ARRÊT DU TRIBUNAL (sixième chambre élargie)
8 janvier 2025 ( *1 )
« Traitement des données à caractère personnel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union – Règlement (UE) 2018/1725 – Notion de “transfert de données à caractère personnel vers un pays tiers” – Transfert de données à l’occasion de la consultation d’un site Internet – EU Login – Recours en annulation – Acte non susceptible de recours – Irrecevabilité – Recours en carence – Prise de position
mettant fin à la carence – Non-lieu à statuer – Recours en indemnité – Violation suffisamment caractérisée d’une règle de droit conférant des droits aux particuliers – Lien de causalité – Préjudice moral »
Dans l’affaire T‑354/22,
Thomas Bindl, demeurant à Munich (Allemagne), représenté par Me T. Herbrich, avocat,
partie requérante,
contre
Commission européenne, représentée par MM. A. Bouchagiar, B. Hofstötter et H. Kranenborg, en qualité d’agents,
partie défenderesse,
LE TRIBUNAL (sixième chambre élargie),
composé de Mmes M. J. Costeira (rapporteure), présidente, M. Kancheva, MM. U. Öberg, P. Zilgalvis et Mme E. Tichy‑Fisslberger, juges,
greffier : Mme S. Jund, administratrice,
vu la phase écrite de la procédure,
vu la mesure d’organisation de la procédure du 21 juillet 2023 et les réponses de la Commission et du requérant déposées au greffe du Tribunal, respectivement, le 7 et le 8 septembre 2023,
à la suite de l’audience du 17 octobre 2023,
vu la mesure d’organisation de la procédure du 9 février 2024 et les réponses de la Commission et du requérant déposées au greffe du Tribunal, respectivement, le 12 et le 13 mars 2024,
rend le présent
Arrêt
1 Par son recours fondé sur les articles 263, 265 et 268 TFUE, le requérant, M. Thomas Bindl, demande au Tribunal, premièrement, d’annuler des transferts de ses données à caractère personnel vers des pays tiers ne disposant pas d’un niveau de protection adéquat, deuxièmement, de constater que la Commission européenne s’est illégalement abstenue de prendre position sur sa demande d’informations du 1er avril 2022 et, troisièmement, de réparer le préjudice moral qu’il aurait subi à la suite, d’une
part, d’une violation de son droit d’accès aux informations et, d’autre part, des transferts de ses données à caractère personnel.
Antécédents du litige et faits postérieurs à l’introduction du recours
2 Le requérant est un citoyen allemand qui s’intéresse à des sujets dans les domaines de l’informatique et de la protection des données à caractère personnel.
3 La direction générale de la communication de la Commission est la responsable du traitement des données à caractère personnel aux fins du site Internet de la Conférence sur l’avenir de l’Europe à l’adresse « https://futureu.europa.eu » (ci-après le « site Internet de la CAE »).
4 Le requérant a consulté le site Internet de la CAE à plusieurs reprises pendant les années 2021 et 2022. Il a notamment consulté ce site Internet le 30 mars 2022 et s’est inscrit à l’événement « GoGreen » qui y figurait, à l’aide de son compte Facebook et, le 8 juin 2022, il a de nouveau consulté ledit site Internet.
5 Par courriel du 9 novembre 2021 (ci-après la « demande d’informations du 9 novembre 2021 »), le requérant a demandé au délégué à la protection des données de la Commission de lui fournir des informations au titre du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données,
et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39).
6 Dans ledit courriel, premièrement, le requérant a indiqué avoir remarqué que, lorsqu’il s’est connecté sur le site Internet de la CAE, une connexion avec des fournisseurs tiers, tels que l’entreprise américaine Amazon Web Services, avait été activée ; deuxièmement, il a demandé qu’il lui soit indiqué quelles données à caractère personnel le concernant avaient été traitées ou stockées et lesquelles avaient, le cas échéant, été transférées à des tiers ; troisièmement, il a demandé des informations
sur la base juridique d’un tel transfert ainsi que sur l’existence d’éventuelles garanties concernant le transfert vers des pays tiers ne disposant pas d’un niveau de protection adéquat.
7 Par courriel du 3 décembre 2021, la direction générale de la communication de la Commission a transmis au requérant un lien électronique et l’a informé que ce lien lui permettait de générer directement une liste des données à caractère personnel qui avaient été traitées lors de de la consultation du site Internet de la CAE. En outre, elle a indiqué au requérant, d’une part, que ses données à caractère personnel n’avaient pas été transférées à des destinataires situés en dehors de l’Union
européenne et, d’autre part, qu’elles étaient stockées et traitées par le site Internet de la CAE, lequel utilisait un réseau de diffusion de contenu géré par Amazon Web Services EMEA SARL (ci-après « AWS EMEA »), établie au Luxembourg (Luxembourg). De plus, elle a précisé que, dans le cadre des accords contractuels conclus entre la Commission et AWS EMEA, le responsable du traitement des données ne recourait pas à des services qui nécessiteraient un transfert de données vers les partenaires d’AWS
EMEA situés aux États-Unis et que le transfert de données en dehors du territoire de l’Union n’était pas, par principe, autorisé.
8 Par courriel du 1er avril 2022, le requérant a demandé à la Commission, au titre du règlement 2018/1725, des informations sur le traitement de ses données (ci-après la « demande d’informations du 1er avril 2022 »). Premièrement, il a indiqué avoir remarqué que, lorsqu’il s’est connecté sur le site Internet de la CAE, une connexion avec des fournisseurs tiers tels que AWS EMEA s’était établie et qu’une connexion à l’entreprise Microsoft aurait été établie lorsqu’il a utilisé ses données de
connexion Facebook pour s’enregistrer sur ce site Internet. Deuxièmement, il a demandé qu’il lui soit indiqué quelles données à caractère personnel le concernant avaient été traitées ou stockées et lesquelles avaient, le cas échéant, été transférées à des tiers. Troisièmement, il a demandé des informations sur la base juridique d’un tel transfert ainsi que sur l’existence d’éventuelles garanties concernant le transfert vers des pays tiers ne disposant pas d’un niveau de protection adéquat.
Quatrièmement, il a demandé une copie de ses données, y compris celles stockées ou traitées par des tiers tels que Facebook.
9 Par courriels des 22 avril et 2 mai 2022, le requérant a insisté auprès de la Commission pour qu’elle lui donne une réponse à la demande d’informations du 1er avril 2022.
10 Par requête déposée au greffe du Tribunal le 9 juin 2022, le requérant a introduit le présent recours.
11 Par courriel du 30 juin 2022, la Commission a informé le requérant qu’elle estimait que la demande d’informations du 1er avril 2022 était quasiment identique à la demande d’informations du 9 novembre 2021 et qu’elle avait déjà répondu à cette dernière par son courriel du 3 décembre 2021.
12 Amazon Web Services est une entreprise établie aux États-Unis et AWS EMEA est une entreprise établie au Luxembourg. Ces deux entreprises sont des filiales de l’entreprise de droit américain Amazon.com, Inc.
Conclusions des parties
13 Le requérant conclut à ce qu’il plaise au Tribunal :
– annuler les transferts de ses données à caractère personnel vers des pays tiers ne disposant pas d’un niveau de protection adéquat qui ont eu lieu le 30 mars et le 8 juin 2022 ;
– constater que la Commission s’est illégalement abstenue de prendre position sur la demande d’informations du 1er avril 2022 ;
– condamner la Commission à lui verser la somme de 1200 euros, assortie d’intérêts, correspondant, d’une part, au montant de 800 euros, en réparation du préjudice moral subi à la suite d’une violation de son droit d’accès aux informations et, d’autre part, au montant de 400 euros, en réparation du préjudice moral subi à la suite desdits transferts de ses données ;
– condamner la Commission aux dépens.
14 La Commission conclut à ce qu’il plaise au Tribunal :
– rejeter les conclusions en annulation et les conclusions en carence comme étant irrecevables ;
– à titre subsidiaire, déclarer qu’il n’y a plus lieu de statuer sur les conclusions en carence ;
– rejeter les conclusions en indemnité comme étant non fondées ;
– condamner le requérant aux dépens.
En droit
Considérations liminaires sur la protection des données à caractère personnel par les institutions, organes et organismes de l’Union
15 L’article 16, paragraphe 1, TFUE et l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
16 Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation
de ces données (article 1er, paragraphe 1, du règlement 2016/679).
17 Le règlement 2018/1725 établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de l’Union et des règles relatives à la libre circulation des données à caractère personnel entre ces institutions et organes ou vers d’autres destinataires établis dans l’Union (article 1er, paragraphe 1, du règlement 2018/1725). Ce règlement protège les libertés et les droits fondamentaux des personnes physiques, et
en particulier leur droit à la protection des données à caractère personnel (article 1er, paragraphe 2, du règlement 2018/1725). Il s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union (article 2, paragraphe 1, du règlement 2018/1725).
18 Le considérant 5 du règlement 2018/1725 rappelle que, conformément à la jurisprudence de la Cour, chaque fois que les dispositions du règlement 2018/1725 suivent les mêmes principes que les dispositions du règlement 2016/679, ces deux ensembles de dispositions doivent être interprétés de manière homogène, notamment en raison du fait que le régime du règlement 2018/1725 devrait être compris comme étant équivalent à celui du règlement 2016/679. À cet égard, il résulte encore d’une lecture conjointe
des dispositions de l’article 2, paragraphe 3, du règlement 2016/679 et de l’article 99 du règlement 2018/1725 que ce dernier règlement est adapté aux principes et aux règles du règlement 2016/679.
Sur la recevabilité
Recevabilité des conclusions en annulation
19 Par son premier chef de conclusions, le requérant demande l’annulation des transferts de ses données à caractère personnel vers des pays tiers ne disposant pas d’un niveau de protection adéquat, qui auraient eu lieu le 30 mars et le 8 juin 2022 (ci-après les « transferts litigieux »).
20 Dans son mémoire en défense, la Commission excipe de l’irrecevabilité de cette demande en annulation au motif qu’elle n’est pas dirigée contre un acte attaquable, au sens de l’article 263 TFUE, mais tend à ce qu’une injonction lui soit adressée.
21 Le requérant soutient la recevabilité de la demande en annulation, en faisant valoir que les transferts litigieux sont des actes qui produisent des effets de droit obligatoires et qui affectent sa situation juridique, en portant atteinte à son droit fondamental à la protection des données à caractère personnel, garanti par l’article 8 de la Charte. Toute autre interprétation serait incompatible avec le droit fondamental à une protection juridictionnelle effective, alors que l’article 64,
paragraphe 1, du règlement 2018/1725 reconnaît explicitement ce droit.
22 Comme le rappellent l’article 64, paragraphe 1, et le considérant 79 du règlement 2018/1725, toute personne a droit à un recours juridictionnel effectif devant la Cour de justice de l’Union européenne, conformément aux traités, si elle estime que les droits que lui confère ledit règlement sont violés.
23 Il s’ensuit que, dans le cadre du règlement 2018/1725, toute personne concernée a le droit, notamment, d’introduire un recours en annulation dans les conditions prévues à l’article 263 TFUE.
24 Selon une jurisprudence constante, le recours en annulation prévu à l’article 263 TFUE est ouvert à l’égard de tout acte des institutions, quelle que soit sa forme, qui vise à produire des effets de droit obligatoires de nature à affecter les intérêts de la partie requérante, en modifiant de façon caractérisée sa situation juridique (voir arrêts du 19 janvier 2017, Commission/Total et Elf Aquitaine, C‑351/15 P, EU:C:2017:27, points 35 et 36 et jurisprudence citée, et du 16 juillet 2020, Inclusion
Alliance for Europe/Commission, C‑378/16 P, EU:C:2020:575, point 71 et jurisprudence citée).
25 Pour déterminer si un acte produit des effets de droit obligatoires, il y a lieu, conformément à une jurisprudence constante de la Cour, de s’attacher à la substance de cet acte et d’apprécier ses effets à l’aune de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de l’adoption de celui-ci ainsi que des pouvoirs de l’institution, de l’organe ou de l’organisme de l’Union qui en est l’auteur (voir arrêt du 15 juillet 2021, FBF, C‑911/19,
EU:C:2021:599, point 38 et jurisprudence citée).
