LG Passau : transfert de données à Facebook USA autorisé sur la base du DPF et du SCC

FR DE EN

David Vasella

sur le site

22.03.2024

Branches

Autorité

LG Passau

Lois

RGPD 49, RGPD 6

Thèmes

Annonce à l’étranger, Facebook, Protection de la vie privée par défaut, Schrems, Clauses contractuelles types

Vente à emporter (AI)

LG Passau : les avis des autorités de protection des données ne sont pas contraignants pour les tribunaux.
La finalité du traitement peut être choisie librement ; le responsable détermine l’étendue des données nécessaires.
Le transfert international de données vers les États-Unis est autorisé (Data Privacy Framework / clauses contractuelles types).
Rien n’indique que Facebook mette sans condition des données à la disposition des services secrets américains ; des transferts peuvent être justifiés par l’exécution du contrat.

Le 16 février 2024, le tribunal régional (LG) de Passau a rendu un jugement remarquable (Az. 1 O 616/23). Il est notamment indiqué, à juste titre, que la Les avis des autorités de protection des données ne lient pas les tribunaux une déclaration très appréciée dans l’espace européen, où les avis des autorités ont de facto presque force de loi. Les déclarations sur la la libre détermination de l’objectif du responsable et à la Transfert vers les États-Unis valent la peine d’être lus.

Contexte : un utilisateur de Facebook avait porté plainte contre Facebook ou Meta. En avril 2021, le est devenu connuIl a été constaté que des données publiques de plus de 500 millions d’utilisateurs de Facebook avaient été récupérées (scrapées) et publiées sur Internet, probablement aussi des données du plaignant. Le plaignant a fait valoir que cela était dû à des réglages peu clairs et peu transparents et à des paramètres par défaut non respectueux de la protection des données, ainsi qu’à un manque de mesures de sécurité, que le messager était systématiquement surveillé et que Facebook collectait des données en masse en dehors de Facebook. Ces données seraient transmises au sein du groupe, en particulier aux Etats-Unis, où elles seraient notamment transmises à la NSA pour une enquête sans motif, ce qui est illégal.

Le LG Passau rejette la plainte dans son intégralité, notamment sur la base des considérations suivantes :

Le traitement des données est nécessaire à l’exécution du contrat entre les parties (article 6, paragraphe 1, point b), du RGPD). Il va de soi que les données des contacts de l’utilisateur sont téléchargées si l’utilisateur consent à utiliser l’ ”outil d’importation de contacts”.
Une violation de Protection de la vie privée par défaut n’existe pas. Le responsable du traitement doit simplement s’assurer que seules les données nécessaires à la finalité poursuivie sont traitées :

Le critère de sélection des mesures est la nécessité pour la finalité du traitement. Le site La finalité du traitement peut être librement choisie dans le cadre des dispositions de l’article 5, paragraphe 1, point b), du RGPD.. Il n’y a donc pas lieu d’exiger du responsable du traitement qu’il adopte toujours le paramétrage le plus favorable à la protection des données. Le responsable décide plutôt, en définissant une certaine finalité de traitement, de l’étendue des données nécessaires à cette fin. […].

Par défaut, Facebook fait en sorte que les utilisateurs puissent être trouvés par tous les autres. Il ne s’agit pas non plus d’une infraction, car pour les nouveaux utilisateurs, il n’est guère logique qu’ils ne puissent être trouvés que par des “amis” qui ne les ont pas encore. Facebook a donc pu considérer le paramètre par défaut correspondant comme nécessaire à la finalité du traitement, même si l’utilisateur peut le modifier manuellement par la suite.
Il n’y a pas de transmission illégale. Facebook est une entreprise américaine et une plateforme mondiale. C’est pourquoi les données doivent être échangées au niveau international ; dans le cas contraire, la recherche d’utilisateurs dans d’autres régions ne serait pas possible, et chaque utilisateur de Facebook le sait. L’utilisateur n’a pas le droit d’exiger que Facebook ne fonctionne qu’en Europe.
Il y a aucune indicationque Facebook n’a pas met son stock de données “à la libre disposition des services secrets américains à l’étranger, sans condition préalable”..
La transmission vers les États-Unis est autorisée. Il s’effectue sur la base du Data Privacy Framework. La décision d’adéquation correspondante est une base valable, il n’est pas nécessaire de procéder à un examen plus approfondi de l’adéquation.
Avant le DPF, les Clauses contractuelles types la base qui permet une base suffisante sont représentés :

bb) Pour la période précédente, les clauses contractuelles types 2010 et 2021 adoptées par la Commission, en combinaison avec l’article 46, paragraphe 1, paragraphe 2, point b), du RGPD, constituent une base juridique suffisante. c) du RGPD constituent une base juridique suffisante. Conformément à l’article 46, paragraphe 1, du RGPD, les personnes concernées doivent disposer de droits exécutoires et de recours effectifs afin de garantir un niveau de protection équivalent à celui du droit de l’UE. La partie requérante critique à cet égard le fait que le mécanisme de recours américain repose sur un règlement du gouvernement et non sur une loi formelle. Or, même un règlement est une loi au sens matériel. On ne voit pas pourquoi cela ne permettrait pas d’offrir une protection juridique 1 O 616/23 équivalente.
En outre, la Transfert de données nécessaire à l’exécution du contrat et donc autorisées en vertu de l’article 49, paragraphe 1, phrase 1 b du RGPD.

Si les autorités de protection des données ont des avis divergents, ceux-ci ne lient pas le tribunal.

Si Autorités américaines peuvent demander des informations à Facebook en vertu du droit américain, que ce soit Conséquence de la transmission légale. Cela n’empêche pas un niveau de protection suffisant,

car elle est également soumise au régime européen de protection des données en vertu de l’art. 6, al. 1, let. c du RGPD (respect d’une obligation légale).

LG Pas­sau : trans­fert de don­nées à Face­book USA auto­ri­sé sur la base du DPF et du SCC

LG Passau : transfert de données à Facebook USA autorisé sur la base du DPF et du SCC