Actualités

La décision du Contrôleur européen de la protection des données (EDPS) du 5 janvier 2022 remet en question l’utilisation de Google Analytics et de Stripe, services largement utilisés en Europe.

L’EDPS a, en effet, ordonné au Parlement européen de se conformer pour ses traitements à ses obligations en matière de protection des données personnelles:

1. Le site internet du centre de test Covid-19 du Parlement européen mettait en place des cookies Google Analytics et Stripe (bien que la présence des cookies Stripe résultait d’une erreur du développeur du site en question).

L’EDPS retient qu’un transfert de données personnelles de l’Union européenne vers les Etats-Unis a bien eu lieu par l’utilisation de ces cookies. L’EDPS souligne que le Parlement européen n’avait pas mis en place de mesures contractuelles, techniques ou organisationnelles garantissant un niveau de protection des données équivalent à celui garanti dans l’Union européenne, tel qu’il aurait dû le faire en cas de transfert vers un pays tiers. L’EDPS ne précise pas quelles mesures…

2. L’EDPS retient que les bannières de cookies proposées par le Parlement européen ne permettaient pas aux utilisateurs de donner un consentement libre et éclairé, et ne leur donnent pas une information transparente relative au traitement des données personnelles. L’EDPS précise à cette occasion que le consentement des utilisateurs est exigé même pour les cookies nécessaires aux mesures d’audience… ce qui n’est pas en ligne avec la doctrine de la CNIL sur ce point !