RGPD : la Commission européenne poursuivie en Justice pour transfert de données vers Amazon

Ce ne sont pas moins de 99 articles qui définissent le Règlement général pour la protection des données (RGPD) entré en vigueur le 25 mai 2018. Alors que des recommandations régulières pleuvent dans les boites mails des entreprises, avec menace de sanctions en cas de non-respect, la Commission européenne est accusée d’avoir enfreint ces règles lors du transfert de données personnelles de citoyens européens vers Amazon Web Services (AWS), le service de cloud computing d’Amazon. L’action en justice a été engagée par un citoyen allemand qui affirme non seulement que l’exécutif européen transfère illégalement des données, mais aussi qu’il ne divulgue pas suffisamment d’informations sur ses pratiques de traitement des données. Ou, quand le législateur ne respecte même pas lui-même les règles qu’il a énoncées. Explications.

Un citoyen allemand, représenté par l’association Europäische Gesellschaft für Datenschutz (EuGD), a déposé un recours contre la Commission européenne pour violation du Règlement général sur la protection des données (RGPD) devant le tribunal de l’Union européenne. Un second dossier a été déposé devant le Contrôleur européen de la protection des données (CEPD) qui a sursis à statuer le temps que la justice se prononce dans cette affaire.

Un site hébergé par Amazon

Le citoyen allemand accuse l’Union Européenne de violer la législation européenne sur les données personnelles en confiant à Amazon Web Services (AWS), le service de cloud computing d’Amazon, le soin d’héberger le site web de la « Conférence sur l’avenir de l’Europe ». Cette plateforme a pour objectif de donner la parole aux citoyens européens via une grande consultation publique pour qu’ils puissent exprimer leurs attentes envers l’UE en matière, notamment d’amélioration des processus démocratique, de durabilité et de transition numérique.

Lors de l’inscription à l’événement, des données personnelles telles que l’adresse IP sont transférées aux États-Unis, pays où se trouve le siège social d’Amazon, indique la plainte. « Si un restaurant ou une boulangerie doit trouver un moyen de se conformer à l’interdiction des transferts de données vers les Etats-Unis, la Commission européenne doit en faire autant car il ne peut y avoir deux poids deux mesures », a déclaré Thomas Bindl, le fondateur du Europäische Gesellschaft für Datenschutz.

Le Privacy Shield : un enjeu politique

Il y a deux ans, dans son arrêt historique « Schrems II », définissant l’interprétation du cadre européen de protection des données, la Cour de justice de l’Union européenne a jugé illégaux les transferts internationaux de données de l’autre côté de l’Atlantique, ce qui fonde l’introduction de cette action en justice.
Le « privacy shield », cet accord négocié en 2015 et qui facilitait le transfert des données vers les Etats-Unis, a été jugé par la Cour comme étant une protection des données inadéquate, dans la mesure où les autorités américaines, dont les services de renseignement, pouvaient accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain, même en dehors des Etats-Unis et sans recours judiciaire.

Un « accord de principe » pour remplacer le Privacy Shield est depuis intervenu en mars de cette année entre l’UE et les Etats-Unis, mais il n’a, pour l’instant, aucune valeur contraignante. Les enjeux sont à l’évidence politiques.

Un signal fort

« L’action en justice contre la Commission européenne constitue un signal pour la protection des données en Europe », a précisé Thomas Bindl. Si un jugement devait donner gain de cause au plaignant, « ce serait un signe clair que tout le monde doit adhérer aux exigences de la protection des données ».

EuGD a initié l’action en justice parallèlement au dépôt d’une plainte auprès du Contrôleur européen de la protection des données (CEPD), l’autorité compétente pour l’application des règles de protection des données par les institutions européennes. Cependant, le CEPD a mis les enquêtes en suspens jusqu’à ce qu’une décision intervienne dans ce dossier. Le verdict du tribunal de l’UE devrait prendre entre 12 et 18 mois.

Par ailleurs, le site web de la Commission permet également aux utilisateurs de se connecter via leur compte Facebook. Le réseau social américain a également été mis en cause pour avoir transféré illégalement des données à caractère personnel vers les États-Unis. Une plainte à ce sujet est actuellement examinée par le commissaire irlandais à la Protection des données.