Affaire Bindl : la Commission condamnée pour transferts de données vers les États-Unis

M. Bindl, citoyen allemand engagé dans la défense des droits numériques, s’est inscrit à un événement sur le site de la Conférence sur l’avenir de l’Europe (CAE), géré par la Commission. Dans ce contexte, il reprochait à l’exécutif européen de ne pas avoir répondu à ses demandes d’accès et d’avoir autorisé le transfert de ses données vers les États-Unis via EU Login et Facebook, sans garanties suffisantes. Certaines auraient aussi été transmises à Amazon, hébergeur du site.

Estimant ces traitements contraires aux règles européennes, M. Bindl a saisi le TUE pour dénoncer l'absence de réponse de la Commission, contester les transferts et obtenir réparation de son préjudice moral. Le litige portait essentiellement sur son recours en indemnité. L’arrêt rendu le 8 janvier 2025 permet au TUE de clarifier les conditions de responsabilité extracontractuelle de l’Union et l’évaluation du préjudice moral en matière de protection des données.

Au titre de ses demandes en réparation M. Bindl sollicitait une indemnisation de 1 200 euros au titre du préjudice moral allégué :

• 800 euros pour la violation de son droit d’accès aux informations ;
• 400 euros pour les transferts non conformes de ses données vers les États-Unis.

Le TUE condamne la Commission pour préjudice moral lié à un transfert de données personnelles vers les États-Unis sans garanties suffisantes, s’agissant d’une des situations reprochées par le requérant, concernant Facebook.

Avant d’analyser les différentes situations, le TUE rappelle les conditions d’engagement de la responsabilité extracontractuelle :

• L’existence d’un comportement illégal imputable à l’institution européenne, matérialisé par une violation caractérisée ;
• Un préjudice réel et certain ;
• Un lien de causalité direct entre l’illégalité constatée et le préjudice subi.

Conformément à une jurisprudence constante s’agissant des conditions d’engagement de la responsabilité extracontractuelle, "dès lors que l’une d’entre elles n’est pas remplie, le recours en indemnité doit être rejeté dans son ensemble sans qu’il soit nécessaire d’examiner les autres conditions" (CJUE, 9 sept. 1999, aff. C-257/98 P, Lucaccioni/Commission, points 14 et 63 ; CJUE, 25 févr. 2021, aff. C-615/19 P, Dalli/Commission, point 42).

Cela étant, l’analyse menée par le TUE le conduit à rejeter les premières demandes d’indemnisation, concernant les violations du droit d’accès.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Le TUE commence par examiner la demande de M. Bindl fondée sur une prétendue violation de son droit d’accès aux informations. Le requérant reprochait à la Commission de ne pas avoir répondu dans le délai imparti à sa demande d’informations du 1er avril 2022, en méconnaissance de l’article 14, § 4, du règlement (UE) 2018/1725.

La question d’une violation caractérisée était pertinente, mais le Tribunal ne l’examine pas et se focalise sur l'absence de preuve d’un préjudice moral. Il rappelle, conformément à la jurisprudence (CJUE, 16 juill. 2009, aff. C-481/07 P, SELEX Sistemi Integrati c/ Commission), qu’il appartient au demandeur de prouver que la faute alléguée lui a causé un dommage réel.

En l’espèce, bien que la Commission ait tardé à répondre, le retard n’avait pas dépassé deux mois. De plus, les demandes de M. Bindl en novembre 2021 et avril 2022 portaient sur des éléments similaires, et il avait déjà obtenu une réponse partielle après la première. Dans ces conditions, le non-respect du délai ne constitue pas un préjudice moral réel et certain (point 80).

En conséquence, le Tribunal rejette la demande d’indemnisation pour violation du droit d’accès aux informations, faute de démonstration d’un dommage avéré, sans examiner la question d’une éventuelle violation caractérisée.

Les demandes d’indemnisation relatives aux manquements en matière de transferts font l’objet d’une analyse détaillée, mais une seule des trois situations est retenue pour engager la responsabilité de la Commission.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Dans cette affaire, le TUE a examiné trois situations distinctes impliquant des allégations de transferts illégaux de données à caractère personnel :

la consultation du site de la Conférence sur l’Avenir de l’Europe (CAE) du 30 mars 2022 : le requérant alléguait que des données personnelles avaient été transférées vers un serveur situé aux États-Unis via le service de diffusion de contenu Amazon CloudFront. Le Tribunal a toutefois constaté que les données avaient, en réalité, été transférées vers un serveur situé en Allemagne.

la consultation du site de la CAE le 8 juin 2022 : lors de cette interaction, un transfert vers les États-Unis a effectivement eu lieu. Toutefois, le Tribunal a jugé qu’il était directement lié à l’utilisation par le requérant d’un VPN qui a modifié artificiellement sa localisation géographique, rendant la Commission non responsable de ce transfert.

la connexion via Facebook lors de l’inscription à EU Login le 30 mars 2022 : le transfert des données de M. Bindl vers des serveurs aux États-Unis a été jugé illégal. La Commission avait autorisé l’authentification via Facebook sans assurer les garanties requises, violant ainsi le règlement.

