Le Tribunal de l’Union européenne a récemment mis en lumière des manquements de la Commission européenne en matière de protection des données, à propos d’un transfert de données personnelles facilité par l’option « Se connecter avec Facebook » et l’a condamnée à verser des dommages et intérêts.

Les faits marquants :

Lors de ses consultations en 2021-2022 sur le site de la Conférence sur l'avenir de l'Europe, géré par la Commission, un citoyen allemand s’était inscrit à l’événement GoGreen en utilisant l'authentification EU Login et en choisissant de se connecter via Facebook. Lors de cette connexion, ses données personnelles, y compris son adresse IP, ont été transférées à Meta Platforms, Inc. (Facebook), une entreprise Américaine. Ce dont se plaignait ce citoyen allemand.

 Le Tribunal a relevé que :

• La Commission avait facilité ce transfert en affichant un hyperlien permettant la connexion via Facebook alors qu’il n’existait aucune décision de la Commission constatant un niveau adéquat de protection des données auxÉtats-Unis.
• Aucune garantie appropriée n’avait été mise en place, comme des clauses contractuelles types ou autres mesures prévues par le RGPD.
• L’affichage du bouton « Se connecter avec Facebook » était uniquement régi par les conditions générales de Facebook, sans supervision active par la Commission.

Et aujourd’hui ?

Avec la nouvelle décision d’adéquation entre l’UE et les États-Unis (Data Privacy Framework), les transferts de données vers les États-Unis sont facilités. Toutefois, cette décision ne dispense pas les responsables de traitement :

• De vérifier si l’organisation destinataire est bien inscrite sur la liste disponible sur le site du Département du Commerce américain (ce qui est bien le cas de Meta Platforms, Inc).
• De malgré tout évaluer si le niveau de protection offert est substantiellement équivalent à celui garanti par l’UE.