Prin intermediul hiperlinkului „conectați-vă cu Facebook”, afișat pe pagina de internet a EU Login, Comisia a creat condițiile care au permis ca adresa IP a persoanei interesate să fie transmisă întreprinderii americane Meta Platforms.
Un cetățean, care locuiește în Germania, reproșează Comisiei că i-a încălcat dreptul la protecția datelor cu caracter personal cu ocazia consultării în mai multe rânduri, în anii 2021 și 2022, a site-ului internet al Conferinței privind viitorul Europei, care este gestionat de Comisiei. Mai exact, acesta s-a înscris la evenimentul „GoGreen” prin intermediul acestui site, utilizând serviciul de autentificare al Comisiei, EU Login, și alegând opțiunea oferită de a se conecta cu ajutorul contului său de Facebook.
Persoana în cauză apreciază că, în cadrul consultării repetate a acestui site internet, unele date cu caracter personal care îi aparțin ar fi fost transferate către destinatari stabiliți în Statele Unite, în special adresa sa IP, precum și informații privind browserul și terminalul său.
Astfel, pe de o parte, aceste date ar fi fost transferate întreprinderii americane Amazon Web Services, în calitate de operator al rețelei de difuzare de conținut denumită Amazon CloudFront, care ar fi utilizată de site-ul internet în discuție. Pe de altă parte, cu ocazia înscrierii la evenimentul „GoGreen” cu ajutorul contului său de Facebook, aceste date ar fi fost transferate întreprinderii americane Meta Platforms, Inc.
Or, în opinia persoanei în cauză, Statele Unite nu au un nivel de protecție adecvat. Aceste transferuri ar fi determinat riscul ca serviciile americane de securitate și de informații să aibă acces la datele sale. Comisia nu ar fi evocat niciuna dintre garanțiile adecvate care să poată justifica aceste transferuri.
El solicită, în acest temei, plata sumei de 400 de euro pentru repararea prejudiciului moral pe care l-ar fi suferit ca urmare a transferurilor în litigiu. Acesta solicită de asemenea anularea transferurilor datelor sale cu caracter personal, constatarea faptului că Comisia s-a abținut în mod nelegal să ia poziție cu privire la o cerere de informații și obligarea Comisiei la plata sumei de 800 de euro pentru repararea prejudiciului moral pe care l-ar fi suferit ca urmare a încălcării dreptului său de acces la informații.
Tribunalul respinge cererea de anulare ca inadmisibilă și decide că nu mai este necesar să se pronunțe asupra concluziilor privind constatarea abținerii de a acționa. Tribunalul respinge de asemenea cererea de despăgubire
întemeiată pe încălcarea dreptului de acces la informații, considerând că nu s-a produs prejudiciul moral invocat.
În ceea ce privește cererea de despăgubire întemeiată pe transferurile de date în litigiu, Tribunalul respinge această cerere în ceea ce privește transferurile de date prin intermediul Amazon CloudFront. Astfel, Tribunalul conchide că, cu ocazia uneia dintre conectările în litigiu, transferul datelor a avut loc nu către Statele Unite, ci, conform principiului proximității, către un server4 localizat la München în Germania. Potrivit contractului încheiat între Comisie și administratorul companiei Amazon CloudFront, întreprinderea luxemburgheză Amazon Web Services, aceasta din urmă trebuia să garanteze că datele rămân în repaus și în tranzit în Europa.
În ceea ce privește o altă conectare, chiar persoana în cauză a fost cea care a provocat trimiterea prin mecanismul folosit de Amazon CloudFront de rutare către servere din Statele Unite. Astfel, din cauza unui reglaj tehnic, aparent acesta era localizat în Statele Unite.
În schimb, în ceea ce privește înscrierea persoanei în cauză la evenimentul „GoGreen”, Tribunalul apreciază că Comisia a creat, prin intermediul hiperlinkului „conectați-vă cu Facebook” afișat pe pagina de internet a EU Login, condițiile care au permis ca adresa IP a persoanei în cauză să fie transmisă către Facebook. Această adresă IP constituie una din datele cu caracter personal care a fost, prin intermediul hiperlinkului menționat, transmisă către Meta Platforms, întreprindere cu sediul în Statele Unite. Acest transfer trebuie imputat Comisiei.
Or, la momentul acestui transfer, și anume la data de 30 martie 2022, nu exista nicio decizie a Comisiei de constatare a faptului că Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal ale cetățenilor Uniunii. Mai mult, Comisia nu a demonstrat, nici măcar nu susținut că exista o garanție adecvată, în special o clauză-tip de protecție a datelor sau o clauză contractuală. Afișarea hiperlinkului „conectați-vă cu Facebook” pe site-ul internet al EU Login era pur și simplu supusă condițiilor generale utilizate de platforma
Facebook. Comisia nu a respectat deci condițiile prevăzute de dreptul Uniunii în ceea ce privește transferul datelor cu caracter personal de către o instituție, un organ, un oficiu sau o agenție a Uniunii către o țară terță.
Tribunalul consideră că Comisia a săvârșit o încălcare suficient de gravă a unei norme de drept prin care se conferă drepturi particularilor. Persoana în cauză a suferit un prejudiciu moral prin faptul că s-a aflat într-o situație de insecuritate în ceea ce privește datele sale cu caracter personal, în special adresa sa IP.
În plus, există o legătură de cauzalitate suficient de directă între încălcarea săvârșită de Comisie și prejudiciul moral suferit de persoana în cauză. Întrucât condițiile pentru angajarea răspunderii extracontractuale a Uniunii sunt îndeplinite, Tribunalul obligă Comisia să plătească persoanei interesate suma de 400 de euro pe care aceasta a solicitat-o.
