CELEX:62022TJ0354: Hotărârea Tribunalului (Camera a șasea extinsă) din 8 ianuarie 2025.#Thomas Bindl împotriva Comisia Europeană.#Prelucrare a datelor cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii – Regulamentul 2018/1725 – Noțiunea de «transfer de date cu caracter personal către o țară terță» – Transfer de date cu ocazia consultării unui site internet – EU Login – Acțiune în anulare – Act care nu este supus căilor de atac – Inadmisibilitate – Acțiune în constatarea abținerii de a acționa – Luare de poziție care pune capăt abținerii de a acționa – Nepronunțare asupra fondului – Acțiune în despăgubire – Încălcare suficient de gravă a unei norme de drept care conferă drepturi particularilor – Legătură de cauzalitate – Prejudiciu moral.#Cauza T-354/22.
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, TUE : Jurisprudență, 09/01/2025 |
| |
Informatii
Data documentului: 08/01/2025Emitent: TUE
Formă: Repertoriu EUR-Lex
Formă: TUE : Jurisprudență
Stat sau organizație la originea cererii: Germania
Procedura
Solicitant: Persoană fizicăPârât: Comisia Europeană, Instituţii şi organisme ale UE
Ediție provizorie
HOTĂRÂREA TRIBUNALULUI (Camera a șasea extinsă)
8 ianuarie 2025(*)
„ Prelucrare a datelor cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii – Regulamentul 2018/1725 – Noțiunea de «transfer de date cu caracter personal către o țară terță» – Transfer de date cu ocazia consultării unui site internet – EU Login – Acțiune în anulare – Act care nu este supus căilor de atac – Inadmisibilitate – Acțiune în constatarea abținerii de a acționa – Luare de poziție care pune capăt abținerii de a acționa – Nepronunțare asupra fondului – Acțiune în despăgubire – Încălcare suficient de gravă a unei norme de drept care conferă drepturi particularilor – Legătură de cauzalitate – Prejudiciu moral ”
În cauza T‑354/22,
Thomas Bindl, cu domiciliul în München (Germania), reprezentat de T. Herbrich, avocat,
reclamant,
împotriva
Comisiei Europene, reprezentată de A. Bouchagiar, B. Hofstötter și H. Kranenborg, în calitate de agenți,
pârâtă,
TRIBUNALUL (Camera a șasea extinsă),
compus din doamna M. J. Costeira (raportoare), președintă, doamna M. Kancheva, domnii U. Öberg, P. Zilgalvis și doamna E. Tichy‑Fisslberger, judecători,
grefier: doamna S. Jund, administratoare,
având în vedere faza scrisă a procedurii,
având în vedere măsura de organizare a procedurii din 21 iulie 2023 și răspunsurile Comisiei și al reclamantului depuse la grefa Tribunalului la 7 și, respectiv, la 8 septembrie 2023,
în urma ședinței din 17 octombrie 2023,
având în vedere măsura de organizare a procedurii din 9 februarie 2024 și răspunsurile Comisiei și al reclamantului depuse la grefa Tribunalului la 12 și, respectiv, la 13 martie 2024,
pronunță prezenta
Hotărâre
1 Prin acțiunea formulată în temeiul articolelor 263, 265 și 268 TFUE, reclamantul, domnul Thomas Bindl, solicită Tribunalului, în primul rând, anularea transferurilor datelor sale cu caracter personal către țări terțe care nu dispun de un nivel de protecție adecvat, în al doilea rând, constatarea faptului că Comisia Europeană s‑a abținut în mod nelegal să ia poziție cu privire la cererea sa de informații adresată acesteia la 1 aprilie 2022 și, în al treilea rând, repararea prejudiciului moral pe care l‑ar fi suferit ca urmare a unei încălcări a dreptului său de acces la informații, pe de o parte, și a transferurilor datelor sale cu caracter personal, pe de altă parte.
Istoricul litigiului și situația de fapt ulterioară introducerii acțiunii
2 Reclamantul este un cetățean german interesat de subiecte din domeniile informaticii și protecției datelor cu caracter personal.
3 Direcția Generală Comunicare a Comisiei este operatorul care se ocupă de prelucrarea datelor cu caracter personal pentru realizarea site‑ului internet al Conferinței privind viitorul Europei la adresa https://futureu.europa.eu (denumit în continuare „site‑ul internet al CAE”).
4 Reclamantul a consultat în mai multe rânduri site‑ul internet al CAE în cursul anilor 2021 și 2022. El a consultat acest site internet cu precădere la 30 martie 2022 și s‑a înscris la evenimentul „GoGreen”, care figura pe acesta, cu ajutorul contului său Facebook, iar la 8 iunie 2022 a consultat din nou site‑ul internet menționat.
5 Prin e‑mailul din 9 noiembrie 2021 (denumit în continuare „cererea de informații din 9 noiembrie 2021”), reclamantul a solicitat responsabilului cu protecția datelor din cadrul Comisiei să îi furnizeze informații în temeiul Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO 2018, L 295, p. 39).
6 În e‑mailul menționat, în primul rând, reclamantul a arătat că a remarcat faptul că, atunci când s‑a conectat pe site‑ul internet al CAE, s‑a activat o conexiune cu furnizori terți precum societatea americană Amazon Web Services; în al doilea rând, a solicitat să i se indice ce date cu caracter personal care îl privesc au fost prelucrate sau stocate și care au fost eventual transferate către terți; în al treilea rând, acesta a solicitat informații cu privire la temeiul juridic al unui astfel de transfer, precum și cu privire la existența unor eventuale garanții privind transferul către țări terțe care nu dispun de un nivel de protecție adecvat.
7 Prin e‑mailul din 3 decembrie 2021, Direcția Generală Comunicare a Comisiei a transmis reclamantului un link electronic și l‑a informat că acest link îi permitea să genereze în mod direct o listă cu datele cu caracter personal care fuseseră prelucrate cu ocazia consultării site‑ului internet al CAE. În plus, aceasta i‑a indicat reclamantului, pe de o parte, că datele sale cu caracter personal nu fuseseră transferate unor destinatari situați în afara Uniunii Europene și, pe de altă parte, că ele erau stocate și prelucrate de site‑ul internet al CAE, care utiliza o rețea de difuzare de conținut gestionată de Amazon Web Services EMEA SARL (denumită în continuare „AWS EMEA”), cu sediul în Luxemburg (Luxemburg). În plus, aceasta a precizat că, în cadrul acordurilor contractuale încheiate între Comisie și AWS EMEA, operatorul de date nu recurgea la servicii care ar necesita un transfer de date către partenerii AWS EMEA din Statele Unite și că transferul de date în afara teritoriului Uniunii nu era, în principiu, autorizat.
8 Prin e‑mailul din 1 aprilie 2022 (denumit în continuare ”cererea de informații din 1 aprilie 2022”), reclamantul a solicitat Comisiei, în temeiul Regulamentului 2018/1725, informații cu privire la prelucrarea datelor sale. În primul rând, acesta a precizat că remarcase că, atunci când s‑a conectat pe site‑ul internet al CAE, s‑a stabilit o conexiune cu furnizori terți precum AWS EMEA și că ar fi fost stabilită o conexiune la întreprinderea Microsoft atunci când a utilizat datele sale de conectare Facebook pentru a se înregistra pe acest site internet. În al doilea rând, el a solicitat să i se indice care sunt datele cu caracter personal care îl privesc ce au fost prelucrate sau stocate și care au fost eventual transferate către terți. În al treilea rând, acesta a solicitat informații cu privire la temeiul juridic al unui astfel de transfer și cu privire la existența unor eventuale garanții privind transferul către țări terțe care nu dispun de un nivel de protecție adecvat. În al patrulea rând, el a solicitat o copie a datelor sale, inclusiv a celor stocate sau prelucrate de terți precum Facebook.
9 Prin e‑mailurile din 22 aprilie și din 2 mai 2022, reclamantul a insistat pe lângă Comisie pentru ca aceasta să îi dea un răspuns la cererea de informații din 1 aprilie 2022.
10 Prin cererea introductivă depusă la grefa Tribunalului la 9 iunie 2022, reclamantul a introdus prezenta acțiune.
11 Prin e‑mailul din 30 iunie 2022, Comisia l‑a informat pe reclamant că aprecia că cererea de informații din 1 aprilie 2022 era aproape identică cu cererea de informații din 9 noiembrie 2021 și că la ultima cerere răspunsese deja prin e‑mailul său din 3 decembrie 2021.
12 Amazon Web Services este o întreprindere stabilită în Statele Unite, iar AWS EMEA este o întreprindere cu sediul în Luxemburg. Aceste două întreprinderi sunt filiale ale întreprinderii de drept american Amazon.com, Inc.
Concluziile părților
13 Reclamanta solicită Tribunalului:
– anularea transferurilor datelor sale cu caracter personal către țări terțe care nu dispun de un nivel de protecție adecvat, care au avut loc la 30 martie și la 8 iunie 2022;
– constatarea faptului că Comisia s‑a abținut în mod nelegal să ia poziție cu privire la cererea de informații din 1 aprilie 2022;
– obligarea Comisiei la plata sumei de 1 200 de euro, majorată cu dobânzi, din care suma de 800 de euro pentru repararea prejudiciului moral suferit ca urmare a încălcării dreptului său de acces la informații, iar suma de 400 de euro pentru repararea prejudiciului moral suferit ca urmare a transferurilor menționate ale datelor sale;
– obligarea Comisiei la plata cheltuielilor de judecată.
14 Comisia solicită Tribunalului:
– respingerea ca inadmisibile a concluziilor în anulare și a concluziilor în constatarea abținerii de a acționa;
– cu titlu subsidiar, constatarea faptului că nu mai este necesară pronunțarea cu privire la cererea referitoare la abținerea de a acționa;
– respingerea concluziilor cu privire la despăgubiri ca nefondate;
– obligarea reclamantului la plata cheltuielilor de judecată.
În drept
Considerații introductive cu privire la protecția datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii
15 Articolul 16 alineatul (1) TFUE și articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
16 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) stabilește normele generale care urmăresc protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și garantarea liberei circulații a acestor date [articolul 1 alineatul (1) din Regulamentul nr. 2016/679].
17 Regulamentul 2018/1725 stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii, precum și normele referitoare la libera circulație a datelor cu caracter personal între acestea sau către alți destinatari stabiliți în Uniune [articolul 1 alineatul (1) din Regulamentul 2018/1725]. Acest regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special dreptul acestora la protecția datelor cu caracter personal [articolul 1 alineatul (2) din Regulamentul (UE) 2018/1725]. Acesta se aplică prelucrării datelor cu caracter personal de către toate instituțiile și organele Uniunii [articolul 2 alineatul (1) din Regulamentul (UE) 2018/1725].
18 Considerentul (5) al Regulamentului 2018/1725 amintește că, potrivit jurisprudenței Curții, de fiecare dată când dispozițiile Regulamentului 2018/1725 urmează aceleași principii precum dispozițiile Regulamentului 2016/679, aceste două seturi de dispoziții trebuie interpretate în mod omogen, în special ca urmare a faptului că regimul Regulamentului 2018/1725 ar trebui înțeles ca fiind echivalent cu cel al Regulamentului 2016/679. În această privință, mai rezultă dintr‑o interpretare coroborată a dispozițiilor articolului 2 alineatul (3) din Regulamentul 2016/679 și ale articolului 99 din Regulamentul 2018/1725 că acest ultim regulament este adaptat principiilor și normelor Regulamentului 2016/679.
Cu privire la admisibilitate
Admisibilitatea concluziilor în anulare
19 Prin intermediul primului capăt de cerere, reclamantul solicită anularea transferurilor datelor sale cu caracter personal către țări terțe care nu dispun de un nivel de protecție adecvat, care ar fi avut loc la 30 martie și la 8 iunie 2022 (denumite în continuare „transferurile în litigiu”).
20 În memoriul în apărare, Comisia invocă inadmisibilitatea acestei cereri de anulare pentru motivul că nu este îndreptată împotriva unui act atacabil, în sensul articolului 263 TFUE, ci urmărește să îi fie adresată o somație.
21 Reclamantul susține admisibilitatea cererii de anulare, arătând că transferurile în litigiu sunt acte care produc efecte juridice obligatorii și care îi afectează situația juridică, aducând atingere dreptului său fundamental la protecția datelor cu caracter personal garantat de articolul 8 din cartă. Orice altă interpretare ar fi incompatibilă cu dreptul fundamental la o protecție jurisdicțională efectivă, în condițiile în care articolul 64 alineatul (1) din Regulamentul 2018/1725 recunoaște în mod explicit acest drept.
22 Astfel cum se amintește la articolul 64 alineatul (1) și în considerentul (79) al Regulamentului 2018/1725, orice persoană are dreptul la o cale de atac efectivă în fața Curții de Justiție a Uniunii Europene, în conformitate cu tratatele, dacă apreciază că i‑au fost încălcate drepturile de care beneficiază în temeiul regulamentului menționat.
