Le 8 janvier 2025, le Tribunal de l’Union Européenne (TUE) a rendu une décision marquante dans l’affaire T-345/22 (Bindl / Commission), condamnant la Commission Européenne pour un transfert non autorisé de données personnelles vers les Etats-Unis. En cause : l’utilisation du module « Se connecter avec Facebook », qui a conduit à la transmission de l’adresse IP d’un citoyen européen à des entreprises américaines telles que Meta Platforms ou Amazon Web Services. Une décision qui souligne les risques liés aux outils d’authentification tiers et les obligations strictes du RGPD.
🟠 1 – Contexte de l’affaire
La Commission Européenne faisait usage du module d’authentification de Facebook pour accéder à certaines plateformes en ligne. Lorsqu’un utilisateur optait pour cette méthode de connexion, son adresse IP était automatiquement transmise. Ce transfert, effectué sans cadre juridique valide, a conduit un citoyen européen à saisir le Tribunal de l’Union Européenne, estimant que la Commission violait ainsi les principes fondamentaux du Règlement Général sur la Protection des Données (RGPD).
Le plaignant arguait notamment que la Commission, en tant qu’institution européenne, était tenue d’assurer un niveau de protection des données personnelles conforme au RGPD. Obligation qu’elle n’aurait pas respectée en utilisant un service américain non conformes aux exigences européennes en matière de transferts internationaux de données.
🟠 2 – Décision du TUE
Dans sa décision du 8 janvier 2025, le TUE a reconnu la responsabilité de la Commission Européenne en matière de protection des données personnelles. Il a estimé que l’institution avait failli à son obligation de s’assurer que l’utilisation d’outils tiers, comme le login via Facebook, respectait les exigences du RGPD.
Le Tribunal a notamment souligné que :
- L’adresse IP de l’utilisateur constitue une donnée à caractère personnel au sens de l’article 3, point 1 du RGPD ;
- La transmission de cette donnée à des entreprises américaines constitue un transfert vers un pays tiers (les États-Unis), soumis aux règles strictes du RGPD ;
- Aucune base légale valable ne justifiait ce transfert, en l’absence de garanties appropriées.
En conséquence, la Commission Européenne a été condamnée à indemniser le plaignant pour le préjudice subi et à revoir ses procédures pour assurer une meilleure conformité avec le RGPD.
🟠 3 – Un signal fort pour les institutions européennes et les entreprises
Cette décision met en évidence les risques liés à l’utilisation de modules d’authentification tiers, en particulier ceux fournis par des entreprises non européennes. Elle rappelle que toute entité, y compris les institutions de l’UE, doit veiller à la conformité de ses pratiques avec le RGPD.
Pour les entreprises et organisations opérant en Europe, ce jugement constitue un avertissement supplémentaire quant à l’importance de :
- Vérifier la légalité des outils tiers utilisés, notamment en matière d’authentification et de collecte de données ;
- Mettre en place des mesures techniques et organisationnelles garantissant la protection des données personnelles ;
- Éviter tout transfert de données vers des pays non adéquats sans garanties suffisantes.
🟠 4 – Vers une remise en question des connexions via les réseaux sociaux ?
L’affaire Bindl / Commission pourrait avoir des répercussions plus larges sur l’utilisation des solutions d’authentification sociale au sein de l’UE. Les entreprises et institutions qui s’appuient sur ces outils devront redoubler de vigilance pour éviter des sanctions similaires.
Cette décision s’inscrit dans un contexte plus large de renforcement du cadre européen de protection des données. Elle pourrait encourager une approche plus stricte quant à l’utilisation de services américains impliquant des données personnelles européennes.
🟠 Conclusion
La condamnation de la Commission Européenne par le TUE pour l’utilisation du login via Facebook illustre une nouvelle fois l’exigence de conformité au RGPD, même pour les institutions de l’UE.
Ce jugement pourrait redéfinir les pratiques en matière d’authentification en ligne et inciter les entreprises à privilégier des solutions respectant strictement les standards européens en matière de protection des données.
Pour en savoir plus / sources : |
Dans un monde de plus en plus interconnecté, la cybercriminalité constitue un défi majeur pour les États. Attaques par ransomware, fraudes en ligne, exploitation sexuelle des mineurs : les crimes numériques se multiplient et nécessitent une réponse internationale. C’est dans ce contexte que l’ONU a adopté la première convention mondiale dédiée à la lutte contre la cybercriminalité. Ce texte vise à harmoniser les législations et à renforcer la coopération entre les pays, mais il soulève également des préoccupations en matière de protection des droits fondamentaux.
En janvier 2025, l'Union européenne a imposé des sanctions contre trois agents du renseignement russe pour leur implication dans des cyberattaques visant l’Estonie en 2020. Ces individus, membres de l’unité 29155 du GRU (Direction principale du renseignement des forces armées russes), sont accusés d’avoir orchestré des opérations de cyberespionnage contre plusieurs ministères estoniens, compromettant ainsi la sécurité nationale du pays.
En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.
Récemment, la plateforme Binance, l’un des leaders mondiaux de l’échange de cryptomonnaies, a été placée sous le feu des projecteurs par la justice française. Soupçonnée d’avoir facilité des opérations de blanchiment aggravé et de fraude fiscale, Binance est accusée de ne pas avoir respecté ses obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.