26 En l’espèce, le requérant demande l’annulation des transferts litigieux, qui, selon lui, ont eu lieu à trois reprises. En premier lieu, lors de sa consultation du site Internet de la CAE du 30 mars 2022 (ci-après le « transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022 »), des données à caractère personnel lui appartenant, notamment son adresse IP ainsi que des informations sur son navigateur et son terminal, auraient été transférées à l’entreprise américaine
Amazon Web Services, en sa qualité d’opérateur du réseau de diffusion de contenu dénommé Amazon CloudFront, qui serait utilisé par ledit site Internet.
27 En deuxième lieu, lors de la connexion établie par le requérant, le 30 mars 2022, au service d’authentification d’utilisateur de la Commission EU Login, à l’aide de son compte Facebook, afin de s’inscrire à l’événement « GoGreen » sur le site Internet de la CAE (ci-après le « transfert litigieux lors de la connexion à EU Login du 30 mars 2022 »), des données à caractère personnel lui appartenant, notamment son adresse IP ainsi que des informations sur son navigateur et son terminal, auraient été
transférées à l’entreprise américaine Meta Platforms, Inc.
28 En troisième lieu, lors des consultations, par le requérant, du site Internet de la CAE du 8 juin 2022 (ci-après le « transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022 »), des données à caractère personnel lui appartenant auraient été transférées vers un serveur d’Amazon CloudFront situé à Newark (New Jersey, États‑Unis).
29 Par ailleurs, le requérant mentionne dans sa requête qu’il a accédé au site Internet de la CAE le 9 novembre 2021 et qu’il s’est inscrit sur le site Internet de la CAE à cette date à l’aide de son compte Facebook. Cependant, il n’invoque aucun élément concret permettant de conclure que ces circonstances sont visées par sa demande d’annulation des transferts litigieux. Il convient donc de prendre en compte uniquement les transferts litigieux mentionnés aux points 26 à 28 ci-dessus.
30 Il convient de relever que les transferts litigieux dont le requérant demande l’annulation, mentionnés aux points 26 à 28 ci-dessus, correspondent, selon le requérant lui-même, à des opérations informatiques de migration de données qui auraient été lancées par des systèmes ou des services informatiques de la Commission, notamment le site Internet de la CAE, vers des serveurs appartenant à des entreprises tierces établies en dehors du territoire de l’Union.
31 Il est certes vrai que l’opération consistant à transférer des données à caractère personnel depuis une institution ou un organe de l’Union vers un pays tiers constitue, en tant que telle, un traitement de données à caractère personnel, au sens de l’article 3, point 3, du règlement 2018/1725, effectué sur le territoire de l’Union, traitement auquel ce règlement s’applique en vertu de son article 2, paragraphe 5 (voir, par analogie, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18,
ci-après l’« arrêt Schrems II », EU:C:2020:559, point 83).
32 Toutefois, toutes les opérations pouvant conduire à un transfert de données à caractère personnel, au sens de l’article 3, point 3, du règlement 2018/1725, ne constituent pas des actes attaquables, au sens de l’article 263 TFUE, tel qu’interprété par la jurisprudence rappelée au point 24 ci-dessus.
33 En l’espèce, à supposer que les transferts litigieux soient démontrés, force est de constater qu’ils constituent des actes matériels et non des actes juridiques. En effet, les transferts litigieux, tels que décrits dans la requête, sont des opérations informatiques de migration de données d’un terminal ou d’un serveur vers un autre, qui résultent des interactions entre le requérant et des systèmes ou des services informatiques de la Commission, lors de ses consultations du site Internet de la CAE
ou du service EU Login. En revanche, les transferts litigieux ne sont pas des actes de la Commission produisant des effets juridiques contraignants, c’est-à-dire qu’ils n’ont pas pour vocation de régler une situation juridique et, ainsi qu’il résulte de leur nature même, la Commission n’a nullement eu l’intention de leur conférer de tels effets.
34 Partant, les transferts litigieux ne sont pas susceptibles de produire des effets juridiques obligatoires de nature à affecter les intérêts du requérant, en modifiant de façon caractérisée sa situation juridique, conformément à la jurisprudence rappelée au point 24 ci-dessus. Ils ne sauraient donc être considérés comme des actes attaquables au sens de l’article 263 TFUE.
35 Il s’ensuit que les conclusions en annulation du requérant doivent être écartées comme étant irrecevables.
Recevabilité des conclusions en carence
36 Par son deuxième chef de conclusions, le requérant demande au Tribunal de constater que la Commission s’est illégalement abstenue de prendre position sur la demande d’informations du 1er avril 2022.
37 Dans son mémoire en défense, la Commission excipe de l’irrecevabilité de cette demande en carence, en raison de l’absence d’une invitation à agir au sens de l’article 265, deuxième alinéa, TFUE. À titre subsidiaire, la Commission fait valoir qu’il n’y a plus lieu de statuer sur la demande en carence, compte tenu de sa réponse au requérant par courriel du 30 juin 2022.
38 Le requérant soutient, en substance, que la Commission est toujours obligée de répondre à la demande d’informations du 1er avril 2022, étant donné que les informations qu’elle a fournies par son courriel du 30 juin 2022 sont insuffisantes et inexactes.
39 Selon une jurisprudence constante, la voie de recours prévue à l’article 265 TFUE est fondée sur l’idée que l’inaction illégale de l’institution mise en cause permet de saisir le juge de l’Union afin que celui-ci déclare que l’abstention d’agir est contraire au traité, lorsque l’institution concernée n’a pas remédié à cette abstention (arrêt du 12 juillet 1988, Parlement/Conseil, 377/87, EU:C:1988:387, point 9 ; voir, également, arrêt du 16 décembre 2015, Suède/Commission, T‑521/14, non publié,
EU:T:2015:976, point 33 et jurisprudence citée).
40 Dans le cas où l’acte dont l’omission fait l’objet du litige a été adopté après l’introduction du recours, mais avant le prononcé de l’arrêt, une déclaration de la juridiction de l’Union constatant l’illégalité de l’abstention initiale ne peut plus conduire aux conséquences prévues par l’article 266 TFUE. Il en résulte que, dans un tel cas, l’objet du recours a disparu, de sorte qu’il n’y a plus lieu de statuer (arrêt du 12 juillet 1988, Parlement/Conseil, 377/87, EU:C:1988:387, points 10 et 11 ;
voir, également, ordonnance du 13 décembre 2000, Sodima/Commission, C‑44/00 P, EU:C:2000:686, point 83 et jurisprudence citée).
41 En l’espèce, il y a lieu de constater que la Commission a répondu à la demande d’informations du 1er avril 2022, par son courriel du 30 juin 2022 (voir point 11 ci-dessus). La Commission a donc mis fin à la carence alléguée par le requérant dans le cadre du présent recours, après l’introduction de ce recours. Le deuxième chef de conclusions tendant à faire constater, sur le fondement de l’article 265 TFUE, une carence de la Commission en l’absence de réponse à la demande d’informations du
1er avril 2022 est donc devenu sans objet.
42 Le fait que le contenu du courriel de la Commission du 30 juin 2022 ne corresponde pas à la réponse souhaitée par le requérant est sans pertinence à cet égard. En effet, la circonstance selon laquelle cette prise de position de l’institution ne donne pas satisfaction à la partie requérante est à cet égard indifférente, car l’article 265 TFUE vise la carence par abstention de statuer ou de prendre position et non l’adoption d’un acte autre que celui que cette partie aurait souhaité ou estimé
nécessaire (voir ordonnance du 6 avril 2017, Brancheforeningen for Regulerkraft i Danmark/Commission, T‑203/16, non publiée, EU:T:2017:279, point 22 et jurisprudence citée).
43 Il s’ensuit qu’il n’y a plus lieu de statuer sur les conclusions en carence du requérant et qu’il n’est pas besoin de se prononcer sur l’irrecevabilité de ces conclusions soulevée par la Commission.
Sur les conclusions en indemnité
44 Par son troisième chef de conclusions, le requérant formule deux demandes en indemnité. En premier lieu, il demande le versement de 800 euros en réparation du préjudice moral qu’il aurait subi en raison du non-respect, par la Commission, de son droit d’accès aux informations, en violation de l’article 14, paragraphes 3 et 4, et de l’article 17, paragraphes 1 et 2, du règlement 2018/1725 ainsi que du principe de transparence prévu à l’article 4, paragraphe 1, sous a), dudit règlement. En second
lieu, il demande le versement de 400 euros en réparation du préjudice moral qu’il aurait subi du fait des transferts litigieux, intervenus en violation de l’article 46 et de l’article 48, paragraphe 1, et paragraphe 2, sous b), du règlement 2018/1725.
45 La Commission conclut au rejet des conclusions en indemnité.
Considérations liminaires sur les conditions d’engagement de la responsabilité non contractuelle de l’Union dans le cadre du règlement 2018/1725
46 L’article 65 du règlement 2018/1725 prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation dudit règlement a le droit d’obtenir de l’institution ou de l’organe de l’Union la réparation du dommage subi, sous réserve des « conditions prévues dans les traités ».
47 Il y a lieu d’interpréter cet article 65 du règlement 2018/1725 comme prévoyant que le droit d’obtenir de l’institution ou de l’organe de l’Union la réparation du dommage subi du fait d’une violation de ce règlement est subordonné aux conditions de l’article 340, deuxième alinéa, TFUE, en vertu duquel l’Union doit réparer, conformément aux principes généraux communs aux droits des États membres, les dommages causés par ses institutions ou par ses agents dans l’exercice de leurs fonctions.
48 Selon une jurisprudence constante, l’engagement de la responsabilité non contractuelle de l’Union suppose la réunion de trois conditions cumulatives, à savoir l’illégalité du comportement reproché aux institutions, la réalité du dommage et l’existence d’un lien de causalité entre ce comportement et le préjudice invoqué (voir, en ce sens, arrêts du 4 juillet 2000, Bergaderm et Goupil/Commission, C‑352/98 P, EU:C:2000:361, points 39 à 42, et du 28 octobre 2021, Vialto Consulting/Commission,
C‑650/19 P, EU:C:2021:879, point 138).
49 Le caractère cumulatif de ces conditions implique que, dès lors que l’une d’entre elles n’est pas remplie, le recours en indemnité doit être rejeté dans son ensemble sans qu’il soit nécessaire d’examiner les autres conditions (arrêt du 9 septembre 1999, Lucaccioni/Commission, C‑257/98 P, EU:C:1999:402, points 14 et 63 ; voir, également, arrêt du 25 février 2021, Dalli/Commission, C‑615/19 P, EU:C:2021:133, point 42 et jurisprudence citée).
50 S’agissant de la première des conditions, la jurisprudence exige qu’il soit établi une violation suffisamment caractérisée d’une règle de droit ayant pour objet de conférer des droits aux particuliers (voir arrêt du 4 juillet 2000, Bergaderm et Goupil/Commission, C‑352/98 P, EU:C:2000:361, point 42 et jurisprudence citée).
51 Cette exigence d’une violation suffisamment caractérisée du droit de l’Union vise, quelle que soit la nature de l’acte illicite en cause, à éviter que le risque d’avoir à supporter les dommages allégués par les personnes concernées n’entrave la capacité de l’institution concernée à exercer pleinement ses compétences dans l’intérêt général, tant dans le cadre de son activité à portée normative ou impliquant des choix de politique économique que dans la sphère de sa compétence administrative, sans
pour autant laisser peser sur des particuliers la charge des conséquences de manquements flagrants et inexcusables (voir, en ce sens, arrêt du 14 décembre 2018, East West Consulting/Commission, T‑298/16, EU:T:2018:967, point 124 et jurisprudence citée).
