Recevez chaque jour toute l'actualité du numérique

x

Quand le Parlement européen est sanctionné pour la violation du RGPD

Le Parlement européen s'est fait tapé sur les doigts par le Contrôleur européen de la protection des données, suite à une enquête démarrée en février 2019.  En cause : l'utilisation d'une plate-forme américaine, NationBuilder, pendant les élections européennes de mai 2019. D'après les investigations, les données personnelles de 329 000 personnes ont été insuffisamment protégées par l'institution.    
Twitter Facebook Linkedin Flipboard Email
×

Quand le Parlement européen est sanctionné pour la violation du RGPD
Quand le Parlement européen est sanctionné pour la violation du RGPD © Commission européenne

Le Contrôleur européen de la protection des données (CEPD) a sanctionné à deux reprises le Parlement européen pour n'avoir pas suffisamment protégé les données personnelles de 329 000 personnes. Dans un communiqué publié le 28 novembre, l'organe chargé de veiller au respect de la vie privée des citoyens par les institutions européennes est revenu une enquête, ouverte en février 2019. C'est l'utilisation de la plate-forme SaaS NationBuilder, pendant les dernières élections européennes de mai 2019, qui pose problème.

 

Les données de 329 000 personnes

Entreprise américaine fondée en 2009 à Los Angeles, NationBuilder a développé une plate-forme qui met à disposition des outils numériques au service d'une campagne électorale. Utilisée pour la première fois pendant la campagne de Barack Obama en 2008, elle permet de créer et de mettre à jour un site de campagne, gérer une base de contacts ainsi que les finances, d'adresser des mails et des SMS, organiser des campagnes ciblées ou encore communiquer sur les réseaux sociaux… Cette plate-forme a également été utilisée par Donald Trump en 2016 pour les primaires, Alain Juppé pour la primaire de la droite et Jean-Luc Mélenchon pour sa candidature à l'élection présidentielle de 2017.

 

Le Parlement européen a utilisé NationBuilder pour superviser le traitement des données personnelles issues du site thistimeimvoting.eu, créé pour promouvoir l'engagement des citoyens pendant les élections. En tout, ce sont les données de 329 000 personnes qui ont été traitées pour le compte du Parlement via cette plate-forme.

 

Deux blâmes adressés au Parlement

Suite à ces constatations,  le CEPD a décidé d'ouvrir une enquête en février 2019 pour vérifier si le contrat signé entre le Parlement et NationBuilder respectait le Règlement général sur la protection des données (RGPD). L'autorité protectrice des données personnelles a prononcé deux blâmes. Le premier concerne le fait que le Parlement n'a pas procédé à une demande autorisation préalable en tant que responsable du traitement des données. Le second concerne l'absence de publication d'une politique de confidentialité conforme pour le site web dans les délais impartis. Interrogé par nos confrères de Techcrunch, le CEPD a expliqué qu'il n'avait pas prononcé de sanction plus forte car "dans les deux cas, le Parlement européen a agi conformément aux recommandations". 

 

Mais l'enquête ne s'arrête pas là. Le CEPD va continuer à vérifier les processus de protection des données du Parlement mais également "des institutions, des bureaux, des organes et des agences de l'UE" afin qu'ils "donnent l'exemple en veillant à ce que les intérêts de tous ceux qui vivent dans l'UE soient correctement protégés lorsque leurs données à caractère personnel sont traitées". En effet, ce n'est pas la première fois que le CEPD tape du poing sur la table. En octobre 2019, il a déclaré que les contrats liant Microsoft aux institutions européennes n'étaient pas conforme au RGPD. Après six mois d'enquête, l'organisme déplorait un manque de transparence. Ce rapport a poussé la firme américaine a modifié l'ensemble de ces accords quelques jours après. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media