23 Rezultă că, în temeiul Regulamentului 2018/1725, orice persoană vizată are dreptul printre altele să introducă o acțiune în anulare în condițiile prevăzute la articolul 263 TFUE.
24 Potrivit unei jurisprudențe constante, acțiunea în anulare prevăzută la articolul 263 TFUE poate fi introdusă împotriva oricărui act al instituțiilor, indiferent de forma acestuia, care urmărește să producă efecte juridice obligatorii de natură să afecteze interesele reclamantului, modificând în mod semnificativ situația juridică a acestuia (a se vedea Hotărârea din 19 ianuarie 2017, Comisia/Total și Elf Aquitaine, C‑351/15 P, EU:C:2017:27, punctele 35 și 36 și jurisprudența citată, și Hotărârea din 16 iulie 2020, Inclusion Alliance for Europe/Comisia, C‑378/16 P, EU:C:2020:575, punctul 71 și jurisprudența citată).
25 Pentru a stabili dacă un act produce efecte juridice obligatorii, este necesar, conform unei jurisprudențe constante a Curții, să se examineze fondul acestui act și să se aprecieze efectele sale în lumina unor criterii obiective, precum conținutul actului menționat, ținându‑se seama, dacă este cazul, de contextul adoptării sale, precum și de competențele instituției, ale organului, ale oficiului sau ale agenției Uniunii care este autorul actului (a se vedea Hotărârea din 15 iulie 2021, FBF, C‑911/19, EU:C:2021:599, punctul 38 și jurisprudența citată).
26 În speță, reclamantul solicită anularea transferurilor în litigiu, care, în opinia sa, au avut loc în trei situații. În primul rând, cu ocazia consultării site‑ului internet al CAE la 30 martie 2022 (denumit în continuare „transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022”), ar fi fost transferate date cu caracter personal care îi aparțin, în special adresa IP, precum și informații privind browserul și terminalul său către întreprinderea americană Amazon Web Services în calitate de operator al rețelei de difuzare de conținut denumită Amazon CloudFront, care ar fi utilizată de site‑ul internet menționat.
27 În al doilea rând, cu ocazia conectării reclamantului, la 30 martie 2022, la serviciul de autentificare a utilizatorului al Comisiei EU Login cu ajutorul contului său de Facebook, pentru a se înscrie la evenimentul „GoGreen” pe site‑ul internet al CAE (denumit în continuare „transferul în litigiu cu ocazia conexiunii la EU Login din 30 martie 2022”), date cu caracter personal care îi aparțineau, printre altele adresa IP, precum și informații privind browserul său și terminalul său, ar fi fost transferate întreprinderii americane Meta Platforms, Inc.
28 În al treilea rând, cu ocazia consultării de către reclamant a site‑ului internet al CAE din 8 iunie 2022 (denumită în continuare „transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 8 iunie 2022”), date cu caracter personal care îi aparțineau ar fi fost transferate către un server al Amazon CloudFront situat la Newark (New Jersey, Statele Unite).
29 Pe de altă parte, reclamantul menționează în cererea introductivă că a accesat site‑ul internet al CAE la 9 noiembrie 2021 și că s‑a înscris pe site‑ul internet al CAE la acea dată cu ajutorul contului său de Facebook. Cu toate acestea, el nu invocă niciun element concret care să permită să se concluzioneze că aceste împrejurări sunt vizate în cererea de anulare a transferurilor în litigiu. Prin urmare, trebuie luate în considerare numai transferurile în litigiu menționate la punctele 26-28 de mai sus.
30 Trebuie arătat că transferurile în litigiu a căror anulare o solicită reclamantul, menționate la punctele 26-28 de mai sus, corespund, potrivit reclamantului însuși, unor operațiuni informatice de migrare de date care ar fi fost lansate de sisteme sau de servicii informatice ale Comisiei, în special de site‑ul internet al CAE, către servere care aparțin unor întreprinderi terțe stabilite în afara teritoriului Uniunii.
31 Desigur, este adevărat că operațiunea care constă în transferul de date cu caracter personal de la o instituție sau un organ al Uniunii către o țară terță constituie, ca atare, o prelucrare de date cu caracter personal în sensul articolului 3 punctul 3 din Regulamentul 2018/1725, efectuată pe teritoriul Uniunii, prelucrare căreia i se aplică acest regulament în temeiul articolului 2 alineatul (5) din acesta (a se vedea prin analogie Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, denumită în continuare „Hotărârea Schrems II”, EU:C:2020:559, punctul 83).
32 Nu toate operațiunile care pot conduce însă la un transfer de date cu caracter personal, în sensul articolului 3 punctul 3 din Regulamentul 2018/1725, constituie acte atacabile potrivit articolului 263 TFUE, astfel cum a fost interpretat de jurisprudența amintită la punctul 24 de mai sus.
33 În speță, presupunând că transferurile în litigiu ar fi demonstrate, trebuie să se constate că acestea constituie acte materiale, iar nu acte juridice. Astfel, transferurile în litigiu, astfel cum sunt descrise în cererea introductivă, sunt operațiuni informatice de migrare de date de la un terminal sau un server la altul, care rezultă din interacțiunile dintre reclamant și sistemele sau serviciile informatice ale Comisiei, cu ocazia consultării site‑ului internet al CAE sau al serviciului EU Login. În schimb, transferurile în litigiu nu sunt acte ale Comisiei care produc efecte juridice obligatorii, cu alte cuvinte nu au vocația de a reglementa o situație juridică și, astfel cum rezultă din însăși natura lor, Comisia nu a avut deloc intenția de a le conferi astfel de efecte.
34 Prin urmare, transferurile în litigiu nu sunt susceptibile să producă efecte juridice obligatorii de natură să afecteze interesele reclamantului, modificând în mod semnificativ situația juridică a acestuia, conform jurisprudenței amintite la punctul 24 de mai sus. Prin urmare, acestea nu pot fi considerate acte atacabile în sensul articolului 263 TFUE.
35 În consecință, concluziile cu privire la anulare formulate de reclamant trebuie înlăturate ca inadmisibile.
Admisibilitatea concluziilor în constatarea abținerii de a acționa
36 Prin intermediul celui de al doilea capăt de cerere, reclamantul solicită Tribunalului să constate că Comisia s‑a abținut în mod nelegal să ia poziție cu privire la cererea de informații din 1 aprilie 2022.
37 În memoriul în apărare, Comisia invocă inadmisibilitatea acestei cereri de constatare a abținerii de a acționa, neexistând o invitație de a acționa în sensul articolului 265 al doilea paragraf TFUE. Cu titlu subsidiar, Comisia arată că nu mai este necesară pronunțarea cu privire la cererea de constatare a abținerii de a acționa, ținând seama de răspunsul pe care i l‑a adresat reclamantului prin e‑mailul din 30 iunie 2022.
38 Reclamantul susține în esență că Comisia este în continuare obligată să răspundă la cererea de informații din 1 aprilie 2022, dat fiind că informațiile pe care i le‑a furnizat prin e‑mailul din 30 iunie 2022 sunt insuficiente și inexacte.
39 Potrivit unei jurisprudențe constante, calea de atac prevăzută la articolul 265 TFUE are la bază ideea că inacțiunea nelegală a instituției adusă în discuție permite sesizarea instanței Uniunii pentru ca aceasta să declare că abținerea de a acționa este contrară tratatului atunci când instituția în cauză nu a remediat această abținere (Hotărârea din 12 iulie 1988, Parlamentul/Consiliul, 377/87, EU:C:1988:387, punctul 9; a se vedea de asemenea Hotărârea din 16 decembrie 2015, Suedia/Comisia, T‑521/14, nepublicată, EU:T:2015:976, punctul 33 și jurisprudența citată).
40 În cazul în care actul a cărui omisiune face obiectul litigiului a fost adoptat după introducerea acțiunii, dar înainte de pronunțarea hotărârii, o declarație a Curții prin care se constată nelegalitatea abținerii inițiale nu mai poate conduce la consecințele prevăzute la articolul 266 TFUE. Rezultă că, într‑un asemenea caz, obiectul acțiunii a dispărut, astfel încât nu mai este necesară pronunțarea asupra fondului (Hotărârea din 12 iulie 1988, Parlamentul/Consiliul, 377/87, EU:C:1988:387, punctele 10 și 11; a se vedea de asemenea Ordonanța din 13 decembrie 2000, Sodima/Comisia, C‑44/00 P, EU:C:2000:686, punctul 83 și jurisprudența citată).
41 În speță, este necesar să se constate că Comisia a răspuns la cererea de informații din 1 aprilie 2022 prin e‑mailul său din 30 iunie 2022 (a se vedea punctul 17 de mai sus). Prin urmare, Comisia a pus capăt abținerii de a acționa invocate de reclamant în prezenta acțiune, după introducerea acestei acțiuni. Al doilea capăt de cerere, prin care se solicită constatarea, în temeiul articolului 265 TFUE, a unei abțineri de a acționa a Comisiei în lipsa unui răspuns la cererea de informații din 1 aprilie 2022, a rămas deci fără obiect.
42 Faptul că conținutul e‑mailului Comisiei din 30 iunie 2022 nu corespunde răspunsului dorit de reclamant nu are nicio relevanță în această privință. Astfel, împrejurarea că reclamantul consideră această luare de poziție a instituției ca fiind una nesatisfăcătoare nu are importanță în acest sens, întrucât articolul 265 TFUE vizează abținerea de a acționa manifestată prin abținerea de a lua o decizie sau de a lua o poziție, iar nu adoptarea unui alt act decât cel pe care această parte l‑ar fi dorit sau l‑ar fi considerat necesar (a se vedea Ordonanța din 6 aprilie 2017, Brancheforeningen for Regulerkraft i Danmark/Comisia, T‑203/16, nepublicată, EU:T:2017:279, punctul 22 și jurisprudența citată).
43 Rezultă că nu mai este necesară pronunțarea asupra concluziilor reclamantului cu privire la constatarea abținerii de a acționa și că nu este necesară pronunțarea în privința inadmisibilității acestor concluzii, invocată de Comisie.
Cu privire la concluziile privind despăgubirea
44 Prin intermediul celui de al treilea capăt de cerere, reclamantul formulează două cereri de despăgubire. În primul rând, acesta solicită plata sumei de 800 de euro pentru repararea prejudiciului moral pe care l‑ar fi suferit ca urmare a nerespectării de către Comisie a dreptului său de acces la informații, prin încălcarea articolului 14 alineatele (3) și (4) și a articolului 17 alineatele (1) și (2) din Regulamentul 2018/1725, precum și a principiului transparenței prevăzut la articolul 4 alineatul (1) litera (a) din regulamentul menționat. În al doilea rând, el solicită plata sumei de 400 de euro pentru repararea prejudiciului moral pe care l‑ar fi suferit ca urmare a transferurilor în litigiu efectuate cu încălcarea articolului 46 și a articolului 48 alineatul (1) și alineatul (2) litera (b) din Regulamentul 2018/1725.
45 Comisia solicită respingerea concluziilor cu privire la despăgubiri.
Considerații introductive cu privire la condițiile de angajare a răspunderii extracontractuale a Uniunii în cadrul Regulamentului 2018/1725
46 Articolul 65 din Regulamentul 2018/1725 prevede că orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a acestui regulament are dreptul să obțină despăgubiri de la instituția sau organul Uniunii pentru prejudiciul suferit „în condițiile prevăzute de tratate”.
47 Este necesar să se interpreteze acest articol 65 din Regulamentul 2018/1725 în sensul că prevede că dreptul de a obține de la instituția sau organul Uniunii repararea prejudiciului suferit ca urmare a unei încălcări a acestui regulament este recunoscut în condițiile prevăzute la articolul 340 al doilea paragraf TFUE, în temeiul căruia Uniunea este obligată să repare, în conformitate cu principiile generale comune ordinilor juridice ale statelor membre, prejudiciile cauzate de instituțiile sale sau de agenții săi în exercițiul funcțiunilor lor.
48 Potrivit unei jurisprudențe constante, angajarea răspunderii extracontractuale a Uniunii presupune întrunirea a trei condiții cumulative, și anume nelegalitatea comportamentului imputat instituțiilor, caracterul real al prejudiciului și existența unei legături de cauzalitate între acest comportament și prejudiciul invocat (a se vedea în acest sens Hotărârea din 4 iulie 2000, Bergaderm și Goupil/Comisia, C‑352/98 P, EU:C:2000:361, punctele 39-42, și Hotărârea din 28 octombrie 2021, Vialto Consulting/Comisia, C‑650/19 P, EU:C:2021:879, punctul 138).
49 Caracterul cumulativ al acestor condiții implică faptul că, în cazul în care una dintre ele nu este îndeplinită, acțiunea în despăgubire trebuie respinsă în totalitate, fără a fi necesară examinarea celorlalte condiții (Hotărârea din 9 septembrie 1999, Lucaccioni/Comisia, C‑257/98 P, EU:C:1999:402, punctele 14 și 63; a se vedea de asemenea Hotărârea din 25 februarie 2021, Dalli/Comisia, C‑615/19 P, EU:C:2021:133, punctul 42 și jurisprudența citată).