52 Le critère décisif permettant de considérer qu’une violation est suffisamment caractérisée consiste en la méconnaissance manifeste et grave, par l’institution ou l’organe de l’Union concerné, des limites qui s’imposent à son pouvoir d’appréciation. Lorsque cette institution ou cet organe ne dispose que d’une marge d’appréciation considérablement réduite, voire inexistante, la simple infraction au droit de l’Union peut suffire pour établir l’existence d’une violation suffisamment caractérisée
(voir arrêt du 10 décembre 2002, Commission/Camar et Tico, C‑312/00 P, EU:C:2002:736, point 54 et jurisprudence citée). Toutefois, cette jurisprudence n’établit aucun lien automatique entre, d’une part, l’absence de pouvoir d’appréciation de l’institution concernée et, d’autre part, la qualification de l’infraction de violation suffisamment caractérisée du droit de l’Union (arrêt du 3 mars 2010, Artegodan/Commission, T‑429/05, EU:T:2010:60, point 59). En effet, bien qu’elle présente un caractère
déterminant, l’étendue du pouvoir d’appréciation de l’institution concernée ne constitue pas un critère exclusif. À cet égard, la Cour a rappelé de manière constante que le régime qu’elle a dégagé au titre de l’article 340, deuxième alinéa, TFUE prend, en outre, notamment en compte la complexité des situations à régler et les difficultés d’application ou d’interprétation des textes (voir arrêt du 23 novembre 2011, Sison/Conseil, T‑341/07, EU:T:2011:687, points 36 et 37 et jurisprudence citée) ou,
plus généralement, le domaine, les conditions et le contexte dans lesquels la règle méconnue s’impose à l’institution ou à l’organe de l’Union concerné (voir arrêt du 4 avril 2017, Médiateur/Staelen, C‑337/15 P, EU:C:2017:256, point 40 et jurisprudence citée).
53 Il s’ensuit que seule la constatation d’une irrégularité que n’aurait pas commise, dans des circonstances analogues, une administration normalement prudente et diligente permet d’engager la responsabilité de l’Union. Il appartient dès lors au juge de l’Union, après avoir déterminé si l’institution concernée disposait d’une marge d’appréciation, de prendre en considération la complexité de la situation à régler, les difficultés d’application ou d’interprétation des textes, le degré de clarté et de
précision de la règle violée et le caractère intentionnel ou inexcusable de l’erreur commise (arrêt du 3 mars 2010, Artegodan/Commission, T‑429/05, EU:T:2010:60, point 62).
54 S’agissant de la condition relative à la réalité du dommage, ce dernier doit être réel et certain, ce qu’il appartient à la partie requérante de prouver (voir arrêt du 9 novembre 2006, Agraz e.a./Commission, C‑243/05 P, EU:C:2006:708, point 27 et jurisprudence citée). En revanche, un dommage purement hypothétique et indéterminé ne donne pas droit à réparation (voir arrêt du 26 octobre 2011, Dufour/BCE, T‑436/09, EU:T:2011:634, point 192 et jurisprudence citée).
55 S’agissant de la condition relative au lien de causalité, celle-ci porte sur l’existence d’un lien suffisamment direct de cause à effet entre le comportement reproché à l’institution et le dommage, lien dont il appartient à la partie requérante d’apporter la preuve, de telle sorte que le comportement reproché doit être la cause déterminante du préjudice (voir arrêt du 13 décembre 2018, Union européenne/ASPLA et Armando Álvarez, C‑174/17 P et C‑222/17 P, EU:C:2018:1015, point 23 et jurisprudence
citée).
56 Par ailleurs, il convient de rappeler que l’action en indemnité, fondée sur l’article 340, deuxième alinéa, TFUE, a été instituée comme une voie autonome, ayant sa fonction particulière dans le cadre du système des voies de recours et subordonnée à des conditions d’exercice conçues aux fins de son objet spécifique, de telle sorte que la déclaration d’irrecevabilité de la demande d’annulation n’entraîne pas automatiquement celle de la demande d’indemnisation (voir arrêt du 5 septembre 2019, Union
européenne/Guardian Europe et Guardian Europe/Union européenne, C‑447/17 P et C‑479/17 P, EU:C:2019:672, point 49 et jurisprudence citée).
57 Il s’ensuit que le rejet de la demande en annulation en raison de son irrecevabilité et le rejet de la demande en carence du fait qu’il n’y a plus lieu de statuer sur celle-ci, conformément aux points 35 et 43 ci-dessus, n’impliquent pas, par voie de conséquence, le rejet comme irrecevables des demandes en indemnité mentionnées au point 44 ci-dessus.
58 C’est à l’aune de ces considérations qu’il convient d’examiner les griefs invoqués par le requérant dans le cadre de ses demandes en indemnité.
Sur la première demande en indemnité, tendant à la réparation du préjudice moral résultant d’une violation du droit d’accès aux informations
59 Par sa première demande en indemnité, le requérant demande la condamnation de la Commission à lui verser la somme de 800 euros, en réparation du préjudice moral subi à la suite de la violation de son droit d’accès aux informations.
60 Tout d’abord, le requérant reproche à la Commission de ne pas avoir répondu à la demande d’informations du 1er avril 2022 dans le délai imparti et de ne pas lui avoir communiqué les motifs de son inaction, en violation de l’article 14, paragraphes 3 et 4, et de l’article 17, paragraphes 1 et 2, du règlement 2018/1725 ainsi que du principe de transparence, prévu à l’article 4, paragraphe 1, sous a), du même règlement. En outre, la Commission n’aurait pas respecté l’article 17, paragraphe 1,
sous c), et paragraphe 2, du règlement 2018/1725, dans la mesure où la déclaration relative à la protection de la vie privée, qui figure sur le site Internet de la CAE, ne contiendrait pas d’informations relatives au transfert de données à caractère personnel vers des pays tiers et à d’éventuelles garanties appropriées aux fins dudit transfert, comme cela serait exigé par l’article 48 dudit règlement. De plus, dans le courriel du 3 décembre 2021, la Commission aurait fourni des informations
erronées, dans la mesure où elle a nié le transfert de données à caractère personnel du requérant vers des destinataires situés aux États-Unis.
61 Ensuite, le requérant soutient que l’inaction fautive de la Commission l’a empêché de contrôler le traitement de ses données à caractère personnel, ce qui constitue un préjudice moral au sens du considérant 46 du règlement 2018/1725. Enfin, il fait valoir que ce préjudice moral, qu’il évalue à 800 euros, est directement causé par le comportement fautif de la Commission.
62 La Commission conteste ces arguments, en faisant valoir, en substance, qu’aucune des conditions d’engagement de la responsabilité non contractuelle n’est remplie en l’espèce.
63 Tout d’abord, s’agissant de la condition tenant à l’illégalité du comportement reproché, il convient de vérifier si le requérant a invoqué la violation de règles de droit ayant pour objet de conférer des droits aux particuliers.
64 À cet égard, il convient d’observer que l’article 17, paragraphe 1, sous c), du règlement 2018/1725 établit un droit d’accès de la personne concernée à des informations concernant les destinataires auxquels ses données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers. Cette disposition concrétise donc le principe, consacré à l’article 4, paragraphe 1, sous a), du règlement 2018/1725, selon lequel toute information et toute
communication relatives au traitement des données à caractère personnel doivent être aisément accessibles.
65 En outre, l’article 14, paragraphe 3, du règlement 2018/1725 fixe un délai d’un mois au responsable du traitement des données à caractère personnel pour répondre aux demandes d’information. De plus, l’article 14, paragraphe 4, de ce règlement impose au responsable du traitement des données à caractère personnel, dans le cas où il décide de ne pas donner suite à la demande, d’informer le demandeur, dans un délai d’un mois, des motifs de son inaction ainsi que de la possibilité d’introduire une
réclamation auprès du Contrôleur européen de la protection des données (CEPD) et de former un recours juridictionnel. Ces dispositions sont donc des règles de procédure administrative qui contribuent à la mise en œuvre du droit d’accès aux informations sur des données à caractère personnel de la personne concernée, en le concrétisant et le modulant. De plus, ces dispositions contribuent à la concrétisation du droit accordé à toute personne, en vertu de l’article 41 de la Charte, de voir son
affaire traitée dans un délai raisonnable par les institutions et les organes de l’Union.
66 Par conséquent, les dispositions de l’article 4, paragraphe 1, sous a), de l’article 14, paragraphes 3 et 4, et de l’article 17, paragraphe 1, sous c), du règlement 2018/1725, lues conjointement, constituent des règles de droit ayant pour objet de conférer des droits aux particuliers, au sens de la jurisprudence mentionnée au point 50 ci-dessus.
67 Ensuite, il convient d’examiner si une violation de ces dispositions par la Commission est établie en l’espèce.
68 D’une part, le requérant soutient que la Commission a violé l’article 17, paragraphe 1, sous c), et paragraphe 2, du règlement 2018/1725, dans la mesure où la déclaration relative à la protection de la vie privée qui figure sur le site Internet de la CAE ne contiendrait pas d’informations sur le transfert de données à caractère personnel à des destinataires établis dans des pays tiers, sur d’éventuelles garanties appropriées relatives audit transfert, ou sur l’identification des contractants en
tant que destinataires de ces données.
69 Ainsi qu’il est mentionné au point 64 ci-dessus, l’article 17, paragraphe 1, sous c), et paragraphe 2, du règlement 2018/1725 prévoit que la personne concernée a notamment le droit d’obtenir des informations sur les destinataires établis dans des pays tiers, auxquels les données à caractère personnel ont été communiquées, ainsi que sur les garanties appropriées concernant les transferts de données à ces destinataires.
70 Il s’ensuit que ces dispositions établissent un droit d’accès de la personne concernée à certaines informations, mais ne prévoient pas que lesdites informations doivent figurer obligatoirement sur un document donné, voire sur une déclaration relative à la protection de la vie privée, telle que celle qui figure sur le site Internet de la CAE. Autrement dit, il ne résulte pas de ces dispositions que les informations en cause doivent être divulguées par le biais de ladite déclaration. Cela étant, le
requérant, comme toute personne concernée, conserve le droit d’obtenir de telles informations par l’exercice de son droit d’accès aux informations, établi à l’article 17, paragraphe 1, sous c), et paragraphe 2, du règlement 2018/1725, question qui dépasse la portée de l’illégalité que le requérant reproche à la Commission, laquelle est limitée au contenu de la déclaration relative à la protection de la vie privée (voir point 68 ci-dessus).
71 En tout état de cause, en l’espèce, il résulte du libellé de ladite déclaration relative à la protection de la vie privée, annexée à la requête, que celle-ci contient des informations concernant les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées. Ainsi, il est notamment mentionné au point 7 de ladite déclaration que l’accès aux données est « accordé au personnel autorisé de la [Commission] et à ses contractants chargés
d’effectuer l’opération de traitement dont il est question, conformément au principe du “besoin d’en connaître” ». En outre, l’argument du requérant tiré de ce que ladite déclaration ne contiendrait pas d’informations sur le transfert de données à caractère personnel à des destinataires établis dans des pays tiers est fondé sur l’hypothèse selon laquelle la consultation du site Internet de la CAE implique un transfert de données à caractère personnel des utilisateurs vers un pays tiers.
Cependant, la présente demande en indemnité est fondée sur la violation du droit d’accès aux informations et non sur celle des dispositions concernant le transfert de données à caractère personnel vers des pays tiers qui, d’ailleurs, est à la base de la seconde demande en indemnité.
72 Partant, il n’est pas démontré en l’espèce que la Commission a violé l’article 17, paragraphe 1, sous c), et paragraphe 2, du règlement 2018/1725, en ce qui concerne la déclaration relative à la protection de la vie privée qui figure sur le site Internet de la CAE.
73 D’autre part, le requérant reproche à la Commission de ne pas avoir répondu à la demande d’informations du 1er avril 2022 dans le délai imparti et de ne pas l’avoir informé des motifs de son inaction, en violation de l’article 14, paragraphes 3 et 4, et de l’article 17, paragraphes 1 et 2, du règlement 2018/1725 ainsi que du principe de transparence. De plus, la Commission lui aurait communiqué des informations erronées dans le courriel du 3 décembre 2021.
