Le règlement 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il est censé renforcer et unifier la protection des données pour les individus au sein de l’Union européenne.
Ce règlement a été adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.
Sauf au Parlement européen visiblement. Le Contrôleur européen de la protection des données (CEPD) a sanctionné à deux reprises le Parlement européen pour n’avoir pas suffisamment protégé les données personnelles de 329 000 personnes. Dans un communiqué publié le 28 novembre, l’organe chargé de veiller au respect de la vie privée des citoyens par les institutions européennes est revenu une enquête, ouverte en février 2019.
C’est l’utilisation de la plate-forme SaaS NationBuilder, pendant les dernières élections européennes de mai 2019, qui pose problème. Entreprise américaine, NationBuilder a développé une plate-forme qui met à disposition des outils numériques au service d’une campagne électorale. Utilisée pour la première fois pendant la campagne de Barack Obama en 2008, elle permet de créer et de mettre à jour un site de campagne, gérer une base de contacts ainsi que les finances, d’adresser des mails et des SMS, organiser des campagnes ciblées ou encore communiquer sur les réseaux sociaux… Cette plate-forme a également été utilisée par Donald Trump en 2016 pour les primaires, Alain Juppé pour la primaire de la droite et Jean-Luc Mélenchon pour sa candidature à l’élection présidentielle de 2017.
Le Parlement européen a utilisé NationBuilder pour superviser le traitement des données personnelles issues du site thistimeimvoting.eu, créé pour promouvoir l’engagement des citoyens pendant les élections. En tout, ce sont les données de 329 000 personnes qui ont été traitées pour le compte du Parlement via cette plate-forme.
Le CEPD a ouvert une enquête en février 2019 pour vérifier si le contrat signé entre le Parlement et NationBuilder respectait le Règlement général sur la protection des données (RGPD). L’autorité a prononcé deux blâmes.
- Le premier concerne le fait que le Parlement n’a pas procédé à une demande autorisation préalable en tant que responsable du traitement des données.
- Le second concerne l’absence de publication d’une politique de confidentialité conforme pour le site web dans les délais impartis.
L’enquête ne s’arrête pas là : le CEPD va continuer à vérifier les processus de protection des données du Parlement mais également “des institutions, des bureaux, des organes et des agences de l’UE”. Ce n’est pas la première fois que le CEPD tape du poing sur la table. En octobre 2019, il a déclaré que les contrats liant Microsoft aux institutions européennes n’étaient pas conformes au RGPD.
https://www.lesalonbeige.fr/rgpd-le-parlement-europeen-ne-respecte-pas-sa-propre-legislation/