50 În ceea ce privește prima condiție, jurisprudența impune să se constate existența unei încălcări suficient de grave a unei norme de drept având ca obiect acordarea de drepturi particularilor (a se vedea Hotărârea din 4 iulie 2000, Bergaderm și Goupil/Comisia, C‑352/98 P, EU:C:2000:361, punctul 42 și jurisprudența citată).
51 Această cerință privind existența unei încălcări suficient de grave a dreptului Uniunii urmărește, indiferent de natura actului ilicit în discuție, să se evite ca riscul de a suporta prejudiciile pretinse de persoanele vizate să limiteze capacitatea instituției în cauză de a‑și exercita pe deplin competențele în interesul general, atât în cadrul activității sale cu caracter normativ sau care implică alegeri de politică economică, cât și în domeniul competenței sale administrative, asigurându‑se în același timp că particularii nu suportă consecințele neîndeplinirii flagrante și nejustificabile a unor obligații (a se vedea în acest sens Hotărârea din 14 decembrie 2018, East West Consulting/Comisia, T‑298/16, EU:T:2018:967, punctul 124 și jurisprudența citată).
52 Criteriul decisiv care permite să se considere că o încălcare este suficient de gravă constă în nerespectarea manifestă și gravă de către instituția sau organul Uniunii în cauză a limitelor impuse puterii sale de apreciere. Atunci când această instituție sau acest organ dispune doar de o marjă de apreciere considerabil redusă, chiar inexistentă, simpla încălcare a dreptului Uniunii poate fi suficientă pentru a stabili existența unei încălcări suficient de grave (a se vedea Hotărârea din 10 decembrie 2002, Comisia/Camar și Tico, C‑312/00 P, EU:C:2002:736, punctul 54 și jurisprudența citată). Această jurisprudență nu stabilește însă nicio legătură automată între, pe de o parte, lipsa puterii de apreciere a instituției în cauză și, pe de altă parte, calificarea încălcării ca fiind o încălcare suficient de gravă a dreptului Uniunii (Hotărârea din 3 martie 2010, Artegodan/Comisia, T‑429/05, EU:T:2010:60, punctul 59). Astfel, chiar dacă are un caracter determinant, întinderea puterii de apreciere a instituției în cauză nu constituie un criteriu exclusiv. În această privință, Curtea a amintit în mod constant că regimul pe care l‑a stabilit pe baza articolului 340 al doilea paragraf TFUE ia totodată în considerare în special complexitatea situațiilor pe care trebuie să le soluționeze și dificultățile de aplicare sau de interpretare a textelor (a se vedea Hotărârea din 23 noiembrie 2011, Sison/Consiliul, T‑341/07, EU:T:2011:687, punctele 36 și 37 și jurisprudența citată) sau, mai general, domeniul, condițiile și contextul în care norma încălcată este obligatorie pentru instituția sau organul Uniunii în cauză (a se vedea Hotărârea din 4 aprilie 2017, Ombudsmanul/Staelen (C‑337/15 P, EU:C:2017:256, punctul 40 și jurisprudența citată).
53 Rezultă din aceasta că simpla constatare a existenței unei nereguli care nu ar fi fost comisă în împrejurări similare de o administrație care acționează cu prudența și diligența obișnuite poate să angajeze răspunderea Uniunii. Prin urmare, este de competența instanței Uniunii ca, după ce va fi stabilit dacă instituția în cauză dispune de o marjă de apreciere, să ia în considerare complexitatea situației pe care trebuie să o soluționeze, dificultățile de aplicare sau de interpretare a textelor, gradul de claritate și de precizie al normei încălcate și caracterul intenționat sau inexcuzabil al erorii săvârșite (Hotărârea din 3 martie 2010, Artegodan/Comisia, T‑429/05, EU:T:2010:60, punctul 62).
54 În ceea ce privește condiția referitoare la caracterul real al prejudiciului, acesta din urmă trebuie să fie real și cert, ceea ce îi revine reclamantului să dovedească (a se vedea Hotărârea din 9 noiembrie 2006, Agraz și alții/Comisia, C‑243/05 P, EU:C:2006:708, punctul 27 și jurisprudența citată). În schimb, o daună pur ipotetică și nedeterminată nu dă naștere unui drept la reparare (a se vedea Hotărârea din 26 octombrie 2011, Dufour/BCE, T‑436/09, EU:T:2011:634, punctul 192 și jurisprudența citată).
55 Această ultimă condiție referitoare la legătura de cauzalitate privește existența unei legături suficient de directe de cauzalitate între comportamentul imputat instituției și prejudiciu, legătură pentru care sarcina probei îi revine reclamantului, astfel încât comportamentul reproșat trebuie să fie cauza determinantă a prejudiciului (a se vedea Hotărârea din 13 decembrie 2018, Uniunea Europeană/ASPLA și Armando Álvarez, C‑174/17 P și C‑222/17 P, EU:C:2018:1015, punctul 23 și jurisprudența citată).
56 Pe de altă parte, trebuie amintit că acțiunea în despăgubire, întemeiată pe articolul 340 al doilea paragraf TFUE, a fost instituită ca o cale de atac autonomă, cu o funcție specială în cadrul sistemului căilor de atac și supusă unor condiții de exercitare concepute în vederea atingerii obiectului său specific, astfel încât declararea inadmisibilității cererii de anulare nu atrage după sine în mod automat inadmisibilitatea cererii de despăgubire (a se vedea Hotărârea din 5 septembrie 2019, Uniunea Europeană/Guardian Europe și Guardian Europe/Uniunea Europeană, C‑447/17 P și C‑479/17 P, EU:C:2019:672, punctul 49 și jurisprudența citată).
57 Rezultă că respingerea cererii de anulare din cauza inadmisibilității ei și respingerea cererii de constatare a abținerii de a acționa din cauza faptului că nu mai este necesară pronunțarea asupra acesteia, conform celor stabilite la punctele 35 și 43 de mai sus, nu implică pe cale de consecință respingerea ca inadmisibile a cererilor de despăgubire menționate la punctul 44 de mai sus.
58 Criticile invocate de reclamant în cadrul cererilor sale de despăgubire trebuie analizate în lumina acestor considerații.
Cu privire la prima cerere de despăgubire, având ca obiect repararea prejudiciului moral ce rezultă din încălcarea dreptului de acces la informații
59 Prin intermediul primei cereri de despăgubire, reclamantul solicită obligarea Comisiei la plata sumei de 800 de euro pentru repararea prejudiciului moral suferit ca urmare a încălcării dreptului său de acces la informații.
60 Mai întâi, reclamantul reproșează Comisiei că nu i‑a răspuns la cererea de informații din 1 aprilie 2022 în termenul prevăzut și că nu i‑a comunicat motivele inacțiunii sale, încălcând articolul 14 alineatele (3) și (4) și articolul 17 alineatele (1) și (2) din Regulamentul 2018/1725, precum și principiul transparenței prevăzut la articolul 4 alineatul (1) litera (a) din același regulament. În plus, Comisia nu ar fi respectat articolul 17 alineatul (1) litera (c) și alineatul (2) din Regulamentul 2018/1725, întrucât declarația privind protecția vieții private, care figurează pe site‑ul internet al CAE, nu ar conține informații referitoare la transferul de date cu caracter personal către țări terțe și la eventuale garanții adecvate pentru efectuarea transferului menționat, astfel cum impune articolul 48 din regulamentul menționat. În plus, în e‑mailul din 3 decembrie 2021, Comisia ar fi furnizat informații eronate, în condițiile în care a negat efectuarea transferului de date cu caracter personal ale reclamantului către destinatari situați în Statele Unite.
61 În continuare, reclamantul susține că inacțiunea culpabilă a Comisiei l‑a împiedicat să aibă un control asupra prelucrării datelor sale cu caracter personal, ceea ce constituie un prejudiciu moral în sensul considerentului (46) al Regulamentului 2018/1725. În sfârșit, el arată că acest prejudiciu moral, pe care îl evaluează la 800 de euro, este cauzat în mod direct de comportamentul culpabil al Comisiei.
62 Comisia contestă aceste argumente susținând în esență că niciuna dintre condițiile de angajare a răspunderii extracontractuale nu este îndeplinită în speță.
63 Mai întâi, în ceea ce privește condiția privind nelegalitatea comportamentului reproșat, trebuie să se verifice dacă reclamantul a invocat încălcarea normelor de drept care au ca obiect conferirea de drepturi particularilor.
64 În această privință, trebuie să se observe că articolul 17 alineatul (1) litera (c) din Regulamentul 2018/1725 stabilește un drept al persoanei vizate de acces la informații privind destinatarii cărora le‑au fost comunicate datele sale cu caracter personal, în special destinatarii care sunt stabiliți în țări terțe. Această dispoziție concretizează, așadar, principiul consacrat la articolul 4 alineatul (1) litera (a) din Regulamentul 2018/1725, potrivit căruia orice informație și orice comunicare referitoare la prelucrarea datelor cu caracter personal trebuie să fie ușor accesibilă.
65 În plus, articolul 14 alineatul (3) din Regulamentul 2018/1725 stabilește un termen de o lună operatorului de date cu caracter personal pentru a răspunde la cererile de informații. În plus, articolul 14 alineatul (4) din acest regulament impune operatorului de date cu caracter personal ca, în cazul în care decide să nu dea curs cererii, să informeze solicitantul, în termen de o lună, cu privire la motivele inacțiunii sale, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor (AEPD) și de a exercita o cale de atac judiciară. Prin urmare, aceste dispoziții sunt norme de procedură administrativă care contribuie la punerea în aplicare a dreptului de acces la informațiile privind datele cu caracter personal ale persoanei vizate prin materializarea și adaptarea lui. În plus, aceste dispoziții contribuie la materializarea dreptului acordat oricărei persoane, în temeiul articolului 41 din cartă, de a beneficia, în ceea ce privește problemele sale, de un tratament într‑un termen rezonabil din partea instituțiilor și organelor Uniunii.
66 În consecință, dispozițiile articolului 4 alineatul (1) litera (a), ale articolului 14 alineatele (3) și (4) și ale articolului 17 alineatul (1) litera (c) din Regulamentul 2018/1725 coroborate constituie norme de drept care au ca obiect conferirea de drepturi particularilor, în sensul jurisprudenței menționate la punctul 50 de mai sus.
67 În continuare, trebuie să se examineze dacă s‑a făcut în speță dovada existenței unei încălcări a acestor dispoziții de către Comisie.
68 Pe de o parte, reclamantul susține că Comisia a încălcat articolul 17 alineatul (1) litera (c) și alineatul (2) din Regulamentul 2018/1725, întrucât declarația referitoare la protecția vieții private care figurează pe site‑ul internet al CAE nu conține informații cu privire la transferul de date cu caracter personal către destinatari stabiliți în țări terțe, cu privire la eventuale garanții adecvate în legătură cu transferul respectiv sau la identificarea contractanților ca destinatari ai acestor date.
69 Astfel cum se menționează la punctul 64 de mai sus, articolul 17 alineatul (1) litera (c) și alineatul (2) din Regulamentul 2018/1725 prevede că persoana vizată are printre altele dreptul de a obține informații cu privire la destinatarii stabiliți în țări terțe cărora le‑au fost comunicate datele cu caracter personal, precum și cu privire la garanțiile adecvate privind transferurile de date către acești destinatari.
70 Rezultă că aceste dispoziții instituie un drept de acces al persoanei vizate la anumite informații, dar nu prevăd că informațiile respective trebuie să figureze în mod obligatoriu pe un document anume sau chiar pe o declarație referitoare la protecția vieții private precum cea care figurează pe site‑ul internet al CAE. Cu alte cuvinte, din aceste dispoziții nu rezultă că informațiile în cauză trebuie divulgate prin intermediul acelei declarații. Reclamantul însă, la fel ca orice persoană vizată, își păstrează dreptul de a obține astfel de informații prin exercitarea dreptului său de acces la informații, prevăzut la articolul 17 alineatul (1) litera (c) și alineatul (2) din Regulamentul 2018/1725, aspect care depășește întinderea nelegalității pe care reclamantul o reproșează Comisiei, care se limitează la conținutul declarației referitoare la protecția vieții private (a se vedea punctul 68 de mai sus).
71 În orice caz, în speță, din modul de redactare a declarației menționate referitoare la protecția vieții private, anexată la cererea introductivă, rezultă că aceasta conține informații privind destinatarii sau categoriile de destinatari cărora le‑au fost sau urmează să le fie comunicate datele cu caracter personal. Astfel, la punctul 7 din declarația menționată se menționează în special că accesul la date este „acordat personalului autorizat al [Comisiei] și contractanților săi însărcinați cu efectuarea operațiunii de prelucrare în cauză, în conformitate cu principiul «nevoii de cunoaștere»”. În plus, argumentul reclamantului care are la bază faptul că declarația respectivă nu ar conține informații cu privire la transferul de date cu caracter personal către destinatari stabiliți în țări terțe se întemeiază pe ipoteza că o consultare a site‑ului internet al CAE implică un transfer de date cu caracter personal ale utilizatorilor către o țară terță. Cu toate acestea, prezenta cerere de despăgubire vizează încălcarea dreptului de acces la informații, iar nu încălcarea dispozițiilor privind transferul de date cu caracter personal către țări terțe care constituie de altfel justificarea celei de a doua cereri de despăgubire.