74 Il convient d’observer d’emblée que le requérant n’avance aucun argument concret à l’appui d’une violation du principe de transparence. Cet argument n’a donc pas de contenu autonome par rapport au grief tiré du non-respect du délai de réponse à la demande d’informations et de l’obligation de communiquer les motifs du dépassement de ce délai.
75 En outre, les arguments du requérant tirés d’une violation de l’article 17, paragraphes 1 et 2, du règlement 2018/1725 ainsi que du fait que la Commission lui aurait communiqué des informations erronées dans le courriel du 3 décembre 2021 sont fondés sur l’hypothèse selon laquelle la consultation du site Internet de la CAE implique un transfert de données à caractère personnel des utilisateurs vers un pays tiers. Or, ainsi que cela est mentionné au point 71 ci-dessus, la présente demande en
indemnité est fondée sur la violation du droit d’accès aux informations et non sur celle des dispositions concernant le transfert de données à caractère personnel vers des pays tiers qui est à la base de la seconde demande en indemnité.
76 Partant, il n’est pas démontré en l’espèce que la Commission a violé l’article 17, paragraphes 1 et 2, du règlement 2018/1725.
77 En ce qui concerne le grief du requérant tiré d’une violation de l’article 14, paragraphes 3 et 4, du règlement 2018/1725, il résulte du dossier que la Commission a répondu à la demande d’informations du 9 novembre 2021 dans le délai d’un mois prévu à l’article 14, paragraphe 3, du règlement 2018/1725 (voir points 5 et 7 ci-dessus). En ce qui concerne la demande d’informations du 1er avril 2022, la Commission a informé le requérant, par courriel du 30 juin 2022, qu’elle estimait que la demande
d’informations du 1er avril 2022 était quasiment identique à la demande d’informations du 9 novembre 2021 et qu’elle avait déjà répondu à cette dernière par son courriel du 3 décembre 2021 (voir point 11 ci-dessus).
78 Il s’ensuit que, en ce qui concerne la demande d’informations du 1er avril 2022, la Commission n’a pas respecté le délai d’un mois, prévu à l’article 14, paragraphe 4, du règlement 2018/1725 (voir point 65 ci-dessus).
79 Il résulte des points 68 à 78 ci-dessus que la seule illégalité reprochée à la Commission qui est établie en l’espèce est celle du non-respect du délai prévu à l’article 14, paragraphe 4, du règlement 2018/1725.
80 Dans ces circonstances, et indépendamment de la question de savoir si le non-respect dudit délai par la Commission constitue une violation suffisamment caractérisée d’une règle de droit, il convient d’examiner d’emblée si le non-respect de ce délai a occasionné pour le requérant un dommage moral réel et certain, au sens de la jurisprudence rappelée au point 54 ci-dessus.
81 S’agissant de la réalité du préjudice moral prétendument subi, il convient de rappeler que, si la présentation d’une offre de preuve n’est pas nécessairement considérée comme une condition de la reconnaissance d’un préjudice moral, il incombe tout au moins à la partie requérante d’établir que le comportement reproché à l’institution concernée était de nature à lui causer un tel préjudice (arrêt du 16 juillet 2009, SELEX Sistemi Integrati/Commission, C‑481/07 P, non publié, EU:C:2009:461,
point 38 ; voir, également, arrêt du 2 juillet 2019, Fulmen/Conseil, T‑405/15, EU:T:2019:469, point 188 et jurisprudence citée).
82 En l’espèce, le requérant demande la réparation d’un préjudice moral d’un montant de 800 euros, en alléguant que le comportement reproché à la Commission l’a empêché de contrôler le traitement de ses données à caractère personnel.
83 Cependant, force est de constater qu’un tel préjudice moral n’est pas démontré en l’espèce. En effet, la seule illégalité établie en l’espèce est celle du non-respect, par la Commission, du délai d’un mois prévu à l’article 14, paragraphe 4, du règlement 2018/1725 (voir point 79 ci-dessus). Or, ce délai n’a pas été dépassé de plus de deux mois (voir point 77 ci-dessus). De plus, les demandes d’informations du 9 novembre 2021 et du 1er avril 2022 étaient fondamentalement les mêmes (voir points 5
et 8 ci-dessus), de sorte que le requérant avait déjà reçu une réponse à une partie, au moins, de sa demande d’informations le 3 décembre 2021, date à laquelle la Commission a répondu à la demande d’informations du 9 novembre 2021 (voir point 7 ci-dessus).
84 Par ailleurs, l’argument du requérant tiré de la communication d’informations erronées (voir point 75 ci-dessus) concerne le bien-fondé des informations et non le respect de la règle de procédure dont la violation a été établie au point 78 ci-dessus et n’est donc pas pertinent pour démontrer le préjudice moral invoqué.
85 Il s’ensuit qu’il n’est pas démontré que le non-respect, par la Commission, du délai prévu à l’article 14, paragraphe 4, du règlement 2018/1725 était de nature à causer au requérant le préjudice moral allégué.
86 Par conséquent, dès lors que l’une des conditions cumulatives d’engagement de la responsabilité non contractuelle de l’Union, prévues à l’article 340, deuxième alinéa, TFUE, fait défaut, il y a lieu de rejeter la première demande en indemnité du requérant.
Sur la seconde demande en indemnité, tendant à la réparation du préjudice moral résultant des transferts litigieux
87 Par sa seconde demande en indemnité, le requérant demande le versement de 400 euros en réparation du préjudice moral qu’il aurait subi du fait des transferts litigieux mentionnés aux points 26 à 28 ci-dessus, à savoir le transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022, le transfert litigieux lors de la connexion à EU Login du 30 mars 2022 et le transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022.
88 Le requérant soutient, en substance, que les transferts litigieux ont eu lieu vers des destinataires établis aux États-Unis, pays qui n’a pas un niveau de protection adéquat. La Commission n’aurait fait état d’aucune des garanties appropriées pouvant justifier ces transferts, prévues au chapitre V du règlement 2018/1725, et aurait donc violé l’article 46 et l’article 48, paragraphe 1, et paragraphe 2, sous b), de ce règlement ainsi que les articles 7, 8 et 47 de la Charte. Les transferts
litigieux auraient donné lieu à un risque d’accès aux données du requérant par les services de sécurité et de renseignement de ce pays et, par conséquent, lui auraient causé un préjudice moral, au sens du considérant 46 du règlement 2018/1725, en ce qu’il a été privé de ses droits et libertés et empêché d’exercer le contrôle sur ses données.
89 La Commission conteste ces arguments, en faisant valoir, en substance, que les conditions d’engagement de la responsabilité non contractuelle ne sont pas remplies en l’espèce.
– Considérations liminaires sur les dispositions concernant le transfert de données à caractère personnel vers un pays tiers
90 En premier lieu, il convient d’observer que, aux termes de son article 2, paragraphe 5, le règlement 2018/1725 s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier.
91 En deuxième lieu, il convient d’interpréter la notion de « données à caractère personnel » comme correspondant à toute information se rapportant à une personne physique identifiée ou identifiable, conformément à l’article 3, point 1, du règlement 2018/1725.
92 En troisième lieu, il convient d’observer que le transfert de données constitue une opération de « traitement » de données au sens de l’article 3, point 3, du règlement 2018/1725.
93 En quatrième lieu, il y a lieu d’observer que les « transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales » sont régis par le chapitre V du règlement 2018/1725, lequel néanmoins ne les définit pas.
94 Cependant, il ressort du considérant 63 du règlement 2018/1725 que les transferts visés par les dispositions du chapitre V de ce règlement concernent les données à caractère personnel transférées au départ des institutions et des organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales.
95 De plus, il résulte d’une interprétation systématique du règlement 2018/1725 que le transfert de données à caractère personnel vers des pays tiers, au sens de son article 46, exige, en premier lieu, que le responsable du traitement des données en cause appartienne à une institution ou à un organe de l’Union et soit donc soumis audit règlement (article 1er du règlement 2018/1725) ; en deuxième lieu, que le responsable du traitement mette, par transmission ou d’une autre manière, des données à
caractère personnel à la disposition d’un destinataire, notamment d’une autre personne physique ou morale (article 3, points 3 et 13, du règlement 2018/1725) et, en troisième lieu, que ce destinataire soit établi dans un pays tiers (article 46 du règlement 2018/1725), c’est-à-dire un pays qui n’est membre ni de l’Union ni de l’Espace économique européen (EEE).
96 En cinquième lieu, il convient de constater que les dispositions du chapitre V du règlement 2018/1725 visent à préserver, lors des transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union, conformément à l’objectif précisé à son considérant 63.
97 En sixième lieu, l’article 46 du règlement 2018/1725 prévoit un principe général selon lequel un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions de ce règlement, les conditions définies dans son chapitre V sont respectées par le responsable du traitement et le sous-traitant.
98 En septième lieu, s’agissant des conditions définies dans le chapitre V du règlement 2018/1725, il convient d’observer que l’article 47, paragraphe 1, de ce règlement prévoit qu’un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé, par la voie d’une décision d’adéquation adoptée, notamment, en vertu de l’article 45, paragraphe 3, du règlement 2016/679, que le pays ou l’organisation internationale en
question assure un niveau de protection adéquat et que le transfert de données à caractère personnel a lieu exclusivement pour permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.
99 À cet égard, il convient de rappeler que les deux décisions d’adéquation de la Commission concernant les États-Unis ont été déclarées invalides. D’une part, par l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), la Cour a déclaré invalide la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les
questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7). D’autre part, par l’arrêt Schrems II, la Cour a déclaré invalide la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1).
100 Il s’ensuit que, à la date des transferts litigieux, aucune décision d’adéquation, au sens de l’article 47 du règlement 2018/1725, n’existait en ce qui concerne les États-Unis.
101 En l’absence d’une décision d’adéquation de la Commission concernant les États-Unis, l’article 48, paragraphe 1, du règlement 2018/1725, selon lequel le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut se faire que si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives, est applicable.
102 Les garanties appropriées visées à l’article 48, paragraphe 1, du règlement 2018/1725, énumérées à l’article 48, paragraphes 2 et 3, de ce règlement, peuvent être fournies notamment par des clauses types de protection de données, adoptées par la Commission, conformément à l’article 48, paragraphe 2, sous b), de ce règlement.
103 Cependant, les clauses types de protection de données prévues à l’article 48, paragraphe 2, sous b), du règlement 2018/1725 peuvent nécessiter l’adoption de mesures supplémentaires afin d’assurer le respect du niveau de protection appropriée, au regard du droit de l’Union (voir, par analogie, arrêt Schrems II, points 133 et 134).
104 En outre, les garanties appropriées visées à l’article 48, paragraphe 1, du règlement 2018/1725 peuvent être fournies notamment par des clauses contractuelles, prévues à l’article 48, paragraphe 3, sous a), dudit règlement, conclues entre, d’une part, le responsable du traitement ou le sous-traitant et, d’autre part, le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers, sous réserve de l’autorisation du CEPD.
105 Par ailleurs, il convient de rappeler que les articles 7, 8 et 47 de la Charte établissent, respectivement, le droit au respect de la vie privée, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial.
106 En l’espèce, il convient d’observer d’emblée que la seconde demande en indemnité du requérant est fondée sur une violation, par la Commission, des dispositions de l’article 46 et de l’article 48, paragraphe 1, et paragraphe 2, sous b), du règlement 2018/1725 ainsi que des articles 7, 8 et 47 de la Charte. Or, il résulte des points 91 à 105 ci-dessus que lesdites dispositions du règlement 2018/1725 concrétisent des droits fondamentaux, tels que ceux établis aux articles 7 et 8 de la Charte, et
visent dans leur ensemble à assurer la continuité du niveau élevé de protection des données à caractère personnel dans le cas de transfert de ces données vers des pays tiers ou des organisations internationales.
107 Il s’ensuit que les dispositions dont la violation est invoquée par le requérant à l’appui de sa seconde demande en indemnité visent à protéger l’intérêt individuel des personnes concernées et constituent ainsi des règles de droit ayant pour objet de conférer des droits aux particuliers, au sens de la jurisprudence rappelée au point 50 ci-dessus.
