Affaire T-354/22

Thomas Bindl

contre

Commission européenne

Arrêt (sixième chambre élargie) du 8 janvier 2025

« Traitement des données à caractère personnel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union – Règlement (UE) 2018/1725 – Notion de “transfert de données à caractère personnel vers un pays tiers” – Transfert de données à l’occasion de la consultation d’un site Internet – EU Login – Recours en annulation – Acte non susceptible de recours – Irrecevabilité – Recours en carence – Prise de position mettant fin à la carence – Non-lieu à statuer – Recours en indemnité – Violation suffisamment caractérisée d’une règle de droit conférant des droits aux particuliers – Lien de causalité – Préjudice moral »

1. Recours en annulation – Actes susceptibles de recours – Notion – Actes produisant des effets juridiques obligatoires – Opérations pouvant conduire à un transfert des données à caractère personnel vers un pays tiers – Exclusion

   (Art. 263 TFUE ; règlement du Parlement européen et du Conseil 2018/1725, considérant 79 et art. 2, § 5, 3, point 3, et 64, § 1)

   (voir points 22-25, 30-34)

2. Recours en indemnité – Autonomie par rapport aux recours en annulation et en carence – Irrecevabilité du recours en annulation et non-lieu à statuer sur le recours en carence – Demande indemnitaire ne visant pas à obtenir un résultat identique à celui du recours en annulation – Recevabilité

   (Art. 263, 265 et 340, 2e al., TFUE)

   (voir points 35, 43, 56, 57)

3. Responsabilité non contractuelle – Conditions – Préjudice réel et certain causé par un acte illégal – Préjudice moral causé par le non-respect du délai prévu pour informer le demandeur des motifs de l’inaction du responsable de traitement – Exclusion

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2018/1725, art. 14, § 4, et 65)

   (voir points 77-80, 83-85)

4. Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2018/1725 – Transfert de données à caractère personnel vers des pays tiers – Notion – Transfert de ces données à un destinataire établi dans l’Union à l’occasion de la consultation d’un site Internet – Exclusion

   (Règlement du Parlement européen et du Conseil 2018/1725, considérant 63 et art. 3, point 1, et 46)

   (voir points 92-98, 100-105, 125, 126, 129-131)

5. Responsabilité non contractuelle – Conditions – Illégalité – Violation suffisamment caractérisée du droit de l’Union – Risque d’accès à des données à caractère personnel par un pays tiers – Exclusion – Droits au respect de la vie privée, à la protection des données personnelles et à une protection juridictionnelle effective – Absence de violation

   [Art. 340, 2e al., TFUE ; charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 47 ; règlement du Parlement européen et du Conseil 2018/1725, art. 46 et 48, § 1 et 2, b)]

   (voir points 133-137, 139, 140)

6. Responsabilité non contractuelle – Conditions – Lien de causalité – Préjudice moral résultant d’une perte de contrôle sur des données à caractère personnel – Transfert de ces données vers un pays tiers à l’occasion de la consultation d’un site Internet d’une institution – Transfert imputable au comportement de la personne concernée – Absence de lien de causalité entre le préjudice et le comportement de l’institution

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2018/1725, art. 65)

   (voir points 146-149, 156-164)

7. Responsabilité non contractuelle – Conditions – Illégalité – Violation suffisamment caractérisée du droit de l’Union – Transfert des données à caractère personnel vers un pays tiers – Transmission de ces données par une institution au moyen d’un hyperlien permettant de se connecter avec Facebook sur une page du site Internet – Absence de décision d’adéquation de l’institution ou des garanties appropriées concernant ce pays – Inclusion

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2018/1725, art. 46, 47 et 48, § 1 et 2)

   (voir points 186-193)

8. Responsabilité non contractuelle – Préjudice – Préjudice indemnisable – Transfert des données à caractère personnel vers un pays tiers – Transmission de ces données par une institution au moyen d’un hyperlien permettant de se connecter avec Facebook à la page Internet du service d’authentification de cette institution – Préjudice moral causé au requérant par l’insécurité quant au traitement de ses données à caractère personnel – Inclusion

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2018/1725, art. 46 et 65)

   (voir points 196-200)

Résumé

Statuant en formation élargie, le Tribunal a partiellement accueilli les demandes en indemnité formulées par M. Bindl, le requérant. À cet égard, le Tribunal se prononce, de façon inédite, sur l’interprétation des dispositions du règlement 2018/1725 ( 1 ) et tire, pour la première fois, les conséquences de la jurisprudence dite « Schrems II » ( 2 ) dans le cadre de l’application de ce règlement ainsi que du « principe » d’interprétation homogène des dispositions analogues des règlements 2016/679 ( 3 ) et 2018/1725.

Le requérant a consulté le site Internet de la Conférence sur l’avenir de l’Europe (ci-après la « CAE »), le 30 mars, et s’est inscrit à l’événement « GoGreen » qui y figurait, à l’aide de son compte Facebook. Le 8 juin 2022, il a de nouveau consulté ce site Internet. La Commission européenne est responsable du traitement des données à caractère personnel aux fins de ce site Internet.

