Divulguer des données ne peut pas être une condition pour accéder à l’information fiscale

---

Accès à une application de service public via un compte Microsoft

En février 2019, l’APD a publié une recommandation concernant l’illégalité d’une obligation de créer un compte utilisateur chez Microsoft pour consulter des applications de services publics. Celle-ci était motivée par la réception de plusieurs questions concernant des applications permettant la consultation de la législation et la connexion à un extranet d’un Service Public Fédéral. La recommandation conclut qu’une autorité publique, en tant que responsable de traitement, doit garantir que l’accès à une application ne soit pas subordonné à la divulgation de données personnelles lorsque cette application met à disposition uniquement des informations publiques.

Le Service d’Inspection de l’APD a effectué une enquête auprès du SPF Finances afin de vérifier le respect de cette recommandation et a constaté lors de son contrôle une violation des règles en vigueur. Le Service d’Inspection de l’APD est compétent pour prendre des mesures provisoires, et a ainsi ordonné au SPF Finances de stopper les transferts de données vers Microsoft. Le dossier sera ensuite examiné sur le fond par la Chambre Contentieuse de l’APD.

L’action de l’APD a porté ses fruits : le SPF Finances a informé l’APD que l’accès à son portail Fisconetplus au travers d’un compte Microsoft était maintenant désactivé. Le portail reste cependant accessible via d’autres formes d’accès (dont un accès ne nécessitant pas de transmettre des données).

Peter Van Den Eynde, Inspecteur-Général de l’APD : « Avec sa recommandation de 2019, l