108 Il y a désormais lieu de vérifier si les conditions d’engagement de la responsabilité non contractuelle de la Commission sont remplies pour chacun des trois transferts litigieux mentionnés au point 87 ci-dessus.
109 Étant donné que les transferts litigieux mentionnés aux points 26 et 28 ci-dessus auraient eu lieu en raison de l’utilisation, par le site Internet de la CAE, du réseau de diffusion de contenu ou « RDC » (en anglais, « content delivery network » ou « CDN ») dénommé Amazon CloudFront (ci-après le « service Amazon CloudFront »), il convient d’abord de rechercher les conditions de fonctionnement de ce service dans le cadre de ce site Internet.
– Sur le fonctionnement du service Amazon CloudFront dans le cadre du site Internet de la CAE
110 En l’espèce, il est constant que le site Internet de la CAE utilise le réseau de diffusion de contenu Amazon CloudFront et que ce réseau est activé lors de chaque consultation dudit site Internet par un utilisateur.
111 Il résulte du dossier, notamment des réponses des parties à la mesure d’organisation de la procédure du 21 juillet 2023 ainsi que de leurs plaidoiries et réponses lors de l’audience du 17 octobre 2023, que, en premier lieu, le service Amazon CloudFront est un service Internet qui accélère la distribution des contenus Internet, en l’espèce du contenu du site Internet de la CAE, aux utilisateurs. Le service Amazon CloudFront diffuse le contenu au travers d’un réseau mondial de serveurs ou de
centres de données appelés « emplacements périphériques » ou « serveurs périphériques ».
112 En deuxième lieu, le service Amazon CloudFront est fondé sur un mécanisme de routage qui dirige la demande d’un utilisateur du site Internet de la CAE vers le serveur périphérique qui fournit le temps de latence le plus faible, selon un principe de proximité avec le terminal de l’utilisateur, afin que le contenu soit transmis à l’utilisateur dans les meilleures conditions possibles. Si, en raison notamment de difficultés techniques, le serveur périphérique présentant la latence la plus faible
n’est pas disponible, la connexion est établie avec celui ayant la deuxième latence la plus faible et ainsi de suite.
113 En troisième lieu, le service Amazon CloudFront est utilisé pour le site Internet de la CAE sur la base du contrat no 2020-1742, signé entre la Commission et AWS EMEA, celle-ci étant une filiale détenue par l’entreprise de droit américain Amazon.com et ayant son siège social au Luxembourg (voir point 12 ci-dessus).
114 En quatrième lieu, dans le cadre de ce contrat, la Commission a opté, en ce qui concerne le site Internet de la CAE, pour la zone géographique dénommée « Amérique du Nord (États-Unis, Mexique, Canada), Europe et Israël ». Cela signifie que la diffusion du contenu de ce site Internet n’est pas faite à travers le réseau mondial d’emplacements périphériques d’Amazon CloudFront, mais uniquement à travers ceux qui se situent dans les zones géographiques susmentionnées, à savoir aux États-Unis, au
Mexique, au Canada, en Europe et en Israël.
115 En cinquième lieu, en raison du principe de proximité mentionné au point 112 ci-dessus, les demandes de consultation du site Internet de la CAE par des utilisateurs de l’Union sont habituellement dirigées vers des serveurs périphériques du réseau Amazon CloudFront situés dans ce territoire, tandis que les cas où ces demandes sont dirigées vers des serveurs hors de l’Union sont rares.
116 En sixième lieu, en ce qui concerne l’infrastructure du réseau d’emplacements périphériques d’Amazon CloudFront, il ressort du dossier qu’elle est fournie par un ensemble d’entreprises, dont certaines appartiennent au groupe Amazon et d’autres sont des entreprises tierces et dont la liste peut être consultée sur le site Internet d’Amazon Web Services, en fonction de la zone géographique concernée. Pour ce qui est de la zone géographique dénommée « Amérique du Nord (États-Unis, Mexique, Canada),
Europe et Israël », les entreprises concernées sont établies tant dans des États membres de l’Union qu’en dehors de l’Union, notamment aux États-Unis, en Israël, au Mexique, en Suisse ou au Royaume-Uni. Chaque entreprise exploite des serveurs dans le pays où elle est établie et, par conséquent, la localisation géographique des serveurs qui sont impliqués dans la prestation du service Amazon CloudFront dépend aussi de la localisation des entreprises concernées.
117 En septième lieu, les clauses du contrat entre la Commission et AWS EMEA prévoient, notamment, ce qui suit :
– AWS EMEA doit être en mesure de garantir que les données restent au repos et en transit sur le territoire de l’EEE (section 11.2 du contrat) ;
– AWS EMEA n’est pas autorisée à changer la localisation du traitement de données sans autorisation préalable de la Commission [section 12.2.3(a) du contrat] ;
– tout transfert de données à caractère personnel en vertu du contrat vers des pays tiers ou des organisations internationales doit être pleinement conforme aux exigences énoncées au chapitre V du règlement 2018/1725 [section 12.2.3(b) du contrat] ;
– AWS EMEA ne peut transférer aucune donnée personnelle vers un pays situé en dehors de l’EEE, à moins que la Commission n’ait donné son autorisation écrite préalable à un tel transfert et que le transfert ait lieu dans le respect des conditions dudit chapitre V (section 1.8.9 du contrat) ;
– AWS EMEA doit transmettre à la Commission toute demande d’accès aux données à caractère personnel et elle doit utiliser toutes les voies de recours disponibles contre ces demandes (sections 1.8.3, 1.8.4 et 1.8.5 du contrat) ;
– AWS EMEA doit s’assurer que ces mesures sont également mises en œuvre en cas de recours à des sous-traitants (section 1.8.8 du contrat).
118 En huitième lieu, la Commission a consulté le CEPD sur les clauses contractuelles susmentionnées, mais elles n’ont pas fait l’objet d’une autorisation formelle de celui-ci, au titre de l’article 48, paragraphe 3, sous a), du règlement 2018/1725.
– Transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022
119 Le requérant soutient, en substance, que, lors de la consultation du site Internet de la CAE du 30 mars 2022, il a constaté que certaines données à caractère personnel lui appartenant, en particulier son adresse IP et des informations sur son navigateur et son terminal, avaient été transférées vers les États-Unis. En effet, premièrement, ledit site Internet utiliserait un réseau de diffusion de contenu dénommé « Amazon CloudFront », dont l’opérateur serait Amazon Web Services, une entreprise
américaine filiale de l’entreprise américaine Amazon.com. Deuxièmement, lors de cette consultation, des données à caractère personnel du requérant auraient été envoyées au service Amazon CloudFront, plus précisément au serveur d’Amazon.com localisé à Seattle (Washington, États-Unis), dont l’adresse IP serait 18.66.192.74. Troisièmement, la clé de sécurité utilisée par le site Internet de la CAE (dénommée « certificat SSL ») aurait été fournie par Amazon, raison pour laquelle il conviendrait de
présumer que celle-ci avait la possibilité de décrypter l’ensemble des données à caractère personnel du requérant transférées vers ses serveurs, y compris ses opinions sur l’avenir de l’Europe. Quatrièmement, l’entreprise qui fournit le service Amazon CloudFront serait soumise aux lois américaines et serait donc obligée de communiquer des informations aux services de sécurité et de surveillance des États-Unis, et cela même dans le cas où les serveurs seraient localisés en dehors de ce pays. De
plus, la Commission n’aurait pas adopté de « mesures supplémentaires », au sens de l’arrêt Schrems II, afin de garantir un niveau de protection adéquat des données transférées vers les États-Unis.
120 La Commission conteste ces arguments.
121 En ce qui concerne la consultation du site Internet de la CAE du 30 mars 2022, il résulte du dossier que le requérant a consulté ce site Internet à cette date (voir point 3 ci-dessus) et que, lors de cette consultation, une transmission de son adresse IP et des informations sur son navigateur et son terminal a eu lieu.
122 À cet égard, il importe de constater que l’adresse IP doit être qualifiée de donnée à caractère personnel, au sens de l’article 3, point 1, du règlement 2018/1725, puisqu’elle remplit les deux conditions qui y sont prévues. D’une part, cette information se rapporte à une personne physique et, d’autre part, elle se rapporte à une personne identifiée ou identifiable, en l’espèce le requérant (arrêt du 26 avril 2023, CRU/CEPD, T‑557/20, sous pourvoi, EU:T:2023:219, point 59 ; voir également, en ce
sens et par analogie, arrêts du 24 novembre 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, point 51, et du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 49). En effet, même les adresses IP dites « dynamiques », qui sont par nature changeantes, correspondent à une identité précise à un moment donné, qui, en l’espèce, coïncide avec le moment où la consultation du site Internet de la CAE a eu lieu.
123 Il est également démontré que le transfert de données mentionné au point 121 ci-dessus a été lancé par le site Internet de la CAE, à travers le service Amazon CloudFront, vers un serveur dont l’adresse IP est 18.66.192.74.
124 Il est encore démontré que, au moment des faits, l’adresse IP 18.66.192.74 était attribuée à un serveur localisé à Munich (Allemagne) et que ce serveur appartenait à l’entreprise A 100 ROW GmbH, qui était établie en Allemagne et faisait partie de la liste d’entreprises mentionnée au point 116 ci-dessus.
125 Il s’ensuit que, certes, lors de la consultation du site Internet de la CAE du 30 mars 2022, il y a eu un transfert de données à caractère personnel, au sens de l’article 3, point 1, du règlement 2018/1725, du requérant, notamment de son adresse IP.
126 Toutefois, il n’est pas démontré en l’espèce que, lors de la consultation du site Internet de la CAE du 30 mars 2022, il y a eu un transfert de données à caractère personnel du requérant vers un pays tiers et, en particulier, vers les États-Unis.
127 En revanche, il résulte des points 121 à 124 ci-dessus que, lors de la consultation du site Internet de la CAE du 30 mars 2022, le transfert de données à caractère personnel du requérant a été lancé par le site Internet de la CAE, à travers le service Amazon CloudFront, vers un serveur localisé à Munich. Ledit serveur appartenait à une entreprise établie en Allemagne, qui faisait partie du réseau de prestataires de l’infrastructure du service Amazon CloudFront, lequel est fourni à la Commission
sur la base d’un contrat avec AWS EMEA, entreprise établie au Luxembourg.
128 Il s’ensuit que, lors de la consultation du site Internet de la CAE du 30 mars 2022, les données à caractère personnel du requérant ont été transmises à un destinataire établi dans l’Union.
129 En outre, même en admettant que les données à caractère personnel du requérant n’aient pas quitté le territoire de l’Union, ces données ont quand même été transférées à un serveur qui appartient au réseau d’emplacements périphériques du service Amazon CloudFront, lequel couvre, en ce qui concerne la diffusion du contenu du site Internet de la CAE, un réseau d’emplacements périphériques qui ne se limite pas au territoire de l’EEE, mais qui va au-delà de celui-ci (voir point 116 ci-dessus).
130 Toutefois, les circonstances concrètes décrites au point 127 ci-dessus ne démontrent pas l’existence d’un transfert de données à caractère personnel vers des destinataires établis en dehors du territoire de l’EEE, notamment aux États-Unis.
131 Le transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022 ne correspond donc pas à un transfert de données à caractère personnel vers un pays tiers, au sens de l’article 46 du règlement 2018/1725, étant donné que le concept de transfert vers un pays tiers exige que les données à caractère personnel soient mises à la disposition d’un destinataire établi en dehors de l’EEE (voir point 93 ci-dessus).
132 L’argument du requérant tiré du fait qu’AWS EMEA serait obligée, en tant que filiale d’une entreprise américaine, de transmettre des données à caractère personnel aux autorités américaines, même quand ces données sont stockées sur le territoire de l’Union, ne remet pas en cause cette conclusion.
