AccueilActualités informatiqueLe contrôleur européen de la protection des données met en garde le...

Le contrôleur européen de la protection des données met en garde le Parlement sur le transfert de données vers Google et Stripe

Le Parlement européen doit apporter des améliorations à son site web de test Covid 19 et mieux protéger la vie privée des utilisateurs. C’est ce qu’exige le contrôleur européen de la protection des données, Wojciech Wiewiórowski, qui a donné un mois à l’organe législatif pour le faire. Suite à une plainte de plusieurs députés et de l’organisation de défense des droits des citoyens Noyb, il reproche au Parlement d’avoir enfreint la législation sur la protection des données sur la page consacrée au centre de test.

Sommaire

Pendant la pandémie de Corona, le Parlement s’appuie sur un centre de test du fournisseur EcoCare, auquel les membres de l’institution peuvent s’inscrire sur l’Intranet. En accédant au site, les représentants du peuple ont découvert qu’il envoyait au début plus de 150 demandes de fournisseurs tiers. Parmi celles-ci figuraient également les entreprises américaines Google et Stripe.

Dans sa décision du 5 janvier, qui vient d’être publiée, Wiewiórowski souligne que l’utilisation de Google Analytics et du fournisseur de paiement Stripe n’est pas compatible avec l’arrêt « Schrems II » de la Cour de justice des Communautés européennes (CJCE) sur le transfert de données à caractère personnel entre l’UE et les États-Unis. Par cette décision, les juges de Luxembourg ont à nouveau constaté que les lois américaines en matière de sécurité permettent une surveillance de masse et que les normes de protection des données aux États-Unis ne correspondent donc pas à celles de l’UE.

L’annonce de Wiewiórowski est l’une des premières décisions concernant la mise en œuvre de « Schrems II » dans la pratique. Elle pourrait servir de référence pour de nombreux autres cas pertinents actuellement traités par les tribunaux et les autorités de régulation. Auparavant, le tribunal administratif de Wiesbaden avait interdit à une université, sur la base de l’arrêt de principe de la CJCE, d’intégrer le « cookiebot » sur sa page d’accueil et de transmettre ainsi des données aux Etats-Unis.

La première plainte auprès du contrôleur européen de la protection des données avait été déposée par la Verte Alexandra Geese au nom d’autres députés comme Patrick Breyer (Parti pirate). Noyb a étayé cette démarche par une autre requête il y a un an. Les plaignants dénonçaient également le manque de clarté et le caractère trompeur des bannières de cookies du site : Les exploitants n’y auraient pas énuméré tous les fichiers de navigateur placés, et il y aurait eu des différences entre les différentes versions linguistiques. Par conséquent, les utilisateurs n’ont pas été en mesure de donner un consentement valide. Le Parlement a alors supprimé tous les cookies.

Le contrôleur a également confirmé l’avis des plaignants selon lequel les informations relatives à la protection des données fournies par le centre de test n’étaient pas claires et compréhensibles. Le Parlement a ainsi enfreint l’obligation de transparence. En outre, l’organe n’aurait pas répondu correctement aux demandes d’information.

L’autorité de contrôle a infligé au Parlement un blâme pour les différentes infractions à un règlement spécifique sur la protection des données applicable aux institutions européennes. S’y ajoutent un avertissement et une injonction de ne pas faire avec un délai d’un mois. Contrairement aux autorités nationales de protection des données, Wiewiórowski ne peut infliger une amende que dans certaines circonstances, qui n’étaient pas remplies dans ce cas. Le règlement général sur la protection des données (RGPD), qui ne s’applique pas dans ce cas, offre une plus grande marge de manœuvre en matière de sanctions.

Plus d'articles