Cet arrêt rappelle plusieurs principes essentiels en matière de transferts de données personnelles sur lesquels il convient de revenir.

Le risque d’accès aux données par un pays tiers ne constitue pas un transfert effectif

Le premier enseignement découle de l’analyse du transfert présumé lors de la consultation du site de la CAE le 30 mars 2022. Bien que les données personnelles du requérant aient transité par Amazon CloudFront, elles ont été envoyées à un serveur situé en Allemagne, et non aux États-Unis.

Le Tribunal rappelle qu’un risque d’accès par des autorités étrangères ne constitue pas un transfert au sens du règlement (UE) 2018/1725, qui exige une mise à disposition effective des données hors de l’EEE. S’appuyant sur la jurisprudence de la CJUE, il rappelle qu’un transfert suppose un accès réel et non hypothétique. Faute de preuve d’un accès effectif par des autorités américaines, le TUE exclut tout transfert international.

Un requérant ne peut invoquer un préjudice résultant de ses propres agissements

Le deuxième enseignement découle du transfert constaté lors de la consultation du site de la CAE le 8 juin 2022. Le Tribunal a reconnu qu’un transfert vers des serveurs situés aux États-Unis avait bien eu lieu. Toutefois, cette situation résultait directement du comportement du requérant, qui avait utilisé un VPN pour modifier sa localisation apparente.

Il est vrai que le TUE a pu constater que « les connexions de l’adresse IP du requérant à des serveurs localisés aux États-Unis alors qu’il se trouvait en Allemagne ne sauraient résulter du fonctionnement normal du service Amazon CloudFront mais plutôt d’un réglage technique effectué par le requérant afin de modifier sa localisation apparente, […] comme s’il se trouvait dans la même journée successivement à des endroits proches de Munich, de Londres, de Hillsboro, de Newark et de Francfort-sur-le-Main »

Le TUE rappelle qu’un individu ne peut être indemnisé pour un préjudice qu’il a lui-même causé. Ce principe, issu de la jurisprudence de la CJUE (CJUE, 28 juin 2007, aff. C-331/05 P, Internationaler Hilfsfonds c/ Commission), impose un lien de causalité direct entre l’acte fautif et le dommage. Le Tribunal souligne que le préjudice invoqué résultait des choix de M. Bindl, excluant ainsi toute responsabilité de la Commission, conformément à l’arrêt « Vakakis kai Synergates c/ Commission » (TUE, 28 févr. 2018, aff. T-292/15, Vakakis kai Synergates c/ Commission).

Un transfert de données sans garanties appropriées constitue une violation caractérisée

S’agissant enfin de la connexion via Facebook à EU Login le 30 mars 2022, le TUE considère qu’en choisissant de s’authentifier avec son compte Facebook, M. Bindl a déclenché un transfert de ses données personnelles — notamment son adresse IP et son identité numérique — vers des serveurs situés aux États-Unis.

Le Tribunal a estimé que la Commission avait manqué à ses obligations en autorisant ce transfert sans appliquer les garanties exigées par le règlement (UE) 2018/1725. Il rappelle qu'à la suite de l’invalidation du Privacy Shield par l’arrêt « Schrems II » (CJUE, grande ch., 16 juill. 2020, aff. C-311/18, Schrems II), toute institution européenne effectuant des transferts de données vers les États-Unis doit mettre en place des garanties adéquates.

En l’occurrence, la Commission n’a ni démontré ni mis en œuvre de telles garanties. Elle s’est contentée de se référer aux conditions générales de Facebook, sans conclure de clauses contractuelles types ni adopter les mesures complémentaires. Cette omission constitue pour le TUE une violation suffisamment caractérisée des obligations imposées par le règlement (points 166-193). Le Tribunal se réfère également à la jurisprudence « Österreichische Post » (CJUE, 4 mai 2023, aff. C-300/21, Österreichische Post) qui reconnaît qu’un transfert illégal de données personnelles peut entraîner un préjudice moral, même sans preuve d'une atteinte concrète aux droits de la personne concernée.

En conséquence, la Commission a été condamnée à verser à M. Bindl une indemnité de 400 euros en réparation du préjudice moral lié à la perte de contrôle sur ses données personnelles.

Le TUE reconnaît que la simple violation des règles de protection des données personnelles peut entraîner un préjudice moral, sans qu’il soit nécessaire de démontrer un seuil de gravité minimal (CJUE 4 mai 2023, aff. C-300/21, Österreichische Post).

Dans cette affaire, il est considéré que le transfert illicite des données de M. Bindl vers les États-Unis, via la connexion Facebook à EU Login, a entraîné une perte de contrôle sur ses données personnelles, exposées à un système juridique étranger sans les garanties requises.

Remarque : si le préjudice moral est reconnu, l’indemnisation de 400 euros paraît peu justifiée et peut sembler faible. Aussi, une clarification des critères d’évaluation du préjudice et d’indemnisation serait utile pour renforcer la protection effective des droits des personnes concernées et garantir une cohérence dans la jurisprudence européenne.