de :
- Vérifier la légalité des outils tiers utilisés, notamment en matière d’authentification et de collecte de données ;
- Mettre en place des mesures techniques et organisationnelles garantissant la protection des données personnelles ;
- Éviter tout transfert de données vers des pays non adéquats sans garanties suffisantes.
🟠 4 – Vers une remise en question des connexions via les réseaux sociaux ?
L’affaire Bindl / Commission pourrait avoir des répercussions plus larges sur l’utilisation des solutions d’authentification sociale au sein de l’UE. Les entreprises et institutions qui s’appuient sur ces outils devront redoubler de vigilance pour éviter des sanctions similaires.
Cette décision s’inscrit dans un contexte plus large de renforcement du cadre européen de protection des données. Elle pourrait encourager une approche plus stricte quant à l’utilisation de services américains impliquant des données personnelles européennes.
🟠 Conclusion
La condamnation de la Commission Européenne par le TUE pour l’utilisation du login via Facebook illustre une nouvelle fois l’exigence de conformité au RGPD, même pour les institutions de l’UE.
Ce jugement pourrait redéfinir les pratiques en matière d’authentification en ligne et inciter les entreprises à privilégier des solutions respectant strictement les standards européens en matière de protection des données.
Pour en savoir plus / sources : |
Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés. À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension. Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.