Le contrôleur européen de la protection des données (CEPD) a rendu une décision, mercredi 5 janvier, confirmant que le Parlement européen avait violé la loi sur la protection des données via son site interne de tests anti-Covid, en transférant illégalement des données vers les États-Unis.
Cette décision fait suite à la plainte déposée par le Centre européen pour les droits numériques (NOYB), en janvier 2021, au nom de six eurodéputés parmi lesquels Alexandra Geese (Verts/ALE, allemande), à l'origine de la plainte.
Dans le détail, le CEPD estime que le recours aux services fournis par Google Analytics et la société de paiement Stripe - toutes deux américaines - a violé l’arrêt ‘Schrems II’ rendu par la Cour de justice de l’UE (CJUE) le 16 juillet 2020, sur le transfert de données entre l’UE et les États-Unis (EUROPE 12529/2). Cette décision du CEPD est l’une des premières à mettre en œuvre l’arrêt ‘Schrems II’.
En outre, il est également reproché au site incriminé d’avoir déployé de bannières de cookies « trompeuses » et des avis « peu clairs » concernant la protection des données.
S’il n’est pas question d’amende - le CEPD n’a la capacité d’en émettre que dans certaines circonstances précises -, le contrôleur européen de la protection des données a formulé un blâme faisant office d’ordre de mettre le site en conformité.
Voir la décision du CEPD : https://bit.ly/33kZwyQ (Thomas Mangin)