Le contrôleur en chef de la protection des données de l’Union européenne a sanctionné le Parlement européen pour une série de violations des règles de protection des données du bloc.
La décision sonne un avertissement fort aux sites et services de la région sur la nécessité d’une diligence raisonnable des flux et des transferts de données personnelles – y compris un examen minutieux de tous les fournisseurs tiers, plug-ins ou autres morceaux de code intégré – pour éviter le risque de sanction judiciaire coûteuse. Bien que le parlement ait évité une pénalité financière cette fois.
L’intervention du Contrôleur européen de la protection des données (CEPD) concerne un site Web de réservation de tests COVID-19 que le Parlement européen a lancé en septembre 2020 – en utilisant un fournisseur tiers, appelé Ecolog.
Le site Web a attiré un certain nombre de plaintes, déposées par six députés européens, l’année dernière – avec le soutien du groupe de campagne européen sur la protection de la vie privée noyb – concernant la présence de traqueurs tiers et de bannières de consentement aux cookies déroutantes, parmi une série d’autres problèmes de conformité qui comprenaient également problèmes de transparence et d’accès aux données.
À la suite d’une enquête, le CEPD a conclu que le Parlement était fautif à plusieurs égards et a émis une réprimande — ordonnant la rectification de tout problème en suspens dans un délai d’un mois.
Il s’est avéré que le site Web de réservation test déposait des cookies associés à Google Analytics et Stripe – mais le parlement n’a pas démontré qu’il avait appliqué des mesures spéciales pour garantir que tout transfert de données personnelles associé vers les États-Unis serait correctement protégé à la lumière de l’historique Schrems. II décision de la plus haute juridiction de l’UE.
En juillet 2020, la CJUE a annulé l’accord phare de transfert de données du bloc avec les États-Unis (alias, le bouclier de protection des données UE-États-Unis) et a publié de nouvelles directives selon lesquelles les transferts de données personnelles des citoyens de l’UE vers tous les pays tiers doivent faire l’objet d’une évaluation des risques sur un cas par base de cas.
La décision a également clairement indiqué que les régulateurs de l’UE doivent intervenir et suspendre les flux de données s’ils pensent que les informations des personnes sont menacées. Ainsi, pour que certains transferts soient légaux (tels que les flux de données UE-États-Unis), des mesures supplémentaires peuvent être nécessaires pour élever le niveau de protection au niveau requis d’équivalence essentielle avec le droit de l’UE – ce que le comité européen de la protection des données (EDPB) a depuis publié des directives détaillées sur.
Cependant, dans le cas du site de réservation test COVID-19 du Parlement, le CEPD n’a trouvé aucune preuve que lui ou son fournisseur avait appliqué de telles mesures supplémentaires pour protéger les transferts UE-États-Unis résultant de l’inclusion de Google Analytics et des cookies Stripe.
Il s’avère que le fournisseur avait copié-collé le code d’un autre site Web qu’il avait construit, pour un centre de test à l’aéroport international de Bruxelles – d’où la présence de cookies pour la société de paiement Stripe sur le site du parlement (bien qu’aucun paiement ne soit réellement requis pour les tests réservés via le site Web ).
Les cookies de Google Analytics, quant à eux, avaient apparemment été inclus par le fournisseur pour « minimiser le risque d’usurpation d’identité et à des fins d’optimisation du site Web », selon les conclusions du CEPD.
Post-Schrems II, la présence de cookies conçus pour envoyer des données à des fournisseurs basés aux États-Unis pour traitement crée un risque juridique immédiat pour les sites Web basés dans l’UE – et/ou leurs clients (dans ce cas, le Parlement a été jugé par le CEPD comme le seul responsable du traitement, tandis qu’Ecolog était le sous-traitant). Ainsi, l’intégration de Google Analytics peut faire le contraire de « l’optimisation » de la conformité de votre site avec la loi européenne sur la protection des données.
