Suite à une plainte de l’association Noyb, le Contrôleur européen de la protection des données (EDPS) a conclu que le Parlement européen avait violé la législation en vigueur. L’institution a autorisé la collecte des cookies par Google Analytics et n’a donc pas pris les mesures pour prévenir le transfert des données vers les Etats-Unis.
L’invalidation du « Privacy Shield » par la Cour de Justice de l’Union Européenne montre ses premières conséquences. Après Europol, c’est désormais le Parlement européen qui est épinglé pour sa mauvaise gestion des données personnelles. L’association autrichienne Noyb a porté plainte contre Bruxelles il y a un an. Le collectif s’insurgeait alors contre le site web de réservation de dépistage de la Covid-19, créé par le Parlement. Les bannières de cookies de la plateforme, associées à Google Analytics, ne respectaient pas non plus les règles sur le recueil du consentement des utilisateurs.
Dans sa décision l’EDPS estime que le Parlement a contourné le choix de la Cour de Justice de l’UE. En effet, le « Privacy Shield » permettait le transfert des données européennes vers les Etats-Unis. Son invalidation signifiait donc que l’UE jugeait insuffisantes les garanties proposées par les Etats-Unis en matière de protection des données. Or, en utilisant les cookies de Google Analytics, le site web développé par le Parlement favorisait l’accès aux données personnelles des européens par les autorités américaines.
Une décision historique dans la politique européenne de protection des données
Max Schrems, le président d’honneur de Noyb, s’est félicité de la position prise par l’EDPS. Cette dernière indique clairement que « le placement d’un cookie par un fournisseur américain enfreint les lois de l’UE sur la protection de la vie privée ». Ainsi la décision prise par l’EDPS est particulièrement importante pour améliorer la compréhension de l’invalidation du « Privacy Shield ». Depuis l’été, les experts juridique de l’UE s’écharpaient encore sur ce choix de la Cour de Justice de l’UE. Certains estimaient que les flux de données vers les Etats-Unis restaient possibles. Il semble donc évident désormais que cette transmission est possible uniquement si certaines conditions très strictes sont respectées.
Le Contrôleur européen de la protection des données a donc présenté une procédure de vérification fastidieuse afin d’assurer la bonne mise en œuvre des conditions. Les entreprises doivent donc vérifier au cas par cas le respect de ces exigences. La position claire de l’EDPS pourrait également constituer un précédent pour de futures décisions. De son coté le Parlement européen a un mois pour régulariser sa situation avant une sanction financière.