133 S’il est certes vrai que l’accès à des données à caractère personnel traitées dans l’EEE par les autorités d’un pays tiers en vertu de la législation de ce pays constitue un transfert de données à caractère personnel vers un pays tiers, au sens de l’article 46 du règlement 2018/1725, il n’en demeure pas moins que, en l’espèce, il n’est pas établi qu’un tel accès a eu lieu. En effet, le requérant n’a ni démontré ou allégué l’existence d’une transmission aux autorités américaines d’une quelconque
donnée à caractère personnel lui appartenant, ni démontré ou allégué l’existence d’une demande de ces autorités concernant les données qui ont été transférées audit serveur d’Amazon CloudFront, localisé à Munich.
134 Partant, l’argument du requérant ne porte pas sur une violation directe des dispositions du chapitre V du règlement 2018/1725, mais uniquement sur le risque d’une telle violation, dans l’hypothèse où AWS EMEA, en raison de sa qualité de filiale d’une entreprise américaine, ne serait pas en mesure de s’opposer à une demande des autorités américaines portant sur l’accès à des données stockées dans des serveurs localisés sur le territoire de l’EEE.
135 Or, le seul risque d’accès à des données à caractère personnel par un pays tiers ne saurait correspondre à un transfert de données, au sens de l’article 46 du règlement 2018/1725, tel qu’interprété au point 93 ci-dessus, puisqu’il n’est pas démontré qu’il y a eu une transmission ou mise à la disposition d’un destinataire établi dans un pays tiers d’une autre manière des données à caractère personnel du requérant. Autrement dit, le risque d’une violation dudit article 46 ne saurait être assimilé
à une violation directe de cette disposition.
136 De plus, il convient de rappeler que, dans le cadre de la présente demande en indemnité, l’examen du Tribunal porte sur la vérification des conditions d’engagement de la responsabilité non contractuelle de la Commission et notamment sur la condition tenant à l’illégalité du comportement de la Commission, laquelle exige qu’une violation suffisamment caractérisée des dispositions du règlement 2018/1725 et de la Charte invoquées par le requérant soit établie.
137 À cet égard, le seul risque d’une violation des dispositions du chapitre V du règlement 2018/1725 ne saurait, en tout état de cause, suffire à établir un comportement fautif de la Commission, correspondant à une violation suffisamment caractérisée de ces dispositions.
138 Cette conclusion n’est pas remise en cause par l’argument du requérant tiré de l’arrêt Schrems II. En effet, il convient d’observer que, dans cet arrêt, la Cour s’est prononcée sur certaines des conditions dans lesquelles peuvent avoir lieu des transferts de données à caractère personnel vers les États-Unis et non sur celles dans lesquelles de telles données peuvent être traitées, sur le territoire de l’EEE, par des filiales de sociétés de droit américain, telles qu’AWS EMEA.
139 Il résulte de tout ce qui précède que, s’agissant du transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022, le requérant n’a pas démontré que la Commission avait commis une violation suffisamment caractérisée, au sens de la jurisprudence rappelée au point 50 ci-dessus, des dispositions de l’article 46 et de l’article 48, paragraphe 1, et paragraphe 2, sous b), du règlement 2018/1725 ainsi que des articles 7, 8 et 47 de la Charte.
140 Par conséquent, dès lors que l’une des conditions cumulatives d’engagement de la responsabilité non contractuelle de l’Union, prévues à l’article 340, deuxième alinéa, TFUE, fait défaut, il y a lieu de rejeter la seconde demande en indemnité en ce qui concerne le transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022, sans qu’il soit besoin d’examiner les autres arguments du requérant.
– Transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022
141 Le requérant soutient que, lors des consultations du site Internet de la CAE du 8 juin 2022, un transfert de ses données à caractère personnel, notamment de son adresse IP, s’est produit vers des serveurs d’Amazon CloudFront situés aux États-Unis. Selon le requérant, ces transferts ne découlent pas de son activité en tant qu’utilisateur du site Internet, mais sont le résultat du fonctionnement du service Amazon CloudFront, dans le cadre duquel le risque de transfert de données vers les
États-Unis est inhérent à l’infrastructure mondiale sur laquelle repose ce service. La situation du requérant ne serait pas différente de celle d’un citoyen de l’Union qui consulte le site Internet de la CAE lors, par exemple, d’un déplacement professionnel aux États-Unis. La Commission ne ferait pas preuve de toute la diligence requise afin d’éviter les transferts de données vers les États-Unis, dès lors qu’elle aurait opté pour un réseau de diffusion de contenu appuyé sur une structure de
niveau mondial, à la place d’une solution d’hébergement purement européenne.
142 Selon le requérant, ledit transfert de données à caractère personnel lui aurait causé un préjudice moral, au sens du considérant 46 du règlement 2018/1725, dans la mesure où il a perdu le contrôle de ses données, qui ont été transférées vers les États-Unis et soumises à une surveillance illégale par les autorités américaines, et a été privé de ses droits et libertés.
143 La Commission conteste ces arguments.
144 À titre liminaire et compte tenu de l’argumentation du requérant, il convient de rappeler que, dans le cadre de la présente demande en indemnité, l’examen du Tribunal ne porte pas directement sur la légalité de la décision de la Commission d’utiliser le service Amazon CloudFront pour la diffusion du contenu du site Internet de la CAE, mais sur la vérification des conditions d’engagement de la responsabilité non contractuelle de la Commission en ce qui concerne le transfert litigieux lors des
consultations du site Internet de la CAE du 8 juin 2022.
145 En espèce, le Tribunal estime opportun de traiter d’emblée la condition relative à l’existence d’un lien de causalité entre le prétendu comportement fautif de la Commission et le préjudice moral invoqué.
146 Il résulte de la jurisprudence rappelée au point 55 ci-dessus que la condition relative au lien de causalité porte sur l’existence d’un lien suffisamment direct de cause à effet entre le comportement reproché à l’institution et le dommage, lien dont il appartient au requérant d’apporter la preuve, de telle sorte que le comportement reproché doit être la cause déterminante du préjudice.
147 De plus, il résulte de la jurisprudence que le lien de causalité requis pour l’engagement de la responsabilité non contractuelle de l’Union au sens de l’article 340, deuxième alinéa, TFUE est constitué dès lors que le préjudice est la conséquence directe de l’acte fautif en cause (arrêt du 28 juin 2007, Internationaler Hilfsfonds/Commission, C‑331/05 P, EU:C:2007:390, point 23).
148 S’agissant du caractère direct du lien de causalité, le Tribunal a déjà jugé que le dommage doit résulter directement de l’illégalité invoquée et non d’un choix du requérant quant à la manière de réagir à l’acte prétendument illégal. Il a ainsi été considéré que le simple fait que le comportement illégal ait constitué une condition nécessaire (conditio sine qua non) à la survenance du dommage, en ce sens que celui-ci ne se serait pas produit en l’absence de ce comportement, ne suffit pas à
établir un lien de causalité suffisamment direct au sens de la jurisprudence de l’Union (voir, en ce sens et par analogie, arrêts du 30 novembre 2011, Transnational Company « Kazchrome » et ENRC Marketing/Conseil et Commission, T‑107/08, EU:T:2011:704, point 80 et jurisprudence citée, et du 23 mai 2019, Remag Metallhandel et Jaschinsky/Commission, T‑631/16, non publié, EU:T:2019:352, point 52 et jurisprudence citée).
149 Il résulte ainsi de la jurisprudence qu’un tel lien de causalité n’est pas démontré quand le préjudice invoqué est la conséquence directe de la propre décision ou du libre choix du requérant et ne peut, par conséquent, être imputé à l’institution ou l’organe concerné (voir, en ce sens et par analogie, arrêts du 28 juin 2007, Internationaler Hilfsfonds/Commission, C‑331/05 P, EU:C:2007:390, points 22 à 29 ; du 17 février 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, points 31 et 32, et du 28 février
2018, Vakakis kai Synergates/Commission, T‑292/15, EU:T:2018:103, point 173 et jurisprudence citée).
150 En l’espèce, il y a donc lieu de rechercher si le comportement reproché à la Commission, à savoir l’utilisation du service Amazon CloudFront comme réseau de diffusion de contenu du site Internet de la CAE, est la cause directe du préjudice moral invoqué, consistant en une perte du contrôle sur les données à caractère personnel du requérant qui auraient fait l’objet d’un transfert vers les États-Unis lors de ses consultations dudit site Internet du 8 juin 2022.
151 À cet égard, premièrement, il résulte du dossier ainsi que des réponses des parties aux questions posées lors de l’audience que, le 8 juin 2022, le requérant était à Munich et qu’il a consulté plusieurs fois le site Internet de la CAE. Lors de ces consultations, l’adresse IP du requérant a établi des connexions successives à différents serveurs du service Amazon CloudFront, géographiquement très éloignés les uns des autres. Ainsi, elle s’est connectée à 7 h 13 à un serveur situé à Munich,
à 11 h 13 à un serveur situé à Londres (Royaume-Uni), à 12 h 56 à un serveur situé à Hillsboro (Oregon, États-Unis), à 13 h 05 à un serveur situé à Newark et à 19 h 12 à un serveur localisé à Francfort-sur-le-Main (Allemagne).
152 Deuxièmement, il résulte du dossier que l’adresse IP du requérant a été transférée aux différents serveurs du service Amazon CloudFront mentionnés au point 151 ci-dessus, y compris à ceux localisés aux États-Unis.
153 Troisièmement, il convient de rappeler que l’adresse IP du requérant constitue une donnée à caractère personnel.
154 Quatrièmement, il convient d’observer que, le 8 juin 2022, le site Internet de la CAE a comptabilisé 4548 accès et 18 adresses IP différentes. Parmi celles-ci, une seule adresse IP, à savoir celle du requérant, a établi une connexion avec des serveurs situés en dehors de l’Union, à savoir aux États-Unis et au Royaume-Uni. À cet égard, il convient d’observer qu’il n’a pas été démontré ni même allégué que, le 8 juin 2022, le service Amazon CloudFront pour le site Internet de la CAE aurait eu des
problèmes techniques ou d’une autre nature, de sorte à empêcher le fonctionnement normal de son mécanisme de routage selon le principe de proximité, lequel dirige les demandes des utilisateurs du site Internet de la CAE vers le serveur périphérique qui fournit la latence la plus faible selon l’emplacement géographique de l’utilisateur (voir point 112 ci-dessus).
155 Cinquièmement, s’agissant des circonstances entourant les connexions établies par l’adresse IP du requérant à des serveurs situés aux États-Unis, d’une part, il ressort du dossier ainsi que des réponses des parties lors de l’audience que le requérant soutient que ces connexions étaient le résultat du fonctionnement d’Amazon CloudFront et non d’une quelconque manipulation qu’il aurait réalisée. D’autre part, la Commission observe que ces connexions étaient atypiques et ne peuvent être expliquées
que par une manipulation technique de la part du requérant.
156 À cet égard, il convient de constater que les circonstances décrites au point 151 ci-dessus démontrent que les différentes localisations des serveurs auxquels s’est connectée l’adresse IP du requérant ne pourraient résulter des déplacements physiques du requérant dans la même journée, lesquels seraient impossibles eu égard aux distances et aux intervalles de temps en cause. De plus, aucun dysfonctionnement du service Amazon CloudFront n’a été démontré ni même allégué, ce qui permet de conclure
que, le 8 juin 2022, ce service fonctionnait selon le principe de proximité avec le terminal de l’utilisateur, son mécanisme de routage dirigeant les demandes des utilisateurs du site Internet de la CAE vers le serveur périphérique qui fournissait le temps de latence le plus faible (voir point 154 ci-dessus).
157 Dans ces circonstances, les connexions de l’adresse IP du requérant à des serveurs localisés aux États-Unis alors qu’il se trouvait en Allemagne ne sauraient résulter du fonctionnement normal du service Amazon CloudFront, mais plutôt d’un réglage technique effectué par le requérant afin de modifier sa localisation apparente, en se présentant dans le domaine numérique comme s’il se trouvait dans la même journée successivement à des endroits proches de Munich, de Londres, de Hillsboro, de Newark
et de Francfort-sur-le-Main.
