Selon le Contrôleur européen de la protection des données (CEPD), le Parlement européen n'a pas respecté le Règlement général sur la protection des données (RGPD). L'intervention du régulateur concerne un site web de réservation pour effectuer des tests de Covid-19 que le Parlement a lancé en septembre 2020. Ce site aurait permis le transfert de données hors de l'Union européenne.

Plusieurs infractions commises par le Parlement européen

Cette décision sonne comme un avertissement pour les sites européens quant à la nécessité de faire preuve de respect des règles en ce qui concerne les flux et les transferts de données. Si le Parlement européen a évité la sanction financière, ce ne sera pas toujours le cas à l'avenir. Le CEPD précise que le site a fait l'objet d'un certain nombre de plaintes, déposées par six députés européens au cours de l'année dernière.

Plusieurs manquements au RGPD ont été soulevés sur ce site destiné aux équipes du Parlement : la présence de cookies tiers imposés sans le consentement des utilisateurs, ainsi que des problèmes de transparence d'accès et de transfert relatifs aux données personnelles. Suite à son enquête, le CEPD a conclu que le Parlement européen était bien en faute à plusieurs égards. En plus d'un avertissement, le régulateur ordonne la rectification de tous les problèmes identifiés dans un délai d'un mois.

Le transfert des données hors de l'UE au cœur de la plainte

C'est bien le transfert des données des utilisateurs vers les États-Unis qui est une nouvelle fois au cœur du problème. En effet, le site web en question n'a pas mis en place le protocole nécessaire pour empêcher Google Analytics et Stripe de transférer les données personnelles des utilisateurs vers les États-Unis. Pourtant le Parlement européen est bien placé pour savoir qu'en juillet 2020, la Cour de justice européenne (CJUE) a annulé l’accord sur le transfert de données personnelles (le Privacy Shield) avec les États-Unis. Une décision prise pour répondre aux inquiétudes des citoyens européens.

Les plaignants ont affirmé qu'avec ce site web, le Parlement transférait des données personnelles relatives à des députés et à des employés, en dehors de l'Union européenne, à Google et à d'autres sociétés américaines. En tout, le site du Parlement européen aurait enfreint six articles du règlement sur la protection des données. Le CEPD précise que le Parlement a été « constamment réactif et collaboratif tout au long de l'enquête sur la plainte », et qu'à la date de la décision, la plupart des infractions ont été corrigées.