Cela dit, l’application de ce problème de conformité particulier a été lente, même depuis la décision de la CJUE de 2020 – avec seulement quelques enquêtes dirigées par les régulateurs et le leadership le plus clair venant du CEPD lui-même.
Une plainte de (très) longue durée contre les transferts de données entre l’UE et les États-Unis de Facebook, déposée par le fondateur de noyb Max Schrems à la suite des révélations de Snowden en 2013 sur la surveillance de masse des réseaux sociaux et des données Internet par la NSA, n’a toujours pas abouti à une décision finale. décision de son contrôleur principal de la protection des données, la Commission irlandaise pour la protection des données (DPC) — bien que cette dernière ait accepté il y a un an qu’il finaliserait « rapidement » la plainte.
Encore une fois, cependant, cela rend l’intervention du CEPD sur la plainte du Parlement d’autant plus importante. tl;dr : Les banhammers de l’UE diminuent progressivement.
Dans une autre conclusion contre le parlement, le CEPD a contesté les avis de consentement aux cookies confus présentés aux visiteurs du site Web de réservation de test – qui, selon lui, fournissaient des informations inexactes ; n’offrait pas toujours des choix clairs pour rejeter le suivi par des tiers ; et incluait une conception trompeuse qui pouvait manipuler le consentement.
En revanche, le droit de l’UE sur le consentement en tant que base juridique pour traiter les données des personnes exige clairement que le choix doit être éclairé, spécifique (c’est-à-dire limité à un objectif plutôt que groupé) et librement donné.
Il a également été constaté que le parlement n’avait pas répondu de manière adéquate aux demandes d’informations des plaignants, enfreignant ainsi la loi sur les exigences légales supplémentaires qui offre aux Européens une série de droits d’accès liés à leurs données personnelles.
Alors que le parlement s’est retrouvé dans la situation embarrassante d’être réprimandé par le CEPD, il a évité une amende, car le régulateur n’a que des pouvoirs limités pour imposer des sanctions financières qu’il a déclaré que ces infractions n’avaient pas déclenchées.
Mais les constatations de faute par le superviseur en chef de la protection des données du bloc dessinent de nouvelles lignes rouges autour de l’utilisation régionale routinière d’outils basés aux États-Unis comme Google Analytics (ou, en fait, les pages Facebook) à la suite de la décision Schrems II de la Cour de justice de l’Union européenne.
Le copier-coller avec des appels d’analyse standard peut sembler être un gain rapide pour un créateur de site Web, mais pas si l’entité chargée de protéger les informations des visiteurs n’évalue pas correctement le risque juridique basé sur l’UE.
La réprimande du CEPD à l’encontre du parlement a donc une signification plus large car elle semble susceptible de préfigurer une vague de décisions alignées des régulateurs de l’UE, étant donné le nombre de plaintes similaires déposées par noyb en août 2020 ciblant des sites Web à travers le bloc.
« Nous attendons d’autres décisions sur cette question le mois prochain », a déclaré à TechCrunch le président honoraire de noyb, Max Schrems. « Le fait que le CEPD ait pris une position claire est un bon signe pour les autres APD. »
La sanction du Parlement européen par le CEPD pour les bannières de cookies déroutantes envoie également un signal fort sur ce qui est acceptable et ce qui ne l’est pas lorsqu’il s’agit d’obtenir le consentement des utilisateurs pour le suivi, malgré des schémas sombres déroutants encore honteusement répandus dans l’UE.
(Pour un exemple particulièrement ironique de cela, voir cet article de blog de l’analyste Forrester – qui avertit que les régulateurs viennent pour des « modèles sombres », même si la propre page Web de l’analyste sert ce qui ressemble beaucoup à un avis de cookie non conforme étant donné le seul le bouton évident lit « Accepter les cookies » et il faut plusieurs clics dans les sous-menus pour trouver une option pour rejeter les cookies de suivi, donc euh… )
noyb a également lancé un effort majeur ciblant ce type de non-conformité des cookies l’année dernière – ce qui, selon lui, pourrait l’amener à déposer jusqu’à 10 000 plaintes concernant des bannières de cookies douteuses auprès des régulateurs de l’UE.
Les régulateurs régionaux vont clairement avoir du pain sur la planche pour nettoyer tant d’infractions – ce qui à son tour peut encourager les APD à se coordonner sur la normalisation des applications pour conduire l’échelle de changement nécessaire.
La décision du CEPD ajoute un accélérateur de haut niveau en envoyant un signal clair que les bannières de cookies déroutantes sont les mêmes que les bannières de cookies non conformes de l’organisme chargé de fournir aux législateurs de l’UE des conseils d’experts sur la manière d’interpréter et d’appliquer la législation sur la protection des données.
Voici un extrait illustratif de sa décision – qui décrit une partie de la confusion qui a frappé les visiteurs du site Web du Parlement alors qu’ils tentaient d’analyser les avis de cookies au moment des plaintes (les cookies de suivi ont depuis été supprimés du site) :
« La version anglaise ne faisait référence qu’aux cookies essentiels et invitait l’utilisateur à cliquer sur le bouton ‘accepter tout’ ou ‘enregistrer’. La différence entre les deux boutons n’était pas claire. La version française de la deuxième couche de bannière de cookies faisait référence à la fois aux cookies essentiels et aux « médias externes ». Ces cookies de médias externes comprenaient des cookies de Facebook, Google Maps, Instagram, OpenStreetMap, Twitter, Vimeo et Youtube. Le visiteur pouvait également choisir entre « tout accepter » ou « enregistrer ». La version allemande de la deuxième couche de la bannière des cookies ne faisait référence qu’à un seul cookie « média externe » – Google Maps – en plus du cookie essentiel. »
La conclusion du CEPD était que les bannières de cookies dans les trois langues ne satisfaisaient pas à la norme de l’UE en matière de consentement.
Autre signe du calcul de la (non) conformité des cookies qui se déroule actuellement dans la région, certains régulateurs de l’UE ont pris des mesures concrètes, comme la CNIL française qui a sévèrement critiqué Google et Facebook la semaine dernière, annonçant des amendes de 170 millions de dollars. et 68 millions de dollars respectivement pour avoir choisi un motif sombre plutôt que des choix clairs dans leurs flux de consentement aux cookies.
L’EDPB, qui soutient l’application par les APD de règles paneuropéennes telles que le règlement général sur la protection des données, a créé un groupe de travail sur la question des cookies l’automne dernier – affirmant qu’il «coordonnerait la réponse aux plaintes concernant les bannières de cookies» que noyb avait déposées avec un certain nombre des agences régionales.
Schrems décrit cette étape comme un « bon » développement – mais a déclaré que cela ralentissait également les choses.
Bien qu’il ait suggéré que la direction du déplacement soit vers une norme qui nécessitera un simple oui/non pour le suivi. (Ce qui signifiera bien sûr un « non » ferme dans la grande majorité des cas, étant donné que peu de gens aiment être traqués par des publicités – d’où le récent avertissement de la DPA britannique à adtech que la fin du suivi est proche.)
« Les décisions de la CNIL et du CEPD soutiennent notre point de vue selon lequel nous devons passer à des options équitables « oui ou non » », nous a déclaré Schrems. « Nous nous attendons à ce que d’autres autorités suivent cet exemple. »
Qu’en est-il de sa plainte concernant les flux de données vintage via les transferts UE-États-Unis de Facebook ? Y a-t-il un signe de la résolution « rapide » promise par l’Irlande à cette plainte particulière – qui aurait dû conduire à une ordonnance de la DPA à Facebook de suspendre les flux de données il y a des années ? Mais n’a jusqu’à présent conduit qu’à une ordonnance préliminaire en septembre 2020 ordonnant à Facebook de suspendre les transferts.
« Ils disent toujours que chaque décision arrive n’importe quel jour – j’ai arrêté de suivre ces rumeurs mais il y a encore une rumeur à ce sujet en ce moment… », a déclaré Schrems sur le DPC, concluant son texte avec un emoji eyeroll.