Le LG Passau rejette la plainte dans son intégralité, notamment sur la base des considérations suivantes :
- Le traitement des données est nécessaire à l’exécution du contrat entre les parties (article 6, paragraphe 1, point b), du RGPD). Il va de soi que les données des contacts de l’utilisateur sont téléchargées si l’utilisateur consent à utiliser l’ ”outil d’importation de contacts”.
- Une violation de Protection de la vie privée par défaut n’existe pas. Le responsable du traitement doit simplement s’assurer que seules les données nécessaires à la finalité poursuivie sont traitées :
Le critère de sélection des mesures est la nécessité pour la finalité du traitement. Le site La finalité du traitement peut être librement choisie dans le cadre des dispositions de l’article 5, paragraphe 1, point b), du RGPD.. Il n’y a donc pas lieu d’exiger du responsable du traitement qu’il adopte toujours le paramétrage le plus favorable à la protection des données. Le responsable décide plutôt, en définissant une certaine finalité de traitement, de l’étendue des données nécessaires à cette fin. […].
- Par défaut, Facebook fait en sorte que les utilisateurs puissent être trouvés par tous les autres. Il ne s’agit pas non plus d’une infraction, car pour les nouveaux utilisateurs, il n’est guère logique qu’ils ne puissent être trouvés que par des “amis” qui ne les ont pas encore. Facebook a donc pu considérer le paramètre par défaut correspondant comme nécessaire à la finalité du traitement, même si l’utilisateur peut le modifier manuellement par la suite.
- Il n’y a pas de transmission illégale. Facebook est une entreprise américaine et une plateforme mondiale. C’est pourquoi les données doivent être échangées au niveau international ; dans le cas contraire, la recherche d’utilisateurs dans d’autres régions ne serait pas possible, et chaque utilisateur de Facebook le sait. L’utilisateur n’a pas le droit d’exiger que Facebook ne fonctionne qu’en Europe.
- Il y a aucune indicationque Facebook n’a pas met son stock de données “à la libre disposition des services secrets américains à l’étranger, sans condition préalable”..
- La transmission vers les États-Unis est autorisée. Il s’effectue sur la base du Data Privacy Framework. La décision d’adéquation correspondante est une base valable, il n’est pas nécessaire de procéder à un examen plus approfondi de l’adéquation.
- Avant le DPF, les Clauses contractuelles types la base qui permet une base suffisante sont représentés :
bb) Pour la période précédente, les clauses contractuelles types 2010 et 2021 adoptées par la Commission, en combinaison avec l’article 46, paragraphe 1, paragraphe 2, point b), du RGPD, constituent une base juridique suffisante. c) du RGPD constituent une base juridique suffisante. Conformément à l’article 46, paragraphe 1, du RGPD, les personnes concernées doivent disposer de droits exécutoires et de recours effectifs afin de garantir un niveau de protection équivalent à celui du droit de l’UE. La partie requérante critique à cet égard le fait que le mécanisme de recours américain repose sur un règlement du gouvernement et non sur une loi formelle. Or, même un règlement est une loi au sens matériel. On ne voit pas pourquoi cela ne permettrait pas d’offrir une protection juridique 1 O 616/23 équivalente.
- En outre, la Transfert de données nécessaire à l’exécution du contrat et donc autorisées en vertu de l’article 49, paragraphe 1, phrase 1 b du RGPD.
Si les autorités de protection des données ont des avis divergents, ceux-ci ne lient pas le tribunal.
- Si Autorités américaines peuvent demander des informations à Facebook en vertu du droit américain, que ce soit Conséquence de la transmission légale. Cela n’empêche pas un niveau de protection suffisant,
car elle est également soumise au régime européen de protection des données en vertu de l’art. 6, al. 1, let. c du RGPD (respect d’une obligation légale).