Le Contrôleur européen de la protection des données (CEPD) a adressé le 5 janvier dernier une réprimande au Parlement européen pour avoir violé les lois sur la protection de la vie privée des institutions européennes.
La décision fait suite à la plainte déposée en octobre 2020 par six députés européens, ensuite soutenue par l’organisation à but non lucratif noyb.
La plainte a été déposée après qu’il a été révélé que le site interne de test Covid-19, sur lequel les législateurs et le personnel du Parlement pouvaient prendre rendez-vous pour se faire tester, transférait des données en dehors de l’UE, par le biais de cookies des sociétés américaines Google et Stripe.
La Cour de justice de l’UE a jugé en juillet 2020 que les États-Unis n’offrent pas une protection équivalente au cadre juridique fourni par le bloc et que le transfert de données personnelles vers les États-Unis doit donc être soumis à des conditions très strictes.
Dans la décision, vue par EURACTIV, le CEPD a noté que le « Parlement n’a fourni aucune documentation, preuve ou autre information concernant les mesures contractuelles, techniques ou organisationnelles en place pour assurer un niveau de protection essentiellement équivalent aux données personnelles transférées aux États-Unis dans le cadre de l’utilisation de cookies sur le site web ».
« Le CEPD a clairement indiqué que même le placement d’un cookie par un fournisseur américain viole les lois européennes sur la vie privée », a déclaré Max Schrems, président honoraire de noyb.
« Aucune protection appropriée contre la surveillance américaine n’était en place, malgré le fait que les politiciens européens sont une cible connue de la surveillance. Nous nous attendons à d’autres décisions de ce type concernant l’utilisation de fournisseurs américains dans les mois à venir, car d’autres affaires doivent également être tranchées », a-t-il ajouté.
Les plaignants ont également fait valoir que les bannières de cookies étaient peu claires et trompeuses, ce qui empêchait l’utilisateur de donner un consentement éclairé et valable. « La bannière de cookies ne fournissait pas non plus d’informations transparentes concernant le traitement des données personnelles en relation avec les cookies sur le site web », a convenu le CEPD.
Le Parlement européen a été critiqué sur la base juridique du règlement sur la protection des données applicable aux institutions. Les amendes n’y sont autorisées que dans des circonstances limitées.
La plupart des manquements ont été corrigés alors que l’enquête était en cours. L’organisme européen de surveillance de la vie privée a donné un mois au Parlement pour régler les problèmes restants.