72 Prin urmare, nu s‑a demonstrat în speță încălcarea de către Comisie a articolului 17 alineatul (1) litera (c) și alineatul (2) din Regulamentul 2018/1725 în ceea ce privește declarația referitoare la protecția vieții private care figurează pe site‑ul internet al CAE.
73 Pe de altă parte, reclamantul reproșează Comisiei că nu a răspuns la cererea de informații din 1 aprilie 2022 în termenul prevăzut și că nu l‑a informat cu privire la motivele inacțiunii sale, încălcând articolul 14 alineatele (3) și (4) și articolul 17 alineatele (1) și (2) din Regulamentul 2018/1725, precum și principiul transparenței. În plus, Comisia i‑ar fi comunicat informații eronate în e‑mailul din 3 decembrie 2021.
74 Trebuie observat de la bun început că reclamantul nu prezintă niciun argument concret în susținerea încălcării principiului transparenței. Acest argument nu are, așadar, un conținut autonom față de critica întemeiată pe nerespectarea termenului de răspuns la solicitarea de informații și pe obligația de a comunica motivele depășirii acestui termen.
75 În plus, argumentele reclamantului întemeiate pe încălcarea articolului 17 alineatele (1) și (2) din Regulamentul 2018/1725, precum și pe comunicarea de informații eronate de către Comisie prin e‑mailul din 3 decembrie 2021 au la bază ipoteza potrivit căreia consultarea site‑ului internet al CAE implică un transfer de date cu caracter personal ale utilizatorilor către o țară terță. Or, astfel cum s‑a menționat la punctul 71 de mai sus, prezenta cerere de despăgubire se întemeiază pe încălcarea dreptului de acces la informații, iar nu pe încălcarea dispozițiilor privind transferul de date cu caracter personal către țări terțe care se află la baza celei de a doua cereri de despăgubire.
76 Prin urmare, nu s‑a demonstrat în speță că Comisia a încălcat articolul 17 alineatele (1) și (2) din Regulamentul 2018/1725.
77 În ceea ce privește critica reclamantului întemeiată pe încălcarea articolului 14 alineatele (3) și (4) din Regulamentul 2018/1725, rezultă din dosar că Comisia i‑a răspuns la cererea de informații din 9 noiembrie 2021 în termenul de o lună prevăzut la articolul 14 alineatul (3) din Regulamentul 2018/1725 (a se vedea punctele 5 și 7 de mai sus). În ceea ce privește cererea de informații din 1 aprilie 2022, Comisia l‑a informat pe reclamant, prin e‑mailul din 30 iunie 2022, că aprecia că cererea de informații din 1 aprilie 2022 era aproape identică cu cererea de informații din 9 noiembrie 2021 și că răspunsese deja la ea prin e‑mailul din 3 decembrie 2021 (a se vedea punctul 11 de mai sus).
78 Rezultă că, în ceea ce privește cererea de informații din 1 aprilie 2022, Comisia nu a respectat termenul de o lună prevăzut la articolul 14 alineatul (4) din Regulamentul 2018/1725 (a se vedea punctul 65 de mai sus).
79 Din cuprinsul punctelor 68-78 de mai sus rezultă că singura nelegalitate reproșată Comisiei care este dovedită în speță este cea a nerespectării termenului prevăzut la articolul 14 alineatul (4) din Regulamentul 2018/1725.
80 În aceste împrejurări și independent de problema dacă nerespectarea de către Comisie a termenului menționat constituie o încălcare suficient de gravă a unei norme de drept, trebuie să se examineze de la bun început dacă nerespectarea acestui termen i‑a cauzat reclamantului un prejudiciu moral real și cert, în sensul jurisprudenței amintite la punctul 54 de mai sus.
81 În ceea ce privește caracterul real al prejudiciului moral pretins suferit, trebuie amintit că, deși prezentarea unei propuneri de probatoriu nu este considerată neapărat o condiție pentru recunoașterea existenței unui prejudiciu moral, reclamantul are cel puțin sarcina de a dovedi că comportamentul reproșat instituției în cauză a fost de natură să îi cauzeze un astfel de prejudiciu (Hotărârea din 16 iulie 2009, SELEX Sistemi Integrati/Comisia, C‑481/07 P, nepublicată, EU:C:2009:461, punctul 38; a se vedea de asemenea Hotărârea din 2 iulie 2019, Fulmen/Consiliul, T‑405/15, EU:T:2019:469, punctul 188 și jurisprudența citată).
82 În speță, reclamantul solicită repararea unui prejudiciu moral în cuantum de 800 de euro, susținând că comportamentul reproșat Comisiei l‑a împiedicat să aibă controlul asupra prelucrării datelor sale cu caracter personal.
83 Cu toate acestea, trebuie să se constate că un astfel de prejudiciu moral nu este demonstrat în speță. Astfel, singura nelegalitate stabilită în speță este cea a nerespectării de către Comisie a termenului de o lună prevăzut la articolul 14 alineatul (4) din Regulamentul 2018/1725 (a se vedea punctul 79 de mai sus). Or, acest termen nu a fost depășit cu mai mult de două luni (a se vedea punctul 77 de mai sus). În plus, cererile de informații din 9 noiembrie 2021 și din 1 aprilie 2022 erau fundamental aceleași (a se vedea punctele 5 și 8 de mai sus), astfel încât reclamantul primise deja răspuns cel puțin la o parte din cererea sa de informații la 3 decembrie 2021, dată la care Comisia a răspuns la cererea de informații din 9 noiembrie 2021 (a se vedea punctul 7 de mai sus).
84 Pe de altă parte, argumentul reclamantului întemeiat pe comunicarea unor informații eronate (a se vedea punctul 75 de mai sus) privește temeinicia informațiilor, iar nu respectarea normei de procedură a cărei încălcare a fost constatată la punctul 78 de mai sus și nu este, așadar, pertinentă pentru a demonstra prejudiciul moral invocat.
85 Rezultă că nu s‑a demonstrat că nerespectarea de către Comisie a termenului prevăzut la articolul 14 alineatul (4) din Regulamentul 2018/1725 era de natură să îi cauzeze reclamantului prejudiciul moral invocat.
86 În consecință, este necesar să se respingă prima cerere de despăgubire a reclamantului din moment ce nu este îndeplinită una dintre condițiile cumulative de angajare a răspunderii extracontractuale a Uniunii prevăzute la articolul 340 al doilea paragraf TFUE.
Cu privire la a doua cerere de despăgubire având ca obiect repararea prejudiciului moral produs prin transferurile în litigiu
87 Prin intermediul celei de a doua cereri de despăgubire, reclamantul solicită plata sumei de 400 de euro pentru repararea prejudiciului moral pe care l‑ar fi suferit ca urmare a transferurilor în litigiu menționate la punctele 26-28 de mai sus, și anume transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022, transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022 și transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 8 iunie 2022.
88 Reclamantul susține în esență că transferurile în litigiu au avut loc către destinatari stabiliți în Statele Unite, țară care nu are un nivel de protecție adecvat. Comisia nu a evocat niciuna dintre garanțiile adecvate care să poată justifica aceste transferuri, prevăzute în capitolul V din Regulamentul 2018/1725, și ar fi încălcat, așadar, articolul 46 și articolul 48 alineatul (1) și alineatul (2) litera (b) din acest regulament, precum și articolele 7, 8 și 47 din cartă. Transferurile în litigiu ar fi determinat riscul ca agențiile de securitate și de informații din această țară să aibă acces la datele reclamantului și, în consecință, i s‑a cauzat un prejudiciu moral în sensul considerentului (46) al Regulamentului 2018/1725, prin faptul că a fost privat de drepturile și libertățile sale și împiedicat să exercite controlul asupra datelor sale.
89 Comisia contestă aceste argumente, susținând în esență că condițiile de angajare a răspunderii extracontractuale nu sunt îndeplinite în speță.
– Considerații introductive cu privire la dispozițiile privind transferul de date cu caracter personal către o țară terță
90 În primul rând, trebuie subliniat că, potrivit articolului 2 alineatul (5), Regulamentul 2018/1725 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență sau care sunt destinate să facă parte dintr‑un sistem de evidență.
91 În al doilea rând, noțiunea de „date cu caracter personal” trebuie interpretată în sensul că corespunde oricărei informații referitoare la o persoană fizică identificată sau identificabilă, în conformitate cu articolul 3 punctul 1 din Regulamentul 2018/1725.
92 În al treilea rând, trebuie să se observe că transferul de date constituie o operațiune de „prelucrare” de date în sensul articolului 3 punctul 3 din Regulamentul 2018/1725.
93 În al patrulea rând, este necesar să se observe că „transferurile de date cu caracter personal către țări terțe sau organizații internaționale” sunt reglementate în capitolul V din Regulamentul 2018/1725, care însă nu le definește.
94 Cu toate acestea, din considerentul (63) al Regulamentului 2018/1725 reiese că transferurile menționate în capitolul V din acest regulament privesc datele cu caracter personal transferate din instituții și organisme ale Uniunii către operatori, persoane împuternicite de operatori sau alți destinatari din țări terțe sau către organizații internaționale.
95 În plus, rezultă dintr‑o interpretare sistematică a Regulamentului 2018/1725 că transferul de date cu caracter personal către țări terțe, în sensul articolului 46 din acesta, impune, în primul rând, ca operatorul datelor în cauză să aparțină unei instituții sau unui organ al Uniunii și, prin urmare, să intre sub incidența regulamentului menționat (articolul 1 din Regulamentul 2018/1725), în al doilea rând, ca operatorul să pună date cu caracter personal, prin transmitere sau în alt mod, la dispoziția unui destinatar, în special la dispoziția unei alte persoane fizice sau juridice (articolul 3 punctele 3 și 13 din Regulamentul 2018/1725) și, în al treilea rând, ca acest destinatar să fie stabilit într‑o țară terță (articolul 46 din Regulamentul 2018/1725), și anume o țară care nu este membră nici a Uniunii, nici a Spațiului Economic European (SEE).
96 În al cincilea rând, trebuie să se constate că dispozițiile capitolului V din Regulamentul 2018/1725 urmăresc ca la efectuarea transferurilor de date cu caracter personal către țări terțe sau organizații internaționale să fie menținut nivelul de protecție a persoanelor fizice garantat în Uniune, în conformitate cu obiectivul precizat în considerentul (63) al acestuia.
97 În al șaselea rând, articolul 46 din Regulamentul 2018/1725 prevede un principiu general potrivit căruia un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc doar dacă, sub rezerva celorlalte dispoziții ale acestui regulament, condițiile prevăzute în capitolul V din acesta sunt respectate de operator și de persoana împuternicită de operator.
98 În al șaptelea rând, în ceea ce privește condițiile definite în capitolul V din Regulamentul 2018/1725, trebuie să se observe că articolul 47 alineatul (1) din acest regulament prevede că un transfer de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a stabilit, printr‑o decizie privind caracterul adecvat al nivelului de protecție adoptată printre altele în temeiul articolului 45 alineatul (3) din Regulamentul 2016/679, că țara sau organizația internațională în cauză asigură un nivel de protecție adecvat și că transferul datelor cu caracter personal are loc exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competența operatorului.
99 În această privință, trebuie amintit că cele două decizii privind caracterul adecvat al nivelului de protecție adoptate de Comisie referitoare la Statele Unite au fost declarate nevalide. Pe de o parte, prin Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650), Curtea a declarat nevalidă Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al Statelor Unite ale Americii (JO 2000, L 215, p. 7). Pe de altă parte, prin Hotărârea Schrems II, Curtea a declarat nevalidă Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA (JO 2016, L 207, p. 1).
100 Rezultă că, la data transferurilor în litigiu, nu exista nicio decizie privind caracterul adecvat al nivelului de protecție, în sensul articolului 47 din Regulamentul 2018/1725, în ceea ce privește Statele Unite.
101 În lipsa unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție în ceea ce privește Statele Unite, este aplicabil articolul 48 alineatul (1) din Regulamentul 2018/1725, potrivit căruia transferul de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.
102 Garanțiile adecvate vizate la articolul 48 alineatul (1) din Regulamentul 2018/1725, enumerate la articolul 48 alineatele (2) și (3) din acest regulament, pot fi furnizate printre altele prin clauze standard de protecție a datelor, adoptate de Comisie în conformitate cu articolul 48 alineatul (2) litera (b) din acest regulament.
103 Cu toate acestea, clauzele standard de protecție a datelor prevăzute la articolul 48 alineatul (2) litera (b) din Regulamentul 2018/1725 pot necesita adoptarea unor măsuri suplimentare pentru a asigura respectarea nivelului de protecție adecvat în raport cu dreptul Uniunii (a se vedea prin analogie Hotărârea Schrems II, punctele 133 și 134).
