Le Parlement Européen, mauvais élève ?

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Après une plainte déposée par noyb (None Of Your Business) affirmant que le Parlement Européen aurait violé le RGPD sur son site de test COVID, le Contrôleur Européen de la Protection des Données (CEPD) a publié une décision condamnant les transferts de données hors Union Européenne permis par ce site de réservation de tests. Par ailleurs, le CEPD souligne que l’utilisation de Google Analytics et du fournisseur de paiement Stripe (deux entreprises américaines) viole l’arrêt Schrems II de la Cour de Justice (CJUE) sur les transferts de données entre l’UE et les Etats-Unis.

Si le Parlement Européen a échappé à une sanction financière, ses infractions lui ont valu une réprimande et rappel à l’ordre de se conformer par le CEPD. Ce dernier a donné au Parlement un mois pour mettre à jour sa notice de protection des données et traiter les problèmes restants concernant le manque de transparence.

Le coeur de la plainte

Le transfert de données hors de l’UE est au cœur de la plainte formulée par noyb. En effet, l’arrêt Schrems II stipule clairement que les sites web doivent s’abstenir de transférer des données personnelles vers les Etats-Unis lorsqu’un niveau de protection adéquat des données personnelles ne peut être garanti[1].

Concernant le site de réservation de tests COVID en question, le CEPD a confirmé que des données avaient été transférées vers les États-Unis sans assurer un niveau de protection adéquat des données. Elle a également souligné que: “Le Parlement n’a fourni aucune documentation, preuve ou autre information concernant les mesures contractuelles, techniques ou organisationnelles en place pour assurer un niveau de protection essentiellement équivalent aux données personnelles transférées aux États-Unis dans le cadre de l’utilisation de cookies sur le site web”[2].

Un cumul d’infractions

La violation de l’arrêt Schrems II n’est pas la seule infraction ayant été commise par le Parlement Européen. En effet, ce dernier n’aurait pas respecté le RGPD à plusieurs égards.

Premièrement, l’enquête a souligné la présence de bannières de cookies peu claires et trompeuses. Par exemple, ces bannières présentaient des divergences entre les versions linguistiques. Les utilisateurs n’étaient, par conséquent, pas en mesure de donner un consentement valable.

Deuxièmement, la plainte dénonce une politique de confidentialité manquant de transparence car faisant référence à la procédure de test COVID de l’aéroport de Bruxelles et utilisant une base juridique erronée. Le CEPD a convenu que les informations fournies par le Parlement violent l’obligation de transparence, qui est une exigence légale de base en vertu de la loi sur la protection des données.

Mauvais élève certes, mais volontaire

Si le CEPD dénonce la violation de six articles du règlement sur la protection des données sur le site du Parlement Européen, il est précisé que ce dernier a cependant été  “constamment réactif et collaboratif tout au long de l’enquête sur la plainte”[3]. A la date de la décision, la plupart des infractions auraient été corrigées.

 

 

[1] “EDPS Sanctions Parliament over EU-US Data Transfers to Google and Stripe.” Noyb.eu, 11 Jan. 2022, https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe.

[2] See footnote 1

[3] Cimino, Valentin. “Le Parlement Européen Sanctionné Pour Avoir Permis Le Transfert De Données Hors De L’ue.” Siècle Digital, Siècle Digital, 13 Jan. 2022, https://siecledigital.fr/2022/01/13/le-parlement-europeen-sanctionne-donnees-ue/.

 

Sources :

 

 

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :