Désormais, toute personne qui recherchera des informations sur le portail Fisconetplus du SPF Finances pour compléter sa déclaration fiscale ne devra plus utiliser son compte Microsoft.
Ceci est le résultat d’une mesure provisoire imposée par l’Autorité de Protection des données (ci-après l'”APD”) au SPF Finances.
L’APD a en effet ordonné au SPF de suspendre l’accès à son application Fisconetplus au travers d’un compte Microsoft.
Mesure provisoire du Service d’Inspection :
C’est la première fois que le Service d’Inspection décide d’une mesure provisoire.
La mesure provisoire est l’une des compétences prévues par la loi pour le Service d’Inspection de l’APD.
L’Inspecteur-Général et les inspecteurs peuvent ainsi ordonner la suspension, la limitation ou le gel temporaire de traitements de données si cette mesure permet d’éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable.
Les mesures provisoires décidées par le Service d’Inspection peuvent durer jusqu’à trois mois, prolongeable d’une nouvelle durée de trois mois au maximum.
Recommandation 01/2019 du 6 février 2019 :
Cette décision fait suite à la recommandation publiée en février 2019, par lAutorité de protection des données concernant l’illégalité d’une obligation de créer un compte utilisateur chez Microsoft pour consulter des applications de services publics.
Il était bien précisé dans le corps du texte que cette recommandation avait vocation à s’appliquer à l’égard de tous les services publics qui envisagent de déployer des applications similaires à l’aide de partenariat externes.
Contenu de la recommandation :
L’Autorité a consideré dans cette recommandation d’une part que le fait de subordonner l’accès à une application (qui ne fait que donner accès à des information publiques à ses utilisateurs) commerciale comme Microsoft est contraire aux principes de protection des données dès la conception et par défaut (article 25 du RGPD).
En effet, l’Autorité remarque que pour créer un compte les utilisateurs doivent se soumettre à la politique vie privée et cookies de Microsoft et à ses paramétrages standards en matière de cookies. Ces paramétrage standards ne respectent pas ces deux principes car ils laissent (par défaut et dès la conception) Microsoft collecter une large série de données sur ses utilisateur..
L’Autorité remarque d’autre part que la que la base légale de ce traitement n’est pas clairement énoncée par l’autorité publique qui impose le recours à la création d’un compte.
Le traitement ne se conforme donc pas à l’article 6 du RGPD ainsi qu’aux articles 8 et 22 de la CEDH.
Par ailleurs, le principe de proportionallité et de légitimité des traitements repris à l’article 5 du RGPD est également méconnu. vu que rien ne semble justifier la nécessité de ce traitement. (Les informations accessibles sont uniquement des informations publiques il n’est donc a priori pas nécessaire de devoir créer un compte pour y accèder.)
Enfin, l’Autorité remarque que le responsable du traitement (l’autorité publique) ne peut pas se décharger de sa propre obligation d’information envers les utilisateurs (en vertu des articles 13 et 14 du RGPD) en recourant comme il le fait à une société commerciale pour proposer la fonctionnalité de base.
En matière de cookies, la combinaison d’un enregistrement obligatoire de la personne concernée , de son acceptation obligatoire de divers cookies (dont des cookies implémentés par des tiers) et d’un paramétrage de base très large est contraire à l’exigence de consentement figurant à l’article 129 de la LCE.
Pour ces raisons, l’APD conclut que l’imposition, par des autorités publiques, de l’utilisation d’un compte Microsoft pour accèder à une application qui ne met à disposition de ses utilisateurs uniquement des informations publiques et pas des données à caractère personnel est contraire aux RGPD.
Conclusion :
Dans tous les cas, vu les risques potentiels pour les droits et libertés des personnes concernées, notamment en ce qui concerne la sécurité de la Plateforme (article 32 du RGPD), l’autorité publique aurait du à minima mener une analyse d’impact relative à la protection des données avant de mettre un tel système en place.
Par cette mesure provisoire, l’Autorité de protection des données s’affirme et confirme son intention d’utiliser pleinement les prérogatives qui lui sont attribuées par la loi.