Le CEPD sanctionne le Parlement européen pour transferts illégaux de données entre l'UE et les Etats-Unis - entre autres violations
Le Contrôleur européen de la protection des données (CEPD) a publié une décision après une plainte déposée par noyb confirmant que le Parlement européen a violé la loi sur la protection des données sur son site web de test COVID. Le CEPD souligne que l'utilisation de Google Analytics et du fournisseur de paiement Stripe (deux sociétés américaines) a violé l'arrêt"Schrems II" de la Cour de justice (CJUE) sur les transferts de données entre l'UE et les États-Unis. Le jugement est l'une des premières décisions mettant en œuvre"Schrems II" sur le terrain et peut montrer la voie pour des centaines d'autres cas en attente devant les régulateurs.
Plainte déposée il y a un an.En janvier 2021,noyba déposé une plainte contre le Parlement européen au nom de six membres du Parlement européen au sujet d'un site web interne de test corona. Les problèmes soulevés étaient des bannières de cookies trompeuses, des avis de protection des données vagues et peu clairs, et le transfert illégal de données vers les États-Unis. Le CEPD a enquêté sur l'affaire et a adressé un blâme au Parlement pour violation du "GDPR pour les institutions de l'UE" (Règlement (UE) 2018/1725 applicable uniquement aux institutions de l'UE).
Transferts illégaux de données vers les États-Unis.dans l'affaire dite "Schrems II", la CJUE a clairement indiqué que le transfert de données à caractère personnel de l'UE vers les États-Unis est soumis à des conditions très strictes. Les sites web doivent s'abstenir de transférer des données à caractère personnel vers les États-Unis lorsqu'un niveau de protection adéquat des données à caractère personnel ne peut être garanti. Le CEPD a confirmé que le site web a effectivement transféré des données vers les États-Unis sans assurer un niveau de protection adéquat des données et a souligné :"le Parlement n'a fourni aucune documentation, preuve ou autre information concernant les mesures contractuelles, techniques ou organisationnelles en place pour assurer un niveau de protection essentiellement équivalent aux données personnelles transférées aux États-Unis dans le cadre de l'utilisation de cookies sur le site web."
En août 2020 noyb a déposé 101 plaintes contre des entreprises de l'UE qui incluaient des fonctions de Google et de Facebook sur leurs sites web. Après la formation d'une "task force" par les autorités compétentes en matière de protection des données, noyb s'attend bientôt à ce que la décision pour les sites Web privés suive la décision du CEPD.
"Le CEPD a clairement indiqué que même le placement d'un cookie par un fournisseur américain est une violation des lois européennes sur la vie privée. Aucune protection appropriée contre la surveillance américaine n'a été mise en place, malgré le fait que les politiciens européens sont une cible connue de la surveillance. Nous nous attendons à d'autres décisions de ce type sur l'utilisation de fournisseurs américains dans les prochains mois, car d'autres affaires doivent également être tranchées."Max Schrems, président honoraire denoyb.eu
Une bannière de cookies déroutante.La plainte soulevait également que les bannières de cookies du site étaient peu claires et trompeuses. Par exemple, tous les cookies n'étaient pas répertoriés par les bannières et il y avait des divergences entre les versions linguistiques. Par conséquent, les utilisateurs n'étaient pas en mesure de donner un consentement valable. Pendant l'enquête, le Parlement a supprimé tous les cookies de son site web. noyb travaille actuellement sur des plaintes similaires concernant les bannières de cookies, ce qui est soutenu par cette décision.
Informations peu claires et non pertinentes En outre, la plainte notait que la politique de confidentialité n'était pas claire et transparente puisqu'elle faisait référence au test COVID de l'aéroport de Bruxelles ou à une base juridique erronée. Au cours de l'enquête, le Parlement a changé sa politique, mais l'a partiellement empirée. noyb a soulevé les différentes incohérences dans la nouvelle politique de confidentialité du PE. Le CEPD a convenu que les informations fournies par le Parlement violaient l'obligation de transparence, qui est une exigence légale de base en vertu de la loi sur la protection des données. Enfin, le CEPD a également estimé que le Parlement n'avait pas répondu de manière adéquate à la demande d'accès des plaignants.
Pas d'amende, mais une réprimande et un ordre de se conformer.le CEPD a émis un blâme contre le Parlement pour les différentes violations du Règlement sur la protection des données applicable aux institutions de l'UE. Contrairement aux APD nationales en vertu du GDPR, le CEPD ne peut émettre une amende que dans des circonstances limitées qui n'ont pas été remplies dans ce cas. En outre, le CEPD a donné au Parlement un mois pour mettre à jour sa notice de protection des données et traiter les problèmes restants concernant la transparence