104 În plus, garanțiile adecvate menționate la articolul 48 alineatul (1) din Regulamentul 2018/1725 pot fi furnizate printre altele, prin clauze contractuale, prevăzute la articolul 48 alineatul (3) litera (a) din regulamentul menționat, asupra cărora au căzut de acord operatorul sau persoana împuternicită de operator, pe de o parte, și operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țara terță, pe de altă parte, sub rezerva autorizării de către AEPD.
105 Pe de altă parte, trebuie amintit că articolele 7, 8 și 47 din cartă stabilesc dreptul la respectarea vieții private, dreptul la protecția datelor cu caracter personal și, respectiv, dreptul la o cale de atac efectivă și la un proces echitabil.
106 În speță, trebuie să se observe de la bun început că a doua cerere de despăgubire a reclamantului se întemeiază pe încălcarea de către Comisie a dispozițiilor articolului 46 și ale articolului 48 alineatul (1) și alineatul (2) litera (b) din Regulamentul 2018/1725, precum și a articolelor 7, 8 și 47 din cartă. Or, din cuprinsul punctelor 91-105 de mai sus rezultă că dispozițiile menționate ale Regulamentului 2018/1725 prevăd drepturi fundamentale precum cele stabilite la articolele 7 și 8 din cartă și urmăresc în ansamblul lor să asigure continuitatea nivelului ridicat de protecție a datelor cu caracter personal în cazul transferului acestor date către țări terțe sau organizații internaționale.
107 Rezultă că dispozițiile a căror încălcare este invocată de reclamant în susținerea celei de a doua cereri de despăgubire urmăresc să protejeze interesul individual al persoanelor în cauză și constituie astfel norme de drept care au ca obiect conferirea de drepturi particularilor, în sensul jurisprudenței amintite la punctul 50 de mai sus.
108 Trebuie să se verifice în continuare dacă sunt îndeplinite condițiile de angajare a răspunderii extracontractuale a Comisiei pentru fiecare dintre cele trei transferuri în litigiu menționate la punctul 87 de mai sus.
109 Dat fiind că transferurile în litigiu menționate la punctele 26 și 28 de mai sus au avut loc ca urmare a utilizării de către site‑ul internet al CAE a rețelei de difuzare de conținut sau „RDC” (în limba engleză, „content delivery network” sau „CDN”) denumită Amazon CloudFront (denumită în continuare „serviciul Amazon CloudFront”), trebuie mai întâi analizate condițiile de funcționare a acestui serviciu în cadrul acestui site internet.
– Cu privire la funcționarea serviciului Amazon CloudFront în cadrul site‑ului internet al CAE
110 În speță, este cert că site‑ul internet al CAE utilizează rețeaua de difuzare a conținutului Amazon CloudFront și că această rețea este activată cu ocazia fiecărei consultări a acestui site internet de către un utilizator.
111 Din dosar și în special din răspunsurile părților la măsura de organizare a procedurii din 21 iulie 2023, precum și din pledoariile și din răspunsurile acestora în ședința din 17 octombrie 2023 rezultă că, în primul rând, serviciul Amazon CloudFront este un serviciu internet care accelerează distribuirea către utilizatori a conținuturilor internet, în speță a conținutului site‑ului internet al CAE. Serviciul Amazon CloudFront difuzează conținutul prin intermediul unei rețele mondiale de servere sau de centre de date denumite „amplasamente periferice” sau „servere periferice”.
112 În al doilea rând, serviciul Amazon CloudFront se bazează pe un mecanism de rutare care direcționează cererea unui utilizator de pe site‑ul internet al CAE către serverul periferic care furnizează timpul de latență cel mai scăzut, potrivit unui principiu al proximității cu terminalul utilizatorului, astfel încât conținutul să fie transmis utilizatorului în cele mai bune condiții posibile. În cazul în care, în special din cauza unor dificultăți tehnice, serverul periferic cu latența cea mai scăzută nu este disponibil, se face conexiunea cu serverul periferic care are a doua cea mai scăzută latență și așa mai departe.
113 În al treilea rând, serviciul Amazon CloudFront este utilizat pentru site‑ul internet al CAE în temeiul contractului nr. 2020-1742, semnat între Comisie și AWS EMEA, aceasta fiind o filială deținută de întreprinderea de drept american Amazon.com care are sediul social în Luxemburg (a se vedea punctul 12 de mai sus).
114 În al patrulea rând, în cadrul acestui contract, Comisia a optat, în ceea ce privește site‑ul internet al CAE, pentru zona geografică denumită „America de Nord (Statele Unite, Mexic, Canada), Europa și Israel”. Aceasta înseamnă că difuzarea conținutului acestui site internet nu se realizează prin intermediul rețelei mondiale de amplasamente periferice a Amazon CloudFront, ci doar prin intermediul celor care se află în zonele geografice sus‑menționate, și anume în Statele Unite, în Mexic, în Canada, în Europa și în Israel.
115 În al cincilea rând, având în vedere principiul proximității menționat la punctul 112 de mai sus, cererile de consultare a site‑ului internet al CAE de către utilizatori ai Uniunii sunt direcționate în mod obișnuit către servere periferice ale rețelei Amazon CloudFront aflate pe acest teritoriu, în timp ce cazurile în care aceste cereri sunt direcționate către servere din afara Uniunii sunt rare.
116 În al șaselea rând, în ceea ce privește infrastructura rețelei de amplasamente periferice a Amazon CloudFront, reiese din dosar că aceasta este furnizată de un ansamblu de întreprinderi, dintre care unele aparțin grupului Amazon, iar altele sunt întreprinderi terțe, lista cu acestea putând fi consultată pe site‑ul internet al Amazon Web Services, în funcție de zona geografică vizată. În ceea ce privește zona geografică denumită „America de Nord (Statele Unite, Mexic, Canada), Europa și Israel”, întreprinderile în cauză sunt stabilite atât în state membre ale Uniunii, cât și în afara Uniunii, în special în Statele Unite, Israel, Mexic, Elveția sau Regatul Unit. Fiecare întreprindere exploatează servere în țara în care este stabilită și, în consecință, localizarea geografică a serverelor care sunt implicate în prestarea serviciului Amazon CloudFront depinde de asemenea de localizarea întreprinderilor în cauză.
117 În al șaptelea rând, clauzele contractului încheiat între Comisie și AWS EMEA prevăd printre altele următoarele:
– AWS EMEA trebuie să fie în măsură să garanteze că datele rămân în repaus și în tranzit pe teritoriul SEE (punctul 11.2 din contract);
– AWS EMEA nu are dreptul de a schimba locul prelucrării datelor fără autorizarea prealabilă a Comisiei [punctul 12.2.3 litera (a) din contract];
– orice transfer de date cu caracter personal efectuat în temeiul contractului către țări terțe sau organizații internaționale trebuie să respecte pe deplin cerințele prevăzute în capitolul V din Regulamentul 2018/1725 [punctul 12.2.3 litera (b) din contract];
– AWS EMEA nu poate transfera deloc date personale către o țară din afara SEE, cu excepția cazului în care Comisia a autorizat în prealabil în scris un astfel de transfer, iar transferul are loc cu respectarea condițiilor prevăzute în capitolul V (punctul 1.8.9 din contract);
– AWS EMEA trebuie să transmită Comisiei orice cerere de acces la datele cu caracter personal și trebuie să utilizeze toate căile de atac disponibile împotriva acestor cereri (punctele 1.8.3, 1.8.4 și 1.8.5 din contract);
– AWS EMEA trebuie să se asigure că aceste măsuri sunt puse în aplicare și în cazul în care se recurge la subcontractanți (punctele 1.8.8 din contract).
118 În al optulea rând, Comisia a consultat AEPD cu privire la clauzele contractuale sus‑menționate, însă acestea nu au făcut obiectul unei autorizări oficiale din partea acesteia, conform articolului 48 alineatul (3) litera (a) din Regulamentul 2018/1725.
– Transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022
119 Reclamantul susține în esență că, la momentul consultării site‑ului internet al CAE la 30 martie 2022, a constatat că anumite date cu caracter personal care îi aparțin, în special adresa sa IP și informații privind browserul și terminalul său, fuseseră transferate către Statele Unite. Astfel, în primul rând, site‑ul internet menționat ar utiliza o rețea de difuzare de conținut denumită „Amazon CloudFront”, al cărei operator ar fi Amazon Web Services, o întreprindere americană care este o filială a întreprinderii americane Amazon.com. În al doilea rând, cu ocazia acestei consultări a site‑ului, unele date cu caracter personal ale reclamantului ar fi fost transmise serviciului Amazon CloudFront, mai precis serverului Amazon.com aflat în Seattle (Washington, Statele Unite), a cărui adresă IP ar fi 18.66.192.74. În al treilea rând, cheia de securitate utilizată de site‑ul internet al CAE (denumită „certificat SSL”) ar fi fost furnizată de Amazon, motiv pentru care ar trebui să se prezume că Amazon avea posibilitatea de a decripta toate datele cu caracter personal ale reclamantului transferate către serverele sale, inclusiv opiniile sale cu privire la viitorul Europei. În al patrulea rând, întreprinderea care furnizează serviciul Amazon CloudFront ar fi supusă legilor americane și ar fi deci obligată să comunice informații serviciilor de securitate și de supraveghere din Statele Unite, chiar și în cazul în care serverele ar fi localizate în afara acestei țări. În plus, Comisia nu ar fi adoptat „măsuri suplimentare”, în sensul Hotărârii Schrems II, pentru a garanta un nivel adecvat de protecție a datelor transferate către Statele Unite.
120 Comisia contestă aceste argumente.
121 În ceea ce privește consultarea site‑ului internet al CAE din 30 martie 2022, din dosar rezultă că reclamantul a consultat acest site internet la acea dată (a se vedea punctul 3 de mai sus) și că, cu ocazia acelei consultări, a avut loc o transmitere a adresei sale IP și a informațiilor privind browserul și terminalul său.
122 În această privință, trebuie să se constate că adresa IP trebuie calificată drept una din datele cu caracter personal, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725, întrucât îndeplinește cele două condiții prevăzute de acest articol. Pe de o parte, această informație se raportează la o persoană fizică și, pe de altă parte, se raportează la o persoană identificată sau identificabilă, în speță reclamantul (Hotărârea din 26 aprilie 2023, SRB/AEPD, T‑557/20, atacată cu recurs, EU:T:2023:219, punctul 59; a se vedea de asemenea în acest sens și prin analogie Hotărârea din 24 noiembrie 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, punctul 51, și Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 49). Astfel, chiar adresele IP denumite „dinamice”, care sunt, prin natura lor, în schimbare, corespund unei identități precise la un moment dat care, în speță, coincide cu momentul în care a avut loc consultarea site‑ului internet al CAE.
123 S‑a demonstrat de asemenea că transferul de date menționat la punctul 121 de mai sus a fost lansat de site‑ul internet al CAE prin intermediul serviciului Amazon CloudFront către un server a cărui adresă IP este 18.66.192.74.
124 S‑a mai demonstrat că, la momentul faptelor, adresa IP 18.66.192.74 era atribuită unui server localizat la München (Germania) și că acest server aparținea întreprinderii A 100 ROW GmbH, care avea sediul în Germania și se afla în lista întreprinderilor menționată la punctul 116 de mai sus.
125 Rezultă că, desigur, cu ocazia consultării site‑ului internet al CAE din 30 martie 2022, a existat un transfer de date cu caracter personal ale reclamantului, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725, în special un transfer al adresei sale IP.
126 Cu toate acestea, nu s‑a demonstrat în speță că, la momentul consultării site‑ului internet al CAE din 30 martie 2022, a avut loc un transfer de date cu caracter personal ale reclamantului către o țară terță și în special către Statele Unite.
127 În schimb, din cuprinsul punctelor 121-124 de mai sus rezultă că, la momentul consultării site‑ului internet al CAE la 30 martie 2022, a fost lansat de site‑ul internet al CAE transferul de date cu caracter personal ale reclamantului prin intermediul serviciului Amazon CloudFront către un server localizat la München. Serverul menționat aparținea unei întreprinderi cu sediul în Germania care făcea parte din rețeaua de furnizori ai infrastructurii serviciului Amazon CloudFront, care este furnizat Comisiei pe baza unui contract încheiat cu AWS EMEA, întreprindere cu sediul în Luxemburg.
128 În consecință, cu ocazia consultării site‑ului internet al CAE din 30 martie 2022, datele cu caracter personal ale reclamantului au fost transmise unui destinatar stabilit în Uniune.
129 În plus, chiar admițând că datele cu caracter personal ale reclamantului nu au părăsit teritoriul Uniunii, aceste date au fost totuși transferate către un server aparținând rețelei de amplasamente periferice ale serviciului Amazon CloudFront care acoperă, în ceea ce privește difuzarea conținutului site‑ului internet al CAE, o rețea de amplasamente periferice ce nu se limitează la teritoriul SEE, ci se află și în afara acestui teritoriu (a se vedea punctul 116 de mai sus).
130 Cu toate acestea, împrejurările concrete descrise la punctul 127 de mai sus nu demonstrează existența unui transfer de date cu caracter personal către destinatari stabiliți în afara teritoriului SEE, în special în Statele Unite.
131 Transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022 nu corespunde, așadar, unui transfer de date cu caracter personal către o țară terță, în sensul articolului 46 din Regulamentul 2018/1725, întrucât conceptul de transfer către o țară terță impune ca datele cu caracter personal să fie puse la dispoziția unui destinatar stabilit în afara SEE (a se vedea punctul 93 de mai sus).
132 Argumentul reclamantului întemeiat pe faptul că AWS EMEA ar fi obligată, în calitate de filială a unei întreprinderi americane, să transmită date cu caracter personal autorităților americane, chiar și atunci când aceste date sunt stocate pe teritoriul Uniunii, nu răstoarnă această concluzie.
133 Deși este, desigur, adevărat că accesul la datele cu caracter personal prelucrate în SEE de autoritățile unei țări terțe în temeiul legislației acestei țări constituie un transfer de date cu caracter personal către o țară terță, în sensul articolului 46 din Regulamentul 2018/1725, totuși, în speță, nu s‑a stabilit că un astfel de acces a avut loc. Astfel, reclamantul nu a demonstrat sau invocat existența unei transmiteri de date cu caracter personal care îi aparțin către autoritățile americane și nici nu a demonstrat sau invocat existența unei cereri din partea acestor autorități privind datele care au fost transferate serverului menționat al Amazon CloudFront, localizat la München.
134 Prin urmare, argumentul reclamantului nu privește o încălcare directă a dispozițiilor capitolului V din Regulamentul 2018/1725, ci numai riscul unei astfel de încălcări în ipoteza în care AWS EMEA, ca urmare a calității sale de filială a unei întreprinderi americane, nu ar fi în măsură să se opună unei cereri din partea autorităților americane privind accesul la datele stocate în servere localizate pe teritoriul SEE.
135 Or, simplul risc ca o țară terță să aibă acces la date cu caracter personal nu poate corespunde unui transfer de date, în sensul articolului 46 din Regulamentul 2018/1725, astfel cum a fost interpretat la punctul 93 de mai sus, întrucât nu s‑a demonstrat că a avut loc o transmitere sau o punere la dispoziție în alt mod în favoarea unui destinatar stabilit într‑o țară terță a datelor cu caracter personal ale reclamantului. Cu alte cuvinte, riscul unei încălcări a articolului 46 menționat nu poate fi asimilat unei încălcări directe a acestei dispoziții.
136 În plus, trebuie amintit că, în cadrul prezentei cereri de despăgubire, examinarea Tribunalului privește verificarea condițiilor de angajare a răspunderii extracontractuale a Comisiei și în special a condiției referitoare la nelegalitatea comportamentului Comisiei, care impune să se facă dovada unei încălcări suficient de grave a dispozițiilor Regulamentului 2018/1725 și ale cartei invocate de reclamant.
137 În această privință, simplul risc al unei încălcări a dispozițiilor capitolului V din Regulamentul 2018/1725 nu poate, în orice caz, să fie suficient pentru a stabili existența unui comportament culpabil al Comisiei care să corespundă unei încălcări suficient de grave a acestor dispoziții.
138 Această concluzie nu este răsturnată de argumentul reclamantului întemeiat pe Hotărârea Schrems II. Astfel, trebuie să se observe că, în acea hotărâre, Curtea s‑a pronunțat cu privire la unele dintre condițiile în care pot avea loc transferuri de date cu caracter personal către Statele Unite, iar nu cu privire la cele în care astfel de date pot fi prelucrate, pe teritoriul SEE, de filiale ale unor societăți de drept american precum AWS EMEA.
139 Rezultă din tot ceea ce precedă că, în ceea ce privește transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022, reclamantul nu a demonstrat că Comisia a săvârșit o încălcare suficient de gravă, în sensul jurisprudenței amintite la punctul 50 de mai sus, a dispozițiilor articolului 46 și ale articolului 48 alineatul (1) și alineatul (2) litera (b) din Regulamentul 2018/1725, precum și a articolelor 7, 8 și 47 din cartă.
140 În consecință, din moment ce una dintre condițiile cumulative de angajare a răspunderii extracontractuale a Uniunii, prevăzute la articolul 340 al doilea paragraf TFUE, nu este îndeplinită, este necesar să se respingă a doua cerere de despăgubire în ceea ce privește transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 30 martie 2022, fără a fi necesară examinarea celorlalte argumente ale reclamantului.
– Transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 8 iunie 2022
141 Reclamantul susține că la momentul consultării site‑ului internet al CAE din 8 iunie 2022 a avut loc un transfer al datelor sale cu caracter personal, în special al adresei sale IP, către servere ale Amazon CloudFront situate în Statele Unite. Potrivit reclamantului, aceste transferuri nu decurg din activitatea sa ca utilizator al site‑ului internet, ci sunt rezultatul funcționării serviciului Amazon CloudFront în care riscul de transfer de date către Statele Unite este inerent infrastructurii mondiale ce stă la baza acestui serviciu. Situația reclamantului nu ar fi diferită de cea a unui cetățean al Uniunii care consultă site‑ul internet al CAE cu ocazia, de exemplu, a unei deplasări profesionale în Statele Unite. Comisia nu ar da dovadă de toată diligența necesară pentru a evita transferurile de date către Statele Unite, din moment ce a optat pentru o rețea de difuzare de conținut bazată pe o structură de nivel mondial, în locul unei soluții de hosting pur europene.
142 Potrivit reclamantului, respectivul transfer de date cu caracter personal i‑a cauzat un prejudiciu moral, în sensul considerentului (46) al Regulamentului 2018/1725, întrucât a pierdut controlul datelor sale, care au fost transferate către Statele Unite și supuse unei supravegheri ilegale din partea autorităților americane, și a fost privat de drepturile și libertățile sale.
143 Comisia contestă aceste argumente.
144 Cu titlu introductiv și ținând seama de argumentația reclamantului, trebuie amintit că, în cadrul prezentei cereri de despăgubire, examinarea Tribunalului nu privește în mod direct legalitatea deciziei Comisiei de a utiliza serviciul Amazon CloudFront pentru difuzarea conținutului site‑ului internet al CAE, ci verificarea condițiilor de angajare a răspunderii extracontractuale a Comisiei în ceea ce privește transferul în litigiu cu ocazia consultărilor site‑ului internet al CAE din 8 iunie 2022.
145 În speță, Tribunalul consideră oportună o examinare de la bun început a condiției referitoare la legătura de cauzalitate între pretinsul comportament culpabil al Comisiei și prejudiciul moral invocat.
146 Din jurisprudența amintită la punctul 55 de mai sus rezultă că această condiție referitoare la legătura de cauzalitate privește existența unei legături suficient de directe de cauzalitate între comportamentul imputat instituțiilor Uniunii și prejudiciu, cu privire la care sarcina probei îi revine reclamantului, astfel încât comportamentul imputat trebuie să fie cauza determinantă a prejudiciului.
147 În plus, rezultă din jurisprudență că legătura de cauzalitate cerută pentru angajarea răspunderii extracontractuale a Uniunii în sensul articolului 340 al doilea paragraf TFUE s‑a realizat din moment ce prejudiciul este consecința directă a actului culpabil în cauză (Hotărârea din 28 iunie 2007, Internationaler Hilfsfonds/Comisia, C‑331/05 P, EU:C:2007:390, punctul 23).
148 În ceea ce privește caracterul direct al legăturii de cauzalitate, Tribunalul a statuat deja că prejudiciul trebuie să rezulte în mod direct din nelegalitatea invocată, iar nu dintr‑o alegere a reclamantului cu privire la modul de a reacționa la actul pretins nelegal. S‑a considerat astfel că simplul fapt că comportamentul nelegal a constituit o condiție necesară (conditio sine qua non) pentru producerea prejudiciului, în sensul că el nu s‑ar fi produs în lipsa acestui comportament, nu este suficient pentru a stabili o legătură de cauzalitate suficient de directă în sensul jurisprudenței Uniunii (a se vedea în acest sens și prin analogie Hotărârea din 30 noiembrie 2011, Transnational Company „Kazchrome” și ENRC Marketing/Consiliul și Comisia, T‑107/08, EU:T:2011:704, punctul 80 și jurisprudența citată, și Hotărârea din 23 mai 2019, Remag Metallhandel și Jaschinsky/Comisia, T‑631/16, nepublicată, EU:T:2019:352, punctul 52 și jurisprudența citată).
149 Rezultă astfel din jurisprudență că o asemenea legătură de cauzalitate nu este demonstrată atunci când prejudiciul invocat este consecința directă a propriei decizii sau a liberei alegeri a reclamantului și, în consecință, nu poate fi imputat instituției sau organului în cauză (a se vedea în acest sens și prin analogie Hotărârea din 28 iunie 2007, Internationaler Hilfsfonds/Comisia, C‑331/05 P, EU:C:2007:390, punctele 22-29, Hotărârea din 17 februarie 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, punctele 31 și 32, și Hotărârea din 28 februarie 2018, Vakakis kai Synergates/Comisia, T‑292/15, EU:T:2018:103, punctul 173 și jurisprudența citată).
150 În speță, este necesar deci să se examineze dacă comportamentul reproșat Comisiei, și anume utilizarea serviciului Amazon CloudFront ca rețea de difuzare de conținut al site‑ului internet al CAE, este cauza directă a prejudiciului moral invocat care constă într‑o pierdere a controlului asupra datelor cu caracter personal ale reclamantului care ar fi făcut obiectul unui transfer către Statele Unite cu ocazia consultării site‑ului internet menționat din 8 iunie 2022.
151 În această privință, în primul rând, rezultă din dosar, precum și din răspunsurile părților la întrebările adresate în ședință că, la 8 iunie 2022, reclamantul era la München și a consultat de mai multe ori site‑ul internet al CAE. Cu ocazia acestor consultări, adresa IP a reclamantului a servit pentru conectări succesive la diferite servere ale serviciului Amazon CloudFront, foarte îndepărtate din punct de vedere geografic unele de altele. Astfel, adresa IP s‑a conectat la ora 7 și 13 minute la un server situat în München, la ora 11 și 13 minute la un server situat la Londra (Regatul Unit), la ora 12 și 56 de minute la un server situat la Hillsboro (Oregon, Statele Unite), la ora 13 și 5 minute la un server situat la Newark și la ora 19 și 12 minute la un server localizat în Frankfurt am Main (Germania).
152 În al doilea rând, din dosar rezultă că adresa IP a reclamantului a fost transferată diferitor servere ale serviciului Amazon CloudFront menționate la punctul 151 de mai sus, inclusiv celor localizate în Statele Unite.
153 În al treilea rând, trebuie amintit că adresa IP a reclamantului intră în categoria datelor cu caracter personal.
154 În al patrulea rând, trebuie să se observe că, la 8 iunie 2022, site‑ul internet al CAE a contabilizat 4 548 de accesări și 18 adrese IP diferite. Printre acestea, o singură adresă IP, și anume cea a reclamantului, a servit conectării la servere situate în afara Uniunii, și anume în Statele Unite și în Regatul Unit. În această privință, trebuie să se observe că nu s‑a dovedit și nici măcar nu s‑a susținut că, la 8 iunie 2022, serviciul Amazon CloudFront pentru site‑ul internet al CAE ar fi avut probleme tehnice sau de altă natură, astfel încât să împiedice funcționarea normală a mecanismului său de rutare potrivit principiului proximității, care direcționează cererile utilizatorilor site‑ului internet al CAE către serverul periferic cu latența cea mai scăzută în funcție de amplasarea geografică a utilizatorului (a se vedea punctul 112 de mai sus).
155 În al cincilea rând, în ceea ce privește împrejurările în care au avut loc conectările efectuate pe baza adresei IP a reclamantului la servere situate în Statele Unite, pe de o parte, reiese din dosar, precum și din răspunsurile părților în ședință că reclamantul susține că aceste conexiuni au fost rezultatul funcționării Amazon CloudFront, iar nu al vreunei manipulări realizate de el. Pe de altă parte, Comisia observă că aceste conectări au fost atipice și nu pot fi explicate decât printr‑o manipulare tehnică din partea reclamantului.
156 În această privință, trebuie să se constate că împrejurările descrise la punctul 151 de mai sus demonstrează că diferitele localizări ale serverelor la care s‑a conectat adresa IP a reclamantului nu ar putea rezulta din deplasările fizice ale reclamantului în aceeași zi, care ar fi imposibile având în vedere distanțele și intervalele de timp în discuție. În plus, nu a fost demonstrată și nici măcar invocată vreo disfuncționalitate a serviciului Amazon CloudFront, ceea ce permite să se concluzioneze că, la 8 iunie 2022, acest serviciu funcționa potrivit principiului proximității cu terminalul utilizatorului, mecanismul său de rutare dirijând cererile utilizatorilor site‑ului internet al CAE către serverul periferic cu timpul de latență cel mai scăzut (a se vedea punctul 154 de mai sus).