158 Il s’ensuit que, certes, c’est le fonctionnement du service Amazon CloudFront, avec son mécanisme de routage qui fonctionne selon le principe de proximité et qui couvre une zone géographique plus large que le territoire de l’EEE, comprenant notamment les États-Unis (voir points 112 et 114 ci-dessus), qui a permis que, lors des consultations du site Internet de la CAE, l’adresse IP du requérant ait établi des connexions à des serveurs d’Amazon CloudFront localisés aux États-Unis.
159 Toutefois, bien que l’utilisation, par la Commission, du service Amazon CloudFront soit une condition nécessaire de la survenance des transferts de données à caractère personnel vers les États-Unis, mentionnés au point 152 ci-dessus, cette circonstance ne suffit pas, dans les conditions de l’espèce, à établir un lien de causalité suffisamment direct entre le dommage moral invoqué par le requérant et le comportement prétendument illégal de la Commission, consistant en l’utilisation d’un tel
service en violation des dispositions du chapitre V du règlement 2018/1725.
160 En effet, c’est le comportement du requérant qui doit être regardé comme constituant la cause directe et immédiate du préjudice moral allégué et non la faute qu’aurait prétendument commise la Commission en utilisant le service Amazon CloudFront.
161 Ainsi, c’est le requérant qui a mis en place les conditions nécessaires pour provoquer des connexions à des serveurs situés aux États-Unis par le biais du fonctionnement du service Amazon CloudFront. C’est le comportement du requérant qui a causé le renvoi par le mécanisme de routage du service Amazon CloudFront de ses demandes de consultation du site Internet de la CAE vers des serveurs localisés aux États-Unis, puisque c’était ces derniers qui avaient la plus faible latence par rapport à la
localisation apparente du requérant dans le domaine numérique, alors que celle-ci ne correspondait pas à sa localisation réelle.
162 Par ailleurs, le requérant n’est pas fondé à adopter un comportement visant à provoquer un certain résultat (à savoir le transfert de ses données à caractère personnel vers un pays tiers) et, par la suite, à demander la réparation du préjudice prétendument causé par ce résultat, dont son comportement a été la cause directe. Ainsi, contrairement à ce que fait valoir le requérant, dans le cadre d’un recours en indemnité comme celui de l’espèce, sa situation ne saurait être appréciée de façon
similaire à celle d’un utilisateur qui se serait effectivement déplacé aux États-Unis et qui, par conséquent, aurait accédé au site Internet de la CAE à partir de ce pays.
163 Il résulte de tout ce qui précède que, s’agissant du transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022, un lien de causalité suffisamment direct entre le comportement prétendument illégal de la Commission et le préjudice moral invoqué n’a pas été démontré.
164 Dès lors que l’une des conditions cumulatives d’engagement de la responsabilité non contractuelle de l’Union fait défaut, il y a lieu de rejeter la demande en indemnité en ce qui concerne le transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022, sans qu’il soit nécessaire d’examiner les autres conditions d’engagement de ladite responsabilité.
– Transfert litigieux lors de la connexion à EU Login du 30 mars 2022
165 Le requérant soutient que, le 30 mars 2022, lors de son inscription à l’événement « GoGreen » disponible sur le site Internet de la CAE, son adresse IP ainsi que des informations sur son navigateur et son terminal ont été transférées vers l’entreprise Meta Platforms, établie aux États-Unis, qui est propriétaire du réseau social Facebook. En effet, lors de cette inscription, le requérant aurait été dirigé vers le service d’authentification de l’Union EU Login, lequel propose, notamment, de se
connecter par le biais de différents réseaux sociaux. Le requérant aurait opté pour la connexion par le biais de son compte Facebook et, lorsqu’il aurait cliqué sur l’hyperlien le redirigeant vers Facebook, ce lien aurait abouti à une transmission de son adresse IP à Facebook. Le requérant n’aurait accepté que les « cookies essentiels » de Facebook. D’autres données à caractère personnel du requérant, à savoir son adresse électronique, ses nom et prénom et sa photo de profil, auraient été
collectées par Facebook à l’aide de cookies, notamment du cookie dénommé « sb », et transférées aux serveurs de Meta Platforms. Il ressortirait de la jurisprudence que les gestionnaires de sites Internet qui utilisent Facebook dans leurs sites Internet, comme c’est le cas de la Commission, sont responsables, conjointement avec Facebook, du respect du droit de l’Union concernant la protection de données. La Commission serait donc co-responsable du placement des cookies stockés par Facebook. Le
requérant aurait perdu le contrôle sur ses données à caractère personnel transmises à Facebook et serait privé de ses droits et libertés, ce qui constituerait un préjudice moral au sens du considérant 46 du règlement 2018/1725.
166 La Commission conteste ces arguments. Elle fait valoir, en substance, qu’elle n’a pas effectué ni lancé de transferts de données à Meta Platforms. Il ne serait pas obligatoire de s’inscrire par l’intermédiaire d’EU Login pour participer à l’événement « GoGreen » et, même en utilisant EU Login, le requérant aurait eu différentes possibilités d’authentification, y compris des possibilités qui n’exigeraient pas l’utilisation d’un compte sur des réseaux sociaux. Ce serait donc un choix du requérant
de s’être connecté au service EU Login avec son compte Facebook et ce serait donc lui, et non la Commission, qui aurait lancé l’accès au site Internet de Facebook. De plus, sur le plan technique, l’option d’authentification par Facebook s’effectuerait par l’hyperlien affiché sur le site Internet EU Login, qui ne contiendrait pas de données à caractère personnel de l’utilisateur. Contrairement à ce que soutiendrait le requérant, les données collectées par des cookies utilisés par Facebook ne
seraient pas transférées à la Commission lors de la connexion à EU Login et ne relèveraient pas de la responsabilité de celle-ci. Ces cookies résulteraient des échanges entre Facebook et le requérant, sur la base des consentements donnés par celui-ci, la Commission n’étant pas impliquée dans ces échanges. En outre, la Commission soutient que la jurisprudence invoquée par le requérant n’est pas applicable en l’espèce et que, en tout état de cause, l’argument du requérant tiré d’une prétendue
responsabilité conjointe de la Commission et de Meta Platforms serait un moyen nouveau invoqué pour la première fois au stade de la réplique qui, par conséquent, serait irrecevable.
167 En l’espèce, il convient d’abord d’examiner le cadre factuel dans lequel s’insère le transfert litigieux lors de la connexion à EU Login du 30 mars 2022, en prenant en compte les éléments qui résultent du dossier ainsi que les réponses des parties aux questions posées par le Tribunal lors de l’audience et par la mesure d’organisation de la procédure du 9 février 2024.
168 À cet égard, il convient de constater que l’événement « GoGreen », organisé par un organisme basé aux Pays-Bas, était annoncé sur le site Internet de la CAE. L’inscription à cet événement pouvait être faite, notamment, sur le site Internet de la CAE, par l’intermédiaire du service EU Login.
169 Le requérant a choisi de s’inscrire sur le site Internet de la CAE, en utilisant EU Login.
170 EU Login est le service d’authentification d’utilisateur de la Commission, qui protège plusieurs centaines de sites Internet et d’applications liés à l’Union. En l’espèce, la connexion à EU Login, aux fins de l’inscription à l’événement « GoGreen », avait pour objectif d’assurer que cette inscription était faite par une adresse électronique vérifiée, en réduisant les risques liés à l’inscription de faux utilisateurs ou à l’usurpation d’identité.
171 EU Login affiche plusieurs options de connexion sur sa page Internet. La première option est de se connecter directement à EU Login, soit en remplissant les données de connexion pour un compte EU Login préexistant, soit en créant un compte pour ce service. La deuxième option est d’utiliser une carte d’identité électronique « eID », disponible pour les citoyens de certains États membres. La troisième option, qui est disponible pour un nombre limité de services, consiste à utiliser un compte que
l’utilisateur possède déjà sur Facebook, Twitter ou Google, en cliquant sur l’hyperlien correspondant, affiché sur le site Internet d’EU Login.
172 La possibilité de se connecter à EU Login par le biais d’un compte Facebook découle du fait que la Commission a estimé qu’il conviendrait de donner aux utilisateurs le choix de se connecter à EU Login par le biais de comptes préexistants sur des plateformes, afin de leur offrir un accès plus facile et rapide, ainsi que la possibilité de s’authentifier sans besoin de créer un compte EU Login et ainsi d’éviter de multiplier le nombre de comptes et d’entités avec lesquels les utilisateurs doivent
partager leurs données à caractère personnel. Par ailleurs, la Commission a estimé que Facebook était fiable aux fins de vérifier les adresses électroniques des utilisateurs, compte tenu des mesures mises en place par celui-ci. Néanmoins, l’hyperlien permettant de se connecter par le biais d’un compte Facebook préexistant n’est disponible sur EU Login que pour des sites Internet ou des applications ne nécessitant qu’un niveau de sécurité élémentaire.
173 Le requérant a choisi l’option de se connecter à EU Login par le biais de son compte Facebook, en utilisant l’hyperlien « Sign in with Facebook » qui est affiché sur le site Internet d’EU Login (ci-après l’« hyperlien “se connecter avec Facebook” »).
174 L’hyperlien « se connecter avec Facebook » contient un lien vers un site Internet externe à la Commission. Lorsque cet hyperlien est activé, en cliquant dessus, il donne accès à une adresse URL du site Internet de Facebook, c’est-à-dire à une adresse individuelle de ce site Internet.
175 L’accès à l’adresse URL du site Internet de Facebook donne lieu à une communication entre le navigateur de l’utilisateur et ledit site Internet, dans le cadre de laquelle le navigateur transmet l’adresse IP de l’utilisateur au site Internet en cause. Cette transmission est similaire à celle qui se produit lorsque l’utilisateur saisit directement l’adresse URL de n’importe quel site Internet dans son navigateur, dans la mesure où l’adresse IP doit nécessairement être communiquée par tout
internaute souhaitant accéder à un site Internet.
176 Par le biais de l’hyperlien « se connecter avec Facebook », EU Login envoie certaines informations à Facebook, qui sont nécessaires aux fins du processus d’authentification et prennent la forme de l’exemple suivant :
Image
177 Plus précisément, les informations qui sont contenues dans l’hyperlien « se connecter avec Facebook » sont les suivantes :
– premièrement, la partie « client_id=1200572836629487 » contient un « code d’identification unique », qui identifie EU Login en tant qu’application. Ce numéro d’identification est le même pour tous les utilisateurs qui souhaitent s’authentifier sur EU Login en utilisant Facebook ;
– deuxièmement, la partie « redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback » contient l’adresse URL générale d’EU Login, qui est l’adresse à laquelle Facebook doit renvoyer l’utilisateur après que celui-ci a consenti à ce que ses données à caractère personnel soient transmises par Facebook à EU Login ;
– troisièmement, la partie « scope=email » contient les données que Facebook doit transmettre à EU Login afin de garantir une authentification réussie de l’utilisateur, notamment l’adresse électronique de l’utilisateur ainsi que le prénom et le nom de famille indiqués sur le site de Facebook lors de la création d’un compte Facebook ;
– quatrièmement, la partie « state=useFacebook » indique que la longue chaîne de caractères qui suit est une valeur aléatoire de sécurité, qui est utilisée pour éviter les attaques de sécurité et a une durée de validité limitée dans le temps. Cette valeur aléatoire de sécurité est générée aléatoirement par EU Login et remplit la fonction de phrase secrète, que Facebook doit répéter lors de la transmission de données à EU Login, afin de permettre à EU Login de savoir que l’adresse électronique,
le prénom et le nom de famille communiqués concernent l’utilisateur qui a lancé la méthode d’authentification. Une fois le délai expiré ou l’utilisateur déjà authentifié, il n’est plus possible d’utiliser la valeur de sécurité ; et
– cinquièmement, la partie « response_type=code » indique que la transmission de données par Facebook à EU Login est encore accompagnée d’un code unique. Ce code unique inclut la valeur aléatoire de sécurité mentionnée ci-dessus. Le code unique équivaut à un numéro d’enregistrement unique ou un numéro de série qui authentifie les données transmises par Facebook à EU Login.
