Par Gérard Haas, Florian Perretin et Eléonore Hakim
Le Contrôleur Européen de la Protection des Données (C-EPD, ou EDPS) vient d’adresser un avertissement au Parlement européen, pour non-respect des règles encadrant le transfert de données hors Union européenne.
Retour un an en arrière... En janvier 2021, l’association NOYB dépose une plainte, au nom de six membres du Parlement, contre le site https://europarl.ecocare.center/fr.
Il s’agit d’un site interne du Parlement européen mis en place pour permettre aux membres et employés du Parlement de prendre rendez-vous en ligne afin d’effectuer des tests Covid.
La plainte a révélé que le site transférait des données hors Union européenne et notamment aux Etats Unis compte tenu du recours aux services proposés par les géants américains, Google Analytics (Cookies) et Stripe (prestataire de service de paiement).
Or, depuis l’arrêt Schrems II et l’invalidation du Privacy Shield, pour les transferts de données vers des pays non reconnus comme adéquats par la Commission européenne tels que les Etats Unis, le C-EPD exige la mise en place de mesures complémentaires venant rendre effectives les clauses contractuelles types, lorsqu’un tel mécanisme de sécurisation est déployé.
Il semblerait que le Parlement européen n’ait pas mis en œuvre lesdites mesures pour ce site Internet, et la réaction du Contrôleur européen ne s’est pas faite attendre.
Dans sa décision, le gendarme européen de la protection des données a retenu plusieurs manquements.
Les manquements constatés
Le transfert illégal de données est au cœur de la décision du Contrôleur européen.
Le C-EDP a constaté que le site de tests Covid du Parlement européen transférait des données en dehors de l’Union européenne et notamment aux Etats Unis, par le biais de cookies déposées par des services américains, Google Analytics et Stripe.
Pour rappel Google Analytics est un outil qui utilise des cookies de mesure d’audience et Stripe, un prestataire de services de paiement dont l’activité consiste à permettre via son intermédiaire la réalisation de paiements en ligne.
Selon le Comité, l’utilisation de ces outils n’est pas conforme aux règles relatives aux transferts de données vers les Etats Unis.
En outre, le C-EPD considère que le Parlement européen n’a fourni aucune documentation, preuve ou autre information concernant les mesures contractuelles, techniques ou organisationnelles mises en place pour assurer un niveau de protection essentiellement équivalent à celui assuré en Union européenne dans le contexte de l'utilisation de cookies sur le site internet du Parlement.
En effet, dans la mesure où le recours à ces solutions implique le transfert de données en dehors de l’Union européenne, le Parlement européen aurait dû sécuriser ses relations contractuelles avec Google Analytics et Stripe en :
- Interrogeant Google Analytics et Stripe sur les garanties mises en œuvre par ces sociétés pour satisfaire aux exigences du CEPD pour les transferts hors Union européenne et notamment vers les Etats Unis, pays pour lequel le CEPD exige la mise en place de mesures techniques, organisationnelles ou contractuelles complémentaires.
Pour en savoir plus sur les mesures complémentaires exigées par le CEPD, vous pouvez consulter notre article accessible ici.
- Concluant des clauses contractuelles types avec Google Analytics et Stripe.
Outre le transfert illégal de données vers les Etats Unis, le C-EDP a constaté trois autres manquements :
- Un manquement à l’obligation de transparence et d’information : en fonction de la langue choisie par l’internaute, la politique de confidentialité du site ne fournissait pas les mêmes informations ; (article 14 et 15 du RGPD)
- Un manquement à l’article 82 de la loi Informatique et Libertés : le bandeau cookies du site ne permettait pas aux internautes de donner un consentement valable;
- Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (articles 12 et 15 du RGPD) : le Parlement européen n’a pas donné suite aux demandes formulées par les plaignants dans les délais.
Pour toutes ces raisons, le C-EPD a mis en demeure le Parlement européen de rectifier les manquements dans un délai d’un mois, à compter de la décision.
Le Parlement s’est montré collaboratif et a immédiatement réagi puisqu’à la date de la décision la plupart des manquements constatés avaient été corrigés.
Quels sont les enseignements à en tirer ?
Compte tenu des enjeux juridiques et techniques attachés à l’encadrement des transferts de données hors Union européenne, les entreprises européennes devront veiller à prendre toutes les mesures nécessaires pour garantir un niveau de protection essentiellement équivalent à celui prévu en Union européenne. Si aucune mesure ne le permet, le responsable de traitement devrait en principe renoncer au transfert, au risque d’engager sa responsabilité.
La décision rendue par le CEPD apparait comme une sonnette d’alarme pour les sites européens quant à la nécessité de recourir à des prestataires européens.
Plus que jamais l’heure semble en effet être celle du protectionnisme pour le marché européen. Cette tendance touche également les circulations de données à caractère personnel, avec une approche beaucoup plus stricte des échanges d’informations personnelles vers les pays situés en dehors de l’Espace Economique Européen.
Il s’agit naturellement d’un enjeu extrêmement fort et stratégique de gouvernance européenne qui avait déjà motivé en 2016 le législateur européen à adopter un texte contraignant à l’égard des acteurs extra-européens.
On se souviendra à l’époque du scandale alors causé par les révélations d’Edward Snowden sur le projet PRISME, et on gardera notamment en mémoire les législations américaines telles que le Patriot Act et le Cloud Act permettant aux institutions américaines d’investiguer largement sur les données de citoyens européens hébergées aux Etats-Unis.
Notons que le Contrôleur européen n’en est pas à son coup d’essai, puisqu’en Juillet 2020 ce dernier avait déjà publié un rapport à charge sur l’utilisation de Microsoft par les institutions européennes. Les opérations de transferts de données hors UE générées à cette occasion mises en cause, le Contrôleur précisait que « les institutions de l'UE ont été confrontées à un certain nombre de problèmes liés à la localisation des données, aux transferts internationaux et au risque de fuite de données ».
De son côté, Max Schrems, président de l’association NOYB et célèbre militant pour la protection de la vie privée, est convaincu qu’à l’avenir d’autres décisions iront dans le même sens : « Nous nous attendons à d’autres décisions de ce type sur l’utilisation de fournisseurs américains dans les prochains mois, car d’autres affaires doivent également être tranchées ».[1]
L’autorité autrichienne de protection des données n’a pas perdu de temps. En effet, par une décision du 13 janvier 2022, elle a considéré que l’utilisation de Google Analytics n’était pas conforme au Règlement général sur la protection des données (RGPD).
Cette décision d’importance pourrait, au-delà des institutions européennes, remettre en cause l’utilisation de ces outils proposés par des firmes américaines pour l’ensemble des acteurs européens, publics ou privés.
L’offre européenne sera-t-elle au rendez-vous pour répondre à ces nouveaux marchés ?
Vous transférez des données à caractère personnel en dehors de l’Union européenne et souhaitez un accompagnement dans vos projets ? Vous souhaitez valoriser vos services en vous mettant en conformité avec le RGPD ? Le Cabinet HAAS Avocats, se tient à votre disposition pour vous aider à mettre en œuvre tous vos projets. Pour en savoir plus, contactez-nous ici.
[1] Noyb, « EDPS sanctions Parliament over EU-US Data Transfers to Google and Stripe”, 11 janvier 2022