157 În aceste împrejurări, conectările adresei IP a reclamantului la servere localizate în Statele Unite, deși se afla în Germania, nu pot rezulta din funcționarea normală a serviciului Amazon CloudFront, ci mai degrabă dintr‑un reglaj tehnic efectuat de reclamant pentru a modifica localizarea sa aparentă, prezentându‑se în domeniul digital ca și cum s‑ar afla în aceeași zi în mod succesiv în locuri apropiate de München, de Londra, de Hillsboro, de Newark și de Frankfurt am Main.
158 Rezultă că, desigur, serviciul Amazon CloudFront, împreună cu mecanismul său de rutare, care funcționează potrivit principiului proximității și care acoperă o zonă geografică mai largă decât teritoriul SEE, cuprinzând printre altele Statele Unite ale Americii (a se vedea punctele 112 și 114 de mai sus), fapt care a permis ca, la momentul consultării site‑ului internet al CAE, adresa IP a reclamantului să fi efectuat conectări la servere ale Amazon CloudFront localizate în Statele Unite.
159 Cu toate acestea, deși utilizarea de către Comisie a serviciului Amazon CloudFront este o condiție necesară pentru efectuarea transferurilor de date cu caracter personal către Statele Unite, menționate la punctul 152 de mai sus, această împrejurare nu este suficientă, în situația din speță, pentru a stabili o legătură de cauzalitate suficient de directă între prejudiciul moral invocat de reclamant și comportamentul pretins nelegal al Comisiei care constă în utilizarea unui astfel de serviciu cu încălcarea dispozițiilor capitolului V din Regulamentul 2018/1725.
160 Astfel, comportamentul reclamantului este cel care trebuie privit ca fiind cauza directă și imediată a prejudiciului moral invocat, iar nu fapta ilicită pe care Comisia ar fi săvârșit‑o prin utilizarea serviciului Amazon CloudFront.
161 Astfel, reclamantul este cel care a instituit condițiile necesare pentru a provoca conectări la servere situate în Statele Unite prin intermediul serviciului Amazon CloudFront. Comportamentul reclamantului este cel care a cauzat trimiterea prin mecanismul serviciului Amazon CloudFront de rutare a cererilor sale de consultare a site‑ului internet al CAE către servere localizate în Statele Unite, întrucât acestea din urmă aveau latența cea mai scăzută în raport cu localizarea aparentă a reclamantului în domeniul digital, deși aceasta nu corespundea localizării sale reale.
162 Pe de altă parte, reclamantul nu este îndreptățit să adopte un comportament prin care să provoace un anumit rezultat (și anume transferul datelor sale cu caracter personal către o țară terță) și, ulterior, să solicite repararea prejudiciului pretins cauzat de acest rezultat care a fost cauzat în mod direct prin comportamentul său. Astfel, contrar celor susținute de reclamant, în cadrul unei acțiuni în despăgubire precum cea din speță, situația sa nu poate fi apreciată în mod similar cu cea a unui utilizator care s‑ar fi deplasat efectiv în Statele Unite și care ar fi accesat deci site‑ul internet al CAE din această țară.
163 Rezultă din tot ceea ce precedă că, în ceea ce privește transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 8 iunie 2022, nu s‑a făcut dovada unei legături de cauzalitate suficient de directe între comportamentul pretins nelegal al Comisiei și prejudiciul moral invocat.
164 Din moment ce una dintre condițiile cumulative de angajare a răspunderii extracontractuale a Uniunii lipsește, este necesar să se respingă cererea de despăgubire în ceea ce privește transferul în litigiu cu ocazia consultării site‑ului internet al CAE din 8 iunie 2022, fără a fi necesară o examinare a celorlalte condiții de angajare a acestei răspunderi.
– Transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022
165 Reclamantul susține că, la 30 martie 2022, la momentul înscrierii sale la evenimentul „GoGreen” disponibil pe site‑ul internet al CAE, adresa sa IP, precum și informații privind browserul său și terminalul său au fost transferate către întreprinderea Meta Platforms cu sediul în Statele Unite, care este proprietara rețelei de socializare Facebook. Astfel, cu ocazia acestei înscrieri, reclamantul a fost direcționat către serviciul de autentificare al Uniunii EU Login care propune printre altele conectarea prin intermediul diferitelor rețele de socializare. Reclamantul a optat pentru conectarea prin intermediul contului său de Facebook și, atunci când a dat click pe hiperlinkul care îl redirecționează către Facebook, acest link ar fi determinat transmiterea adresei sale IP către Facebook. Reclamantul nu ar fi acceptat decât „cookie‑urile esențiale” ale Facebook. Alte date cu caracter personal ale reclamantului, și anume adresa sa electronică, numele și prenumele și fotografia sa de profil, ar fi fost colectate de Facebook cu ajutorul cookie‑urilor, în special al cookie‑ului denumit „sb”, și transferate serverelor Meta Platforms. Din jurisprudență ar reieși că administratorii de site‑uri internet care utilizează Facebook în site‑urile lor internet, cum este cazul Comisiei, sunt, împreună cu Facebook, răspunzătoare de respectarea dreptului Uniunii în ceea ce privește protecția datelor. Prin urmare, Comisia ar fi coresponsabilă pentru plasarea cookie‑urilor stocate de Facebook. Reclamantul a pierdut controlul asupra datelor sale cu caracter personal care au fost transmise către Facebook și a fost privat de drepturile și libertățile sale, ceea ce ar constitui un prejudiciu moral în sensul considerentului (46) al Regulamentului 2018/1725.
166 Comisia contestă aceste argumente. Aceasta susține în esență că nu a efectuat și nici nu a lansat transferuri de date către Meta Platforms. Pentru a participa la evenimentul „GoGreen” nu ar fi obligatorie înscrierea prin EU Login și, chiar utilizând EU Login, reclamantul ar fi avut diferite posibilități de autentificare, inclusiv posibilități care nu ar impune utilizarea unui cont pe rețele de socializare. Prin urmare, alegerea reclamantului de a se fi conectat la serviciul EU Login cu contul său de Facebook, iar nu Comisia, ar fi, așadar, cea care ar fi lansat accesul la site‑ul internet al Facebook. În plus, pe plan tehnic, opțiunea autentificării prin Facebook s‑ar efectua prin hiperlinkul afișat pe site‑ul internet EU Login, care nu conține date cu caracter personal ale utilizatorului. Contrar celor susținute de reclamant, datele colectate prin cookie‑uri utilizate de Facebook nu sunt transferate Comisiei la momentul conectării la EU Login și ele nu intră în răspunderea sa. Aceste cookie‑uri sunt rezultatul schimburilor între Facebook și reclamant pe baza consimțământului dat de fiecare dată de acesta, Comisia nefiind implicată în aceste schimburi. În plus, Comisia susține că jurisprudența invocată de reclamant nu este aplicabilă în speță și că, în orice caz, argumentul reclamantului întemeiat pe o pretinsă răspundere comună a Comisiei și a Meta Platforms ar constitui un motiv nou invocat pentru prima dată în stadiul replicii, care ar fi deci inadmisibil.
167 În speță, trebuie examinat mai întâi cadrul factual în care a avut loc transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022, ținând cont de elementele din dosar și de răspunsurile părților la întrebările adresate de Tribunal în ședință și în cadrul măsurii de organizare a procedurii din 9 februarie 2024.
168 În această privință, trebuie constatat că evenimentul „GoGreen”, organizat de un organism cu sediul în Țările de Jos, era anunțat pe site‑ul internet al CAE. Înscrierea în acest eveniment putea fi făcută printre altele pe site‑ul internet al CAE prin serviciul EU Login.
169 Reclamantul a ales să se înscrie pe site‑ul internet al CAE utilizând EU Login.
170 EU Login este serviciul Comisiei de autentificare a utilizatorilor, care protejează mai multe sute de site‑uri internet și de aplicații ale Uniunii. În speță, conectarea la EU Login în vederea înscrierii la evenimentul „GoGreen” avea ca obiectiv asigurarea faptului că această înscriere era făcută printr‑o adresă electronică verificată, reducând riscurile legate de înscrierea falșilor utilizatori sau de uzurparea identității.
171 EU Login afișează mai multe opțiuni de conectare pe pagina sa de internet. Prima opțiune este conectarea directă la EU Login, fie prin introducerea datelor de conectare pentru un cont EU Login preexistent, fie prin crearea unui cont pentru acest serviciu. A doua opțiune este utilizarea unei cărți de identitate electronică „eID”, disponibilă pentru cetățenii anumitor state membre. A treia opțiune, care este disponibilă pentru un număr limitat de servicii, constă în utilizarea unui cont pe care utilizatorul îl deține deja pe Facebook, Twitter sau Google, accesând hiperlinkul corespunzător afișat pe site‑ul internet al EU Login.
172 Posibilitatea de a se conecta la EU Login prin intermediul unui cont de Facebook decurge din faptul că Comisia a considerat că ar trebui să se acorde utilizatorilor posibilitatea de a se conecta la EU Login utilizând conturi preexistente pe platforme pentru a le oferi un acces mai facil și mai rapid, dar și posibilitatea de a se autentifica fără a fi nevoie să se creeze un cont EU Login și, astfel, de a evita multiplicarea numărului de conturi și de entități cu care utilizatorii trebuie să partajeze datele lor cu caracter personal. Pe de altă parte, Comisia a apreciat că Facebook era fiabil pentru a se verifica adresele electronice ale utilizatorilor, având în vedere măsurile puse în aplicare de Facebook. Totuși, hiperlinkul ce permite conectarea printr‑un cont de Facebook preexistent nu este disponibil pe EU Login decât pentru site‑urile internet sau aplicațiile care necesită doar un nivel de securitate elementar.
173 Reclamantul a optat să se conecteze la EU Login prin contul său de Facebook, utilizând hiperlinkul „Sign in with Facebook” care este afișat pe site‑ul internet al EU Login (denumit în continuare „hiperlinkul «conectați‑vă cu Facebook»”).
174 Hiperlinkul „conectați‑vă cu Facebook” conține un link către un site internet din afara Comisiei. Atunci când acest hiperlink este activat printr‑un click, el permite accesul la o adresă URL a site‑ului internet al Facebook, cu alte cuvinte la o adresă individuală a acestui site internet.
175 Accesul la adresa URL a site‑ului internet al Facebook permite comunicarea între browser‑ul utilizatorului și site‑ul internet respectiv, în cadrul căreia browser‑ul transmite adresa IP a utilizatorului către site‑ul internet în cauză. Această transmitere este similară cu cea care se produce atunci când utilizatorul inserează în mod direct adresa URL a oricărui site internet în browserul său, în condițiile în care adresa IP trebuie obligatoriu să fie comunicată de orice utilizator de internet care dorește să acceseze un site internet.
176 Prin intermediul hiperlinkului „conectați‑vă cu Facebook”, EU Login transmite anumite informații către Facebook, care sunt necesare pentru procesul de autentificare și iau forma următorului exemplu:
177 Mai precis, informațiile conținute în hiperlinkul „conectați‑vă cu Facebook” sunt următoarele:
– în primul rând, partea „client_id = 1200572836629487” conține un „cod unic de identificare”, ce identifică EU Login ca aplicație. Acest număr de identificare este același pentru toți utilizatorii care doresc să se autentifice pe EU Login utilizând Facebook;
– în al doilea rând, partea „redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback” conține adresa URL generală a EU Login, care este adresa la care Facebook trebuie să redirecționeze utilizatorul după ce acesta și‑a dat consimțământul ca datele sale cu caracter personal să fie transmise de Facebook către EU Login;
– în al treilea rând, partea „scope=email” conține datele pe care Facebook trebuie să le transmită către EU Login pentru a garanta autentificarea cu succes a utilizatorului, în special adresa de e‑mail a utilizatorului, precum și prenumele și numele de familie indicate pe site‑ul Facebook la momentul creării unui cont de Facebook;
– în al patrulea rând, partea „state=useFacebook” indică faptul că lanțul lung de caractere care urmează este o valoare aleatorie de siguranță, care este utilizată pentru a evita atacurile în materie de securitate și care are o perioadă de valabilitate limitată în timp. Această valoare aleatorie de securitate este generată în mod aleatoriu de EU Login și îndeplinește funcția de frază secretă pe care Facebook trebuie să o repete atunci când transmite datele către EU Login pentru a permite EU Login să știe că adresa de e‑mail, prenumele și numele de familie comunicate se referă la utilizatorul care a lansat metoda de autentificare. Odată ce termenul a expirat sau utilizatorul a fost deja autentificat, nu mai este posibilă utilizarea valorii de securitate și
– în al cincilea rând, partea „response_tip=cod” indică faptul că transmiterea datelor de către Facebook către EU Login este însoțită în continuare de un cod unic. Acest cod unic include valoarea aleatorie de siguranță sus‑menționată. Codul unic este echivalent cu un număr unic de înregistrare sau cu un număr de serie care autentifică datele transmise de Facebook către EU Login.
