Auteur: Olivier Sustronck (M. Franklin)
Le 8 janvier 2025, la Cour de justice européenne a pris une décision remarquable dans l’affaire Bindl V Commission (T-354/22). La Cour d’appel a jugé que la Commission européenne devait payer un citoyen allemand 400 EUR en raison de la transmission de son adresse IP aux États-Unis (META) en 2022.
Que s’est-il passé exactement? Tout en s’inscrivant à un événement via un site Web de la Commission européenne, une adresse IP a été transmise aux serveurs d’hébergement de la société américaine AWS et envoyée via “Connexion avec Facebook” à Meta aux États-Unis. À ce moment-là, il n’y avait pas de décision d’adéquation ou autre garantie appropriée conformément au RGPD qui pourrait justifier le transfert. La Cour déclare que le transfert vers les serveurs européens d’AWS n’est pas un problème. Il a été prévu contractuellement que les données restent toujours dans l’UE. Cependant, le transfert vers Meta est considéré comme une infraction car les serveurs sont effectivement aux États-Unis. En plus de l’infraction, les dommages et le lien causal doivent être démontrés en plus de l’infraction. La Cour d’appel stipule que des dommages immatériels peuvent également être indemnisés, sans avoir à démontrer le critère grave. Le fait que le demandeur “ ait été amené dans une situation d’incertitude concernant le traitement de ses données personnelles ”, à savoir son adresse IP, est considéré comme des dommages suffisants estimés qui ont été estimés à 400 euros. Pourquoi est-ce important?
Cette affaire établit un précédent pour la responsabilité non contractuelle des institutions et des entreprises aux infractions au RGPD. Bien que 400 EUR puissent ressembler à une petite quantité, ce montant peut augmenter rapidement lorsqu’une infraction concerne une liste de personnes. De plus, le seuil d’obtention de compensation est très faible: l’incertitude quant au traitement des données personnelles est désormais suffisante pour démontrer les dommages.
Mon opinion sur cette déclaration:
D’une part, cette décision garantit qu’il devient plus facile d’obtenir une compensation en réponse à une violation de la vie privée. C’était plutôt exceptionnel jusqu’à présent, ou était limité à un euro symbolique. Ce n’est pas en soi une mauvaise évolution, car aujourd’hui, il y avait peu de bénéfices d’une infraction, donc la définition d’une procédure n’avait pas de sens. La mise en place de réclamations de groupe contre les principaux acteurs peut également avoir plus d’impact.
Cependant, le seuil de démonstration des dommages est très faible. La prononciation ouvre la porte à «l’abus» d’incitations limitées en matière de confidentialité qui sont principalement établies comme une réaction de contre-réaction en réponse à une discussion ou pour rendre leur vie misérable. Je suis un défenseur dur pour lutter contre les infractions efficaces qui nuisent à quelqu’un plus stricte, mais une conformité à 100% avec le RGPD n’existe pas, donc si une “ incertitude sur le traitement des données personnelles ” est suffisante pour montrer les dommages peut à peu près chaque entreprise contre la lampe proverbiale marcher.
