Recevez chaque jour toute l'actualité du numérique

x

Le Parlement européen a enfreint les règles sur les transferts de données vers les Etats-Unis

Les conséquences de l'arrêt Schrems II – qui a invalidé le Privacy Shield – deviennent de plus en plus claires. Saisi par une plainte de l'association Noyb, le Contrôleur européen de la protection des données a conclu que le Parlement européen avait violé la législation en autorisant des cookies de Google Analytics et de Stripe. En effet, il n'a pas pris les mesures nécessaires pour protéger les données en cas de transferts des données personnelles vers les Etats-Unis. 
Twitter Facebook Linkedin Flipboard Email
×

Le Parlement européen a enfreint les règles sur les transferts de données vers les Etats-Unis
Le Parlement européen a enfreint les règles sur les transferts de données vers les Etats-Unis © European Union 2022 - Source : EP

Après Europol, c'est le Parlement européen qui est épinglé pour sa mauvaise gestion des données personnelles. Le Contrôleur européen de la protection des données (EDPS) a rendu une décision concluant que l'institution a violé la législation sur les cookies et sur les règles des transferts des données vers les Etats-Unis, rapporte l'association autrichienne Noyb le 11 janvier 2022. Echappant à une sanction pécuniaire, elle a désormais un mois pour se mettre en conformité. 

Une plainte déposée par Noyb
Noyb avait déposé une plainte en janvier 2021. Elle concernait le site web de réservation de tests de dépistage du Covid-19 que le Parlement européen a lancé en septembre 2020 en utilisant le fournisseurs tiers "Ecolog". Etaient visées des bannières de cookies qui –en plus d'être associés à Google Analytics et Stripe – ne respectaient pas les règles européennes sur le recueil du consentement. 

Dans sa décision, l'EDPS estime que le Parlement n'a pas démontré qu'il avait appliqué les garanties nécessaires pour s'assurer que les transferts de données vers les Etats-Unis respectent pleinement la décision Schrems II rendue par la Cour de justice de l'Union européenne. Celle-ci a invalidé le Privacy Shield, une convention signée entre l'Union européenne et les Etats-Unis qui facilitait le transfert de données personnelles en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen. Ce sont les facultés pour les autorités américaines d'accéder aux données personnelles des Européens qui ont justifié la fin de ce texte.

Comme l'explique Techcrunch, Ecolog (le fournisseur tiers) avait "copié-collé le code d'un autres site web" qu'il avait développé pour un centre de test situé à l'aéroport de Bruxelles. Les cookies de Google Analytics avaient été intégrés par Ecolog pour "minimiser le risque d'usurpation d'identité et à des fins d'optimisation du site web", explique l'EDPS. 

Un risque pour les utilisateurs du site
Depuis l'arrêt Schrems II, la présence de cookies conçus pour envoyer des données à des fournisseurs basés aux États-Unis pour traitement crée un risque juridique immédiat pour les sites Web basés dans l'UE et/ou leurs clients. En l'espèce, le Contrôleur a estimé que le Parlement était le seul responsable du traitement tandis qu'Ecolog était le sous-traitant.

Max Schrems, président d'honneur de Noyb, s'est félicité de la position prise par l'EDPS. Il a "clairement indiqué que même le placement d'un cookie par un fournisseur américain enfreint les lois de l'UE sur la protection de la vie privée (...) Nous nous attendons à davantage de décisions de ce type sur l'utilisation de fournisseurs américains dans les prochains mois, car d'autres cas doivent également faire l'objet d'une décision". 

Une position claire faisant figure de précédent
La décision prise par l'EDPS est particulièrement importante et pourrait être un tournant dans la compréhension des conséquences de l'arrêt Schrems II, sur lequel même les experts s'écharpent. Alors que certains estiment que les flux de données vers les Etats-Unis restent tout à fait possibles, d'autres pensent que la majorité des transferts deviennent de facto illégaux car il est très difficile de d'assurer que les Etats-Unis ne mettent pas la main sur les données des Européens. 

Le Comité européen de la protection des données (EDPB) avait délivré en novembre 2020 une série de recommandations à suivre pour continuer légalement à transférer des données vers les Etats-Unis. Une procédure de vérification fastidieuse en six étapes avait été présentée pour s'assurer que les garanties appropriées sont mises en oeuvre. Les entreprises doivent donc vérifier au cas par cas le respect de ces exigences. 

La position claire de l'EDPS pourra également constituer un précédent pour de futures décisions. Il reste à savoir si les régulateurs vont s'en emparer, en particulier la Data Protection Commission (DPC). L'autorité de protection des données irlandaise a demandé à Meta de cesser immédiatement de transférer les données des utilisateurs européens vers les Etats-Unis. Il s'agissait de la première retombée de l'arrêt Schrems II. L'affaire est toujours en cours. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.