178 Odată ce utilizatorul accesează adresa URL a Facebook, el intră pe această pagină de internet pe care, mai întâi, se deschide o fereastră unde se solicită utilizatorului să accepte utilizarea de către Facebook a unor martori de conectare sau „cookies”. În continuare, dacă cookie‑urile sunt acceptate, se deschide o altă fereastră care permite introducerea numelui de utilizator și a parolei contului utilizatorului pe Facebook. În sfârșit, odată conectat la contul său de Facebook, utilizatorul poate autoriza Facebook să utilizeze cookie‑uri pe alte aplicații și pagini de internet, răspunzând la întrebarea „Allow Facebook to use cookies and similar technologies placed on other apps and websites?”. În cazul în care utilizatorul este de acord cu această utilizare, i se va cere ulterior consimțământul ca Facebook să comunice către EU Login prenumele, numele de familie, fotografia de profil și e‑mailul asociate contului său de Facebook. Pe de altă parte, pe parcursul acestui proces, utilizatorul poate întrerupe autentificarea prin intermediul contului său de Facebook, alegând opțiunea „Cancel”. În această situație, el este redirecționat către site‑ul internet al EU Login unde se va redeschide pagina cu opțiunile de conectare.
179 În speță, atunci când reclamantul a dat clic pe hiperlinkul „conectați‑vă cu Facebook”, browserul său de internet a accesat adresa URL a site‑ului internet al Facebook și, în consecință, a comunicat adresa sa IP acestui site internet. În continuare, atunci când se afla pe site‑ul internet al Facebook, reclamantul a ales opțiunile care permiteau Facebook să utilizeze numai cookie‑uri esențiale, apoi s‑a conectat la contul său de Facebook și, în sfârșit, a autorizat Facebook să comunice către EU Login prenumele, numele de familie, fotografia de profil și e‑mailul său, astfel cum le‑a indicat pe contul său de Facebook.
180 După acordarea acestor autorizații de către reclamant, Facebook l‑a redirecționat spre site‑ul internet al EU Login, în conformitate cu indicațiile conținute în hiperlinkul „conectați‑vă cu Facebook” (a se vedea punctul 177 prima și a doua liniuță de mai sus).
181 În același timp, Facebook a comunicat către EU Login valoarea aleatorie de securitate și codul unic menționate la punctul 177 a patra și a cincea liniuță de mai sus. Pe de o parte, această comunicare făcută de Facebook a permis EU Login să știe că datele cu caracter personal pe care Facebook le punea la dispoziția sa priveau utilizatorul care lansase procesul de autentificare, și anume în speță reclamantul. Pe de altă parte, ea a permis EU Login să aibă acces, pentru o perioadă limitată, la datele cu caracter personal menționate la punctul 177 a treia liniuță de mai sus, mai ales la prenumele, numele de familie și adresa electronică a reclamantului, astfel cum le‑a indicat pe contul său de Facebook. Transmiterea acestor date de Facebook către EU Login a fost efectuată prin intermediul unei conexiuni criptate între ele. EU Login a autentificat adresa de e‑mail a reclamantului tocmai pe baza datelor puse la dispoziție de Facebook.
182 Pe de altă parte, trebuie să se observe că rețeaua socială Facebook este deținută de Meta Platforms, întreprindere cu sediul în Statele Unite.
183 În plus, trebuie arătat că afișarea acestui hiperlink pe site‑ul internet al EU Login este reglementată prin condițiile generale ale platformei Facebook, redate pe adresa de internet „https://developers.facebook.com/terms”.
184 În lumina acestor considerații trebuie analizat dacă sunt îndeplinite condițiile de angajare a răspunderii extracontractuale a Comisiei.
185 Reclamantul susține în esență că, la momentul conectării sale la EU Login din 30 martie 2022, a avut loc un transfer de date cu caracter personal care îi aparțineau, în special a adresei sale IP, către servere ale rețelei sociale Facebook, a căror întreprindere proprietară este stabilită în Statele Unite. Acest transfer ar fi fost făcut cu încălcarea articolului 46 din Regulamentul 2018/1725 și i‑ar fi produs reclamantului un prejudiciu moral constând într‑o pierdere a controlului asupra datelor sale și în privarea de drepturile și libertățile sale.
186 Cu titlu introductiv, trebuie amintit că, astfel cum rezultă din cuprinsul punctului 95 de mai sus, un transfer de date cu caracter personal către o țară terță, în sensul articolului 46 din Regulamentul 2018/1725, impune ca o instituție, un organ, un oficiu sau o agenție a Uniunii să pună, prin transmitere sau în alt mod, date cu caracter personal la dispoziția unui destinatar stabilit într‑o țară terță, cu alte cuvinte o țară care nu este membră nici a Uniunii, nici a SEE.
187 În speță, s‑a demonstrat că, în primul rând, alegând între opțiunile de conectare la EU Login, reclamantul a optat să se conecteze cu contul său de Facebook. În al doilea rând, hiperlinkul „conectați‑vă cu Facebook” conține un link către o adresă URL a site‑ului internet al Facebook. În al treilea rând, atunci când reclamantul a activat acest hiperlink dând click pe el, browserul său a accesat adresa URL a site‑ului internet al Facebook și ulterior a transmis adresa sa IP către Facebook (a se vedea punctele 173-175 de mai sus).
188 Rezultă că Comisia a creat, prin hiperlinkul „conectați‑vă cu Facebook”, afișat pe pagina de internet a EU Login, condițiile care permit ca adresa IP a reclamantului să fie transmisă către Facebook. Or, această adresă IP constituie una dintre datele cu caracter personal ale reclamantului (a se vedea punctul 122 de mai sus) care a fost transmisă prin hiperlinkul menționat către Meta Platforms, întreprindere cu sediul în Statele Unite. Această transmitere constituie, așadar, un transfer de date cu caracter personal către o țară terță, în sensul articolului 46 din Regulamentul 2018/1725.
189 În plus, s‑a demonstrat în speță că, la momentul efectuării acestui transfer de date, și anume la 30 martie 2022, nu exista nicio decizie privind caracterul adecvat al nivelului de protecție, în sensul articolului 47 din Regulamentul 2018/1725, în ceea ce privește Statele Unite ale Americii (a se vedea punctul 100 de mai sus).
190 În absența unei decizii a Comisiei cu privire la caracterul adecvat al nivelului de protecție în ceea ce privește Statele Unite, transferul de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția ca persoanele vizate să beneficieze de drepturi pe care să le poată invoca și de căi de atac efective, în conformitate cu articolul 48 alineatul (1) din Regulamentul 2018/1725 (a se vedea punctul 101 de mai sus).
191 În speță, Comisia nu a demonstrat și nici măcar nu a susținut existența unei garanții adecvate, cu precădere a unei clauze standard de protecție a datelor sau a unei clauze contractuale adoptate în condițiile prevăzute la articolul 48 alineatele (2) și (3) din Regulamentul 2018/1725 (a se vedea punctele 102-104 de mai sus). În schimb, s‑a făcut dovada că afișarea hiperlinkului „conectați‑vă cu Facebook” pe site‑ul internet al EU Login este pur și simplu reglementată prin condițiile generale ale platformei Facebook (a se vedea punctul 183 de mai sus).
192 În consecință, Comisia a creat condițiile pentru ca un transfer de date cu caracter personal ale reclamantului către o țară terță să aibă loc, fără a fi respectate însă condițiile stabilite la articolul 46 din Regulamentul 2018/1725.
193 Prin urmare, este necesar să se concluzioneze, fără a fi necesară examinarea celorlalte argumente ale reclamantului, că Comisia a săvârșit o încălcare suficient de gravă, în sensul jurisprudenței amintite la punctul 50 de mai sus, a articolului 46 din Regulamentul 2018/1725, în ceea ce privește transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022.
194 Prin urmare, este necesar să se examineze dacă sunt îndeplinite în speță celelalte condiții de angajare a răspunderii extracontractuale a Comisiei referitoare la prejudiciu și la legătura de cauzalitate.
195 Reclamantul susține că transferul nelegal al adresei sale IP către o întreprindere stabilită în Statele Unite i‑a cauzat un prejudiciu moral constând în pierderea controlului asupra datelor asupra sale și în privarea de drepturile și libertățile sale.
196 În această privință, este necesar să se considere că articolul 65 din Regulamentul 2018/1725 conferă dreptul la repararea nu numai a prejudiciului material, ci și a prejudiciului moral suferit ca urmare a unei încălcări a acestui regulament, fără a fi necesar să se demonstreze vreun prag de gravitate [a se vedea în acest sens și prin analogie Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 45 și 51].
197 În speță, prejudiciul moral invocat de reclamant trebuie considerat real și cert, în sensul jurisprudenței amintite la punctul 54 de mai sus, întrucât transferul menționat la punctul 188 de mai sus, efectuat cu încălcarea articolului 46 din Regulamentul 2018/1725, l‑a pus pe reclamant într‑o situație de insecuritate în ceea ce privește prelucrarea datelor sale cu caracter personal, în special a adresei sale IP.
198 În plus, există o legătură de cauzalitate suficient de directă, în sensul jurisprudenței amintite la punctul 55 de mai sus, între încălcarea de către Comisie a articolului 46 din Regulamentul 2018/1725 și prejudiciul moral suferit de reclamant.
199 În împrejurările din speță, este necesar să se evalueze ex aequo et bono cuantumul prejudiciului moral cauzat de Comisie la suma de 400 de euro.
200 Prin urmare, se impune obligarea Comisiei la plata către reclamant a sumei de 400 de euro pentru prejudiciul moral suferit rezultat din transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022.
Cu privire la cheltuielile de judecată
201 Potrivit articolului 134 alineatul (3) din Regulamentul de procedură al Tribunalului, în cazul în care părțile cad fiecare în pretenții cu privire la unul sau mai multe capete de cerere, fiecare parte suportă propriile cheltuieli de judecată. Totuși, în cazul în care împrejurările cauzei justifică acest lucru, Tribunalul poate decide ca, pe lângă propriile cheltuieli de judecată, o parte să suporte o fracțiune din cheltuielile de judecată efectuate de cealaltă parte.
202 În speță, reclamantul a căzut în pretenții cu privire la primul și la al doilea capăt de cerere, precum și cu privire la o parte a celui de al treilea capăt de cerere. Cu toate acestea, al treilea capăt de cerere a fost admis în parte, iar Comisia este obligată la plata despăgubirii pe care reclamantul a solicitat‑o cu titlu de reparare a prejudiciului moral pe care l‑a suferit ca urmare a transferului în litigiu cu ocazia conectării la EU Login din 30 martie 2022. În aceste condiții, trebuie să se decidă că Comisia va suporta propriile cheltuieli de judecată și jumătate din cheltuielile de judecată efectuate de reclamant. Reclamantul suportă jumătate din propriile cheltuieli de judecată.
Pentru aceste motive,
TRIBUNALUL (Camera a șasea extinsă)
declară și hotărăște:
1) Respinge acțiunea ca inadmisibilă în ceea ce privește concluziile în anulare.
2) Nu mai este necesară pronunțarea asupra constatării privind abținerea în mod ilegal a Comisiei Europene de la luarea unei poziții cu privire la cererea de informații formulată de domnul Thomas Bindl la 1 aprilie 2022.
3) Obligă Comisia Europeană la plata către domnul Thomas Bindl a unei sume de 400 de euro cu titlu de despăgubire pentru prejudiciul moral suferit.
4) Respinge în rest concluziile cu privire la despăgubiri.
5) Obligă Comisia să suporte propriile cheltuieli de judecată, precum și jumătate din cheltuielile de judecată efectuate de domnul Thomas Bindl.
6) Îl obligă pe domnul Thomas Bindl să suporte jumătate din propriile cheltuieli de judecată.
|
Costeira |
Kancheva |
Öberg |
|
Zilgalvis |
Tichy‑Fisslberger |
Pronunțată astfel în ședință publică la Luxemburg, la 8 ianuarie 2025..
Semnături
Cuprins
Istoricul litigiului și situația de fapt ulterioară introducerii acțiunii
Concluziile păr ților
În drept
Considera ții introductive cu privire la protecția datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii
Cu privire la admisibilitate
Admisibilitatea concluziilor în anulare
Admisibilitatea concluziilor în constatarea ab ținerii de a acționa
Cu privire la concluziile privind despăgubirea
Considera ții introductive cu privire la condițiile de angajare a răspunderii extracontractuale a Uniunii în cadrul Regulamentului 2018/1725
Cu privire la prima cerere de despăgubire, având ca obiect repararea prejudiciului moral ce rezultă din încălcarea dreptului de acces la informa ții
Cu privire la a doua cerere de despăgubire având ca obiect repararea prejudiciului moral produs prin transferurile în litigiu
– Considerații introductive cu privire la dispozițiile privind transferul de date cu caracter personal către o țară terță
– Cu privire la funcționarea serviciului Amazon CloudFront în cadrul siteului internet al CAE
– Transferul în litigiu cu ocazia consultării siteului internet al CAE din 30 martie 2022
– Transferul în litigiu cu ocazia consultări siteului internet al CAE din 8 iunie 2022
– Transferul în litigiu cu ocazia conectării la EU Login din 30 martie 2022
Cu privire la cheltuielile de judecată
* Limba de procedură: germana.