Par deux demandes d’informations du 9 novembre 2021 et du 1er avril 2022, réitérées les 22 avril et 2 mai 2022, le requérant a demandé à la Commission de lui fournir des informations sur le traitement de ses données ainsi que sur leur transfert potentiel vers des pays tiers. Il a indiqué notamment avoir remarqué que, lorsqu’il s’est connecté sur le site Internet de la CAE, une connexion avec des fournisseurs tiers tels que l’entreprise américaine Amazon Web Services s’était activée.

Par courriel du 3 décembre 2021, la Commission lui a transmis une liste de ses données à caractère personnel traitées et lui a indiqué que ses données n’ont pas été transférées à des destinataires situés en dehors de l’Union européenne et que le site Internet de la CAE utilisait un réseau de diffusion de contenu géré par Amazon Web Services EMEA SARL (ci-après « AWS EMEA »), établie à Luxembourg (Luxembourg).

Le 9 juin 2022, le requérant a introduit le présent recours.

Appréciation du Tribunal

Dans un premier temps, le Tribunal se prononce sur la recevabilité des conclusions visant à l’annulation des transferts des données à caractère personnel vers des pays tiers, qui auraient eu lieu le 30 mars et le 8 juin 2022 (ci-après les « transferts litigieux »).

À cet égard, le Tribunal souligne que toutes les opérations pouvant conduire à un transfert de données à caractère personnel, au sens du règlement 2018/1725, ne constituent pas des actes attaquables, au sens de l’article 263 TFUE.

En l’espèce, à supposer que les transferts litigieux soient démontrés, le Tribunal constate qu’ils constituent des actes matériels et non des actes juridiques. En effet, ces transferts sont des opérations informatiques de migration de données d’un terminal ou d’un serveur vers un autre, qui résultent des interactions entre le requérant et des systèmes ou des services informatiques de la Commission.

Partant, dans la mesure où les transferts litigieux ne sont pas des actes de la Commission produisant des effets contraignants, ils ne sont pas susceptibles de produire des effets juridiques obligatoires de nature à affecter les intérêts du requérant et ne sauraient donc être considérés comme des actes attaquables au sens de l’article 263 TFUE.

Dans un second temps, le Tribunal statue sur le bien-fondé des quatre demandes en indemnité formulées par le requérant.

S’agissant, tout d’abord, de la première demande tendant à la réparation du préjudice moral résultant d’une violation du droit d’accès aux informations, le Tribunal estime qu’un tel préjudice moral n’est pas démontré en l’espèce.

En effet, la seule illégalité établie en l’espèce est celle du non-respect, par la Commission, du délai d’un mois prévu par le règlement 2018/1725 ( 4 ) en ce qui concerne la demande d’informations du 1er avril 2022. Or, dans la mesure où, d’une part, ce délai n’a pas été dépassé de plus de deux mois et, d’autre part, le requérant a reçu du moins une réponse partielle à sa demande d’informations le 3 décembre 2021, cette illégalité ne semble pas de nature à causer au requérant le préjudice moral allégué, consistant en un empêchement de contrôler le traitement de ses données à caractère personnel.

Par conséquent, le Tribunal rejette la première demande en indemnité du requérant.

S’agissant, ensuite, de la deuxième demande tendant à la réparation du préjudice moral résultant du transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022, le Tribunal note que lors de cette consultation il y a eu un transfert des données à caractère personnel, au sens du règlement 2018/1725, du requérant, notamment de son adresse IP. Cependant, il fait également observer qu’il n’est pas démontré en l’espèce qu’il y a eu, lors de cette même consultation du site Internet de la CAE, un transfert de données à caractère personnel du requérant vers un pays tiers ( 5 ) et, en particulier, vers les États-Unis.

En outre, le seul risque d’accès à des données à caractère personnel par un pays tiers, dans l’hypothèse où AWS EMEA, en raison de sa qualité de filiale d’une entreprise américaine, ne serait pas en mesure de s’opposer à une demande des autorités américaines portant sur l’accès à des données stockées dans des serveurs localisés sur le territoire de l’Espace économique européen (EEE), ne saurait correspondre à un transfert de données, au sens du règlement 2018/1725. Autrement dit, le risque d’une violation du règlement 2018/1725 ne saurait être assimilé à une violation directe de ce règlement. À cet égard, le seul risque d’une violation des dispositions du règlement 2018/1725 relatives aux transferts vers des pays tiers ne saurait, en tout état de cause, suffire à établir un comportement fautif de la Commission, correspondant à une violation suffisamment caractérisée de ces dispositions.

En ce qui concerne, par ailleurs, la troisième demande tendant à la réparation du préjudice moral résultant du transfert litigieux lors de ses consultations du site Internet de la CAE du 8 juin 2022, le Tribunal examine, en l’espèce, si l’utilisation par la Commission du service Amazon CloudFront comme réseau de diffusion de contenu du site Internet de la CAE est la cause directe du préjudice moral invoqué, consistant en une perte du contrôle sur les données à caractère personnel du requérant.