178 Une fois que l’utilisateur accède à l’adresse URL de Facebook, il se trouve sur ce site Internet, sur lequel, tout d’abord, une fenêtre s’affiche demandant à l’utilisateur d’accepter l’utilisation de témoins de connexion ou « cookies » par Facebook. Ensuite, si les cookies sont acceptés, une autre fenêtre s’ouvre, permettant de remplir le nom d’utilisateur et le mot de passe du compte de l’utilisateur sur Facebook. Enfin, une fois connecté à son compte Facebook, l’utilisateur peut autoriser
Facebook à utiliser des cookies sur d’autres applications et sites Internet, en répondant à la question « Allow Facebook to use cookies and similar technologies placed on other apps and websites ? ». Si l’utilisateur consent à cette utilisation, il va par la suite être invité à consentir à ce que Facebook fournisse à EU Login les prénom, nom de famille, photo de profil et adresse électronique liés à son compte Facebook. Par ailleurs, tout au long de ce processus, l’utilisateur peut interrompre
l’authentification par le biais de son compte Facebook, en choisissant l’option « Cancel ». Dans cette hypothèse, il est redirigé vers le site Internet d’EU Login, où la page avec les options de connexion s’affiche de nouveau.
179 En l’espèce, lorsque le requérant a cliqué sur l’hyperlien « se connecter avec Facebook », son navigateur Internet a accédé à l’adresse URL du site Internet de Facebook et a, par conséquent, communiqué son adresse IP à ce site Internet. Ensuite, lorsqu’il se trouvait sur le site Internet de Facebook, le requérant a choisi les options permettant à Facebook d’utiliser uniquement des cookies essentiels, puis il s’est connecté à son compte Facebook et, enfin, a autorisé Facebook à communiquer à EU
Login ses prénom, nom de famille, photo de profil et adresse électronique, tels qu’il les avait renseignés sur son compte Facebook.
180 À la suite de ces autorisations accordées par le requérant, Facebook l’a renvoyé vers le site Internet d’EU Login, conformément aux indications contenues dans l’hyperlien « se connecter avec Facebook » (voir point 177, premier et deuxième tirets, ci-dessus).
181 En même temps, Facebook a communiqué à EU Login la valeur aléatoire de sécurité et le code unique mentionnés au point 177, quatrième et cinquième tirets, ci-dessus. D’une part, cette communication de Facebook a permis à EU Login de savoir que les données à caractère personnel que Facebook mettait à sa disposition concernaient l’utilisateur qui avait lancé le processus d’authentification, à savoir, en l’espèce, le requérant. D’autre part, elle a permis à EU Login d’accéder, pendant une période
limitée, aux données à caractère personnel mentionnées au point 177, troisième tiret, ci-dessus, à savoir, notamment, les prénom, nom de famille et adresse électronique du requérant, tels qu’il les a renseignés sur son compte Facebook. La transmission de ces données par Facebook à EU Login a été faite par le biais d’une connexion cryptée entre eux. C’est sur la base des données mises à disposition par Facebook qu’EU Login a authentifié l’adresse électronique du requérant.
182 Par ailleurs, il convient d’observer que le réseau social Facebook est détenu par Meta Platforms, entreprise établie aux États-Unis.
183 En outre, il convient de relever que l’affichage de cet hyperlien sur le site Internet d’EU Login est régi par les conditions générales de la plateforme Facebook, divulguées à l’adresse Internet « https ://developers.facebook.com/terms ».
184 C’est à la lumière de ces considérations qu’il convient d’examiner si les conditions d’engagement de la responsabilité non contractuelle de la Commission sont réunies.
185 Le requérant fait valoir, en substance, que, lors de sa connexion à EU Login du 30 mars 2022, il y a eu un transfert de données à caractère personnel lui appartenant, notamment de son adresse IP, vers des serveurs du réseau social Facebook, dont l’entreprise propriétaire est établie aux États-Unis. Ce transfert aurait été fait en violation de l’article 46 du règlement 2018/1725 et aurait causé au requérant un préjudice moral consistant en une perte du contrôle de ses données et en une privation
de ses droits et libertés.
186 À titre liminaire, il convient de rappeler que, ainsi qu’il résulte du point 95 ci-dessus, un transfert de données à caractère personnel vers un pays tiers, au sens de l’article 46 du règlement 2018/1725, exige qu’une institution, un organisme ou un organe de l’Union mette, par transmission ou d’une autre manière, des données à caractère personnel à la disposition d’un destinataire établi dans un pays tiers, c’est-à-dire un pays qui n’est membre ni de l’Union ni de l’EEE.
187 En l’espèce, il est démontré que, premièrement, parmi les options de connexion à EU Login, le requérant a choisi de se connecter avec son compte Facebook. Deuxièmement, l’hyperlien « se connecter avec Facebook » contient un lien vers une adresse URL du site Internet de Facebook. Troisièmement, lorsque le requérant a activé cet hyperlien en cliquant dessus, son navigateur a accédé à l’adresse URL du site Internet de Facebook et a, par la suite, transmis son adresse IP à Facebook (voir points 173
à 175 ci-dessus).
188 Il s’ensuit que la Commission, par le biais de l’hyperlien « se connecter avec Facebook », affiché sur la page Internet d’EU Login, a créé les conditions permettant que l’adresse IP du requérant soit transmise à Facebook. Or, cette adresse IP constitue une donnée à caractère personnel du requérant (voir point 122 ci-dessus) qui, par le biais dudit hyperlien, a été transmise à Meta Platforms, entreprise établie aux États-Unis. Cette transmission correspond donc à un transfert de données à
caractère personnel vers un pays tiers, au sens de l’article 46 du règlement 2018/1725.
189 En outre, il est démontré en l’espèce que, au moment de ce transfert de données, à savoir le 30 mars 2022, aucune décision d’adéquation, au sens de l’article 47 du règlement 2018/1725, n’existait en ce qui concerne les États-Unis (voir point 100 ci-dessus).
190 En l’absence d’une décision d’adéquation de la Commission concernant les États-Unis, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut se faire que si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives, conformément à l’article 48, paragraphe 1, du règlement 2018/1725 (voir point 101 ci-dessus).
191 En l’espèce, la Commission n’a pas démontré, ni même allégué, l’existence d’une garantie appropriée, notamment d’une clause type de protection de données ou d’une clause contractuelle adoptées dans des conditions prévues à l’article 48, paragraphes 2 et 3, du règlement 2018/1725 (voir points 102 à 104 ci-dessus). En revanche, il est démontré que l’affichage de l’hyperlien « se connecter avec Facebook » sur le site Internet d’EU Login est tout simplement régi par les conditions générales de la
plateforme Facebook (voir point 183 ci-dessus).
192 Par conséquent, la Commission a créé les conditions pour qu’un transfert de données à caractère personnel du requérant vers un pays tiers se soit produit, sans pour autant respecter les conditions établies à l’article 46 du règlement 2018/1725.
193 Il y a donc lieu de conclure, sans qu’il soit besoin d’examiner les autres arguments du requérant, que la Commission a commis une violation suffisamment caractérisée, au sens de la jurisprudence rappelée au point 50 ci-dessus, de l’article 46 du règlement 2018/1725, en ce qui concerne le transfert litigieux lors de la connexion à EU Login du 30 mars 2022.
194 Il y a donc lieu d’examiner si les autres conditions d’engagement de la responsabilité non contractuelle de la Commission, relatives au préjudice et au lien de causalité, sont remplies en l’espèce.
195 Le requérant allègue que le transfert illégal de son adresse IP à une entreprise établie aux États-Unis lui a causé un préjudice moral consistant en une perte du contrôle de ses données et en une privation de ses droits et libertés.
196 À cet égard, il y a lieu de considérer que l’article 65 du règlement 2018/1725 ouvre droit à une réparation non seulement du dommage matériel, mais aussi du dommage moral subi du fait d’une violation de ce règlement, sans qu’il soit besoin de démontrer un quelconque seuil de gravité [voir, en ce sens et par analogie, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, points 45 et 51].
197 En l’espèce, le préjudice moral invoqué par le requérant doit être considéré comme réel et certain, au sens de la jurisprudence rappelée au point 54 ci-dessus, dans la mesure où le transfert mentionné au point 188 ci-dessus, effectué en violation de l’article 46 du règlement 2018/1725, a placé le requérant dans une situation d’insécurité quant au traitement de ses données à caractère personnel, notamment de son adresse IP.
198 En outre, il existe un lien de causalité suffisamment direct, au sens de la jurisprudence rappelée au point 55 ci-dessus, entre la violation, par la Commission, de l’article 46 du règlement 2018/1725 et le préjudice moral subi par le requérant.
199 Dans les circonstances de l’espèce, il y a lieu d’évaluer ex æquo et bono le montant du préjudice moral causé par la Commission à la somme de 400 euros.
200 Par suite, il y a lieu de condamner la Commission à verser au requérant la somme de 400 euros au titre du préjudice moral subi résultant du transfert litigieux lors de la connexion à EU Login du 30 mars 2022.
Sur les dépens
201 Aux termes de l’article 134, paragraphe 3, du règlement de procédure du Tribunal, chaque partie supporte ses propres dépens si les parties succombent respectivement sur un ou plusieurs chefs. Toutefois, si cela apparaît justifié au vu des circonstances de l’espèce, le Tribunal peut décider que, outre ses propres dépens, une partie supporte une fraction des dépens de l’autre partie.
202 En l’espèce, le requérant a succombé sur ses premier et deuxième chefs de conclusions ainsi que sur une partie de son troisième chef de conclusions. Cependant, le troisième chef de conclusions a été partiellement accueilli et la Commission est condamnée à payer l’indemnité que le requérant a demandée à titre de réparation du préjudice moral qu’il a subi du fait du transfert litigieux lors de la connexion à EU Login du 30 mars 2022. Dans ces conditions, il y a lieu de décider que la Commission
supportera ses propres dépens et la moitié des dépens exposés par le requérant. Le requérant supportera la moitié de ses propres dépens.
Par ces motifs,
LE TRIBUNAL (sixième chambre élargie)
déclare et arrête :
1) Le recours est rejeté comme étant irrecevable en ce qui concerne les conclusions en annulation.
2) Il n’y a plus lieu de statuer sur les conclusions visant à faire constater que la Commission européenne s’est illégalement abstenue de prendre position sur la demande d’informations de M. Thomas Bindl du 1er avril 2022.
3) La Commission est condamnée à verser à M. Bindl la somme de 400 euros à titre de réparation du préjudice moral subi.
4) Les conclusions en indemnité sont rejetées pour le surplus.
5) La Commission est condamnée à supporter ses propres dépens ainsi que la moitié des dépens exposés par M. Bindl.
6) M. Bindl est condamné à supporter la moitié de ses propres dépens.
Costeira
Kancheva
Öberg
Zilgalvis
Tichy-Fisslberger
Ainsi prononcé en audience publique à Luxembourg, le 8 janvier 2025.
Signatures
Table des matières
Antécédents du litige et faits postérieurs à l’introduction du recours
Conclusions des parties
En droit
Considérations liminaires sur la protection des données à caractère personnel par les institutions, organes et organismes de l’Union
Sur la recevabilité
Recevabilité des conclusions en annulation
Recevabilité des conclusions en carence
Sur les conclusions en indemnité
Considérations liminaires sur les conditions d’engagement de la responsabilité non contractuelle de l’Union dans le cadre du règlement 2018/1725
Sur la première demande en indemnité, tendant à la réparation du préjudice moral résultant d’une violation du droit d’accès aux informations
Sur la seconde demande en indemnité, tendant à la réparation du préjudice moral résultant des transferts litigieux
– Considérations liminaires sur les dispositions concernant le transfert de données à caractère personnel vers un pays tiers
– Sur le fonctionnement du service Amazon CloudFront dans le cadre du site Internet de la CAE
– Transfert litigieux lors de la consultation du site Internet de la CAE du 30 mars 2022
– Transfert litigieux lors des consultations du site Internet de la CAE du 8 juin 2022
– Transfert litigieux lors de la connexion à EU Login du 30 mars 2022
Sur les dépens
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
