La Commission européenne poursuivie en justice pour avoir enfreint les règles de protection des données de l'UE
La Commission européenne va faire l’objet d’une action en justice pour avoir violé ses propres règles en matière de protection des données lors du transfert de données personnelles de citoyens d’un de ses sites web vers les États-Unis.
La Commission européenne va faire l’objet d’une action en justice pour avoir violé ses propres règles en matière de protection des données lors du transfert de données personnelles de citoyens d’un de ses sites web vers les États-Unis.
La Cour de justice de l’Union européenne a jugé illégaux les transferts internationaux de données de l’autre côté de l’Atlantique il y a deux ans dans son arrêt historique « Schrems II », définissant ainsi l’interprétation du cadre européen de protection des données.
La juridiction américaine a été jugée comme ayant une protection des données inadéquate, dans la mesure où les services de renseignement américains pouvaient accéder aux données personnelles des résidents de l’UE de manière disproportionnée et sans recours judiciaire.
L’action en justice a été engagée par un citoyen allemand qui affirme non seulement que l’exécutif européen transfère illégalement des données, mais aussi qu’il ne divulgue pas suffisamment d’informations sur ses pratiques de traitement des données.
« L’action en justice contre la Commission européenne constitue un signal pour la protection des données en Europe », déclare Thomas Bindl, fondateur de Europäische Gesellschaft für Datenschutz (EuGD), l’organisation qui soutient le plaignant dans cette affaire.
« Même si un arrêt du Tribunal ne fournirait pas de lignes directrices claires pour la jurisprudence en Allemagne, en Espagne ou dans d’autres pays, nous y voyons une grande importance. Ce serait un signe clair que tout le monde doit adhérer aux exigences de la protection des données », a-t-il ajouté.
Le litige concerne le site web de la Conférence sur l’avenir de l’Europe, une conférence destinée à faire participer les citoyens de l’UE aux décisions sur l’avenir de l’Union et de ses États membres.
Amazon Web Services héberge le site web et, par conséquent, lors de l’inscription à l’événement, des données personnelles telles que l’adresse IP sont transférées aux États-Unis.
Par ailleurs, le site web de la Commission permet également aux utilisateurs de se connecter via leur compte Facebook. Le réseau social américain a également été mis en cause pour avoir transféré illégalement des données à caractère personnel vers les États-Unis. Une plainte à ce sujet est actuellement examinée par le commissaire irlandais à la Protection des données.
La Commission européenne étant l’opérateur du site web, le plaignant a demandé des informations sur la manière dont les données personnelles sont traitées dans deux enquêtes. D’après l’action en justice, l’une des demandes a reçu une réponse incomplète, et l’autre n’a pas reçu de réponse du tout, ce qui constitue une violation des droits à l’information en vertu de la loi sur la protection des données.
M. Bindl a déclaré à EURACTIV que si un restaurant ou une boulangerie doit trouver un moyen de se conformer à l’interdiction des transferts de données vers les États-Unis, la Commission européenne doit en faire autant, car il ne peut y avoir deux poids deux mesures.
EuGD a initié l’action en justice parallèlement au dépôt d’une plainte auprès du Contrôleur européen de la protection des données (CEPD), l’autorité compétente pour l’application des règles de protection des données par les institutions européennes. Cependant, le CEPD a mis les enquêtes en suspens jusqu’à ce qu’une action en justice soit engagée.
Le Contrôleur européen de la protection des données et la Commission européenne n’ont pas immédiatement répondu à une demande de commentaire.
Le verdict du tribunal de l’UE devrait prendre entre 12 et 18 mois.