Le Tribunal constate que, certes, c’est le fonctionnement du service Amazon CloudFront, avec son mécanisme de routage qui fonctionne selon le principe de proximité et qui couvre une zone géographique plus large que le territoire de l’EEE, comprenant notamment les États-Unis, qui a permis que, lors des consultations du site Internet de la CAE, l’adresse IP du requérant ait établi des connexions à des serveurs d’Amazon CloudFront localisés aux États-Unis.

Toutefois, bien que l’utilisation, par la Commission, du service Amazon CloudFront soit une condition nécessaire de la survenance des transferts de données à caractère personnel vers les États-Unis, cette circonstance ne suffit pas à établir un lien de causalité suffisamment direct entre le dommage moral invoqué par le requérant et le comportement prétendument illégal de la Commission. En effet, c’est le comportement du requérant qui doit être regardé comme constituant la cause directe et immédiate du préjudice moral allégué et non la faute qu’aurait prétendument commise la Commission en utilisant le service Amazon CloudFront. Ainsi, c’est le requérant qui, en se trouvant en Allemagne et en effectuant des réglages techniques afin de modifier sa localisation apparente, a mis en place les conditions nécessaires pour provoquer des connexions à des serveurs situés aux États-Unis par le biais du fonctionnement du service Amazon CloudFront, en causant le renvoi par le mécanisme de routage de ce service de ses demandes de consultation du site Internet de la CAE vers des serveurs localisés aux États-Unis.

Par ailleurs, le requérant n’est pas fondé à adopter un comportement visant à provoquer un certain résultat (à savoir le transfert de ses données à caractère personnel vers un pays tiers) et, par la suite, à demander la réparation du préjudice prétendument causé par ce résultat, dont son comportement a été la cause directe. Ainsi, le Tribunal considère que la situation du requérant ne saurait être appréciée de façon similaire à celle d’un utilisateur qui se serait effectivement déplacé aux États-Unis et qui, en conséquence, aurait accédé au site Internet de la CAE à partir de ce pays.

S’agissant, enfin, de la quatrième demande tendant à la réparation du préjudice moral résultant du transfert litigieux lors de la connexion à EU Login du 30 mars 2022, le Tribunal indique que, en l’occurrence, il est démontré que, premièrement, parmi les options de connexion à EU Login, le requérant a choisi de se connecter avec son compte Facebook. Deuxièmement, l’hyperlien « se connecter avec Facebook » contient un lien vers une adresse URL du site Internet de Facebook. Troisièmement, lorsque le requérant a activé cet hyperlien en cliquant dessus, son navigateur a accédé à l’adresse URL du site Internet de Facebook et a, par la suite, transmis son adresse IP à Facebook.

Le Tribunal en déduit que, par le biais de l’hyperlien « se connecter avec Facebook », affiché sur la page Internet d’EU Login, la Commission a créé les conditions permettant que l’adresse IP du requérant soit transmise à Facebook. Or, cette adresse IP constitue une donnée à caractère personnel du requérant qui, par le biais de cet hyperlien, a été transmise à Meta Platforms, entreprise établie aux États-Unis. Cette transmission correspond donc à un transfert de données à caractère personnel vers un pays tiers, au sens du règlement 2018/1725.

En outre, au moment de ce transfert de données, à savoir le 30 mars 2022, aucune décision d’adéquation de la Commission, au sens du règlement 2018/1725 ( 6 ), n’existait en ce qui concerne les États-Unis. En l’absence d’une telle décision, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut se faire que si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives, conformément au règlement 2018/1725 ( 7 ).

En l’espèce, la Commission n’a pas démontré, ni même allégué, l’existence d’une garantie appropriée, notamment d’une clause type de protection de données ou d’une clause contractuelle. En revanche, il est démontré que l’affichage de l’hyperlien « se connecter avec Facebook » sur le site Internet d’EU Login est tout simplement régi par les conditions générales de la plateforme Facebook.

Par conséquent, la Commission a créé les conditions pour qu’un transfert de données à caractère personnel du requérant vers un pays tiers se soit produit, sans pour autant respecter les conditions établies au règlement 2018/1725 ( 8 ). Ainsi, le préjudice moral invoqué par le requérant doit être considéré comme réel et certain, dans la mesure où le transfert précité, effectué en violation du règlement 2018/1725, a placé le requérant dans une situation d’insécurité quant au traitement de ses données à caractère personnel, notamment de son adresse IP.

Au vu de ce qui précède, le Tribunal condamne la Commission à verser au requérant la somme de 400 euros au titre du préjudice moral subi résultant du transfert litigieux lors de la connexion à EU Login du 30 mars 2022.

( 1 ) Chapitre V du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39).

( 2 ) Arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C 311/18, EU:C:2020:559).

( 3 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

( 4 ) Au titre de l’article 14, paragraphe 4, du règlement 2018/1725, le responsable du traitement des données doit, dans le cas où il décide de ne pas donner suite à une demande d’information, informer le demandeur, dans un délai d’un mois, des motifs de son inaction.

( 5 ) Article 46 du règlement 2018/1725.

( 6 ) Article 47 du règlement 2018/1725.

( 7 ) Article 48, paragraphe 1, du règlement 2018/1725.

( 8 ) Article 46 du règlement 2018/1725.