Transferts de données vers les Etats-Unis et insuffisance des informations sur les cookies : NIB dépose une plainte au nom de six députés européens contre le Parlement européen.

22 Jan 2021

Transferts de données vers les États-Unis et insuffisance des informations sur les cookies
le NIB dépose une plainte au nom de six députés européens contre le Parlement européen.

Aujourd'hui, noyb dépose une plainte contre le Parlement européen au nom de six députés européens. Les principaux problèmes soulevés sont les bannières de cookies trompeuses d'un site web interne de test de corona, l'avis vague et peu clair sur la protection des données, et le transfert illégal de données aux États-Unis

Le site web de test COVID a transmis des données à des tiers. Le Parlement européen (PE) propose les tests COVID-19 PCR à tous les employés et membres du Parlement européen (MPE). Le PE a fait appel aux services du prestataire EcoCare pour mettre en place un centre de test auquel le personnel et les membres du PE peuvent s'inscrire sur l'intranet. En accédant au site web, les députés européens ont découvert que le site envoyait plus de 150 demandes de tiers, y compris des demandes à des entreprises américaines comme Google et Stripe. En outre, non seulement un cookie Stripe a été déposé sur leur navigateur, mais l'avis de protection des données du site Internet indiquait également que des cookies Google Analytics étaient utilisés sur le site. Cependant, aucune donnée sur la santé n'a été transmise à des tiers, la page ne concernant que l'enregistrement des rendez-vous de test.

Transferts illégaux de données vers les États-Unis, malgré Schrems II. Google et Stripe sont tous deux basés aux États-Unis. Dans l'arrêt Schrems II , la CJUE a clairement indiqué que le transfert de données à caractère personnel de l'UE vers les États-Unis est soumis à des conditions très strictes. Les sites web doivent s'abstenir de transférer des données à caractère personnel vers les États-Unis lorsqu'un niveau de protection adéquat des données à caractère personnel ne peut être assuré. Stripe et Google relèvent clairement des lois américaines de surveillance qui permettent de cibler les citoyens de l'UE. Ceci est particulièrement important pour les personnes politiquement exposées comme les membres et le personnel du Parlement européen. Par conséquent, la plainte demande au CEPD d'interdire de tels transferts qui violent le droit européen

"Les autorités publiques, et en particulier les institutions de l'UE, doivent montrer l'exemple pour se conformer à la loi. C'est également vrai lorsqu'il s'agit de transferts de données en dehors de l'UE. En utilisant des fournisseurs américains, le Parlement européen a permis aux autorités américaines d'accéder aux données de son personnel et de ses membres" - Max Schrems, président honoraire de noyb.eu

Bannière de cookie trompeuse et informations peu claires. En outre, les bannières de cookies du site étaient peu claires et trompeuses : les bannières ne listent pas tous les cookies placés sur le navigateur, et incitent les utilisateurs à accepter tous les cookies. Par conséquent, le traitement des données sur le site web et le placement de cookies sur la base du consentement de l'utilisateur ne constituent pas une base juridique valable

Les informations fournies sur le site web sont également déroutantes. Les utilisateurs ont même été confrontés à deux avis différents sur la protection des données, avec des informations différentes

lenoyb représente six députés européens. Le noyb s'est associé à six députés européens pour les soutenir dans une plainte déposée devant le Contrôleur européen de la protection des données (CEPD). La plainte initiale a été déposée fin octobre 2020 par Mme Alexandra GEESE au nom d'autres députés européens. Le CEPD est l'autorité spéciale de protection des données (APD) responsable uniquement des institutions et agences de l'UE.

Accès direct à la Cour de justice, pertinent pour les questions plus larges de Cookie. Le CEPD va maintenant analyser les soumissions supplémentaires faites par NNIB et devrait rendre une décision sur la question en temps utile. La plainte devant le CEPD permet aussi potentiellement un accès direct à la plus haute juridiction européenne. Une décision peut être directement contestée devant la Cour européenne de justice (CEJ). Cela signifie que les questions fondamentales de la législation européenne en matière de protection des données peuvent également être clarifiées par une simple plainte concernant un site web de l'UE.