Le CEPD a adressé au Parlement européen un rappel à l’ordre, le 5 janvier 2022, notamment en raison d’un transfert de données à caractère personnel vers les Etats-Unis qui n’était pas assorti de « mesures supplémentaires » conformément aux exigences de l’arrêt « Schrems II ».
Le Contrôleur européen de la protection des données (CEPD) a été informé, par des membres du Parlement européen, que ce dernier aurait commis des manquements au Règlement (UE) 2018/1725 (équivalent du RGPD pour les institutions, organes et organismes de l’UE), notamment en matière de transparence et de transferts de données personnelles.
Était en cause le recours par le Parlement européen aux services d’une société baptisée « Ecolog », qui (i) conduisait des tests PCR dans son enceinte, et (ii) éditait un site internet dédié (europarl.ecocare.center), lequel utilisait des cookies Google Analytics et Stripe.
A l’issue d’échanges avec le Parlement européen, il est apparu au CEPD que les données de membres et d’employés du Parlement européen étaient transférées aux Etats-Unis dans le cadre de l’utilisation de ces cookies. S’appuyant sur l’arrêt « Schrems II », le CEPD a rappelé que les transferts de données à caractère personnel à destination des Etats-Unis ne pouvaient avoir lieu qu’en présence de « mesures supplémentaires » permettant d’assurer un niveau de protection des données équivalent à celui de l’Union européenne. Le Parlement européen, qualifié ici de responsable du traitement, ne rapportait, cependant, aucune preuve de l’existence de telles mesures, ce qui a conduit le CEPD à conclure que le Parlement européen avait manqué à ses obligations en matière de transfert de données.
A la lumière de ces constatations, le CEPD a adressé un rappel à l’ordre au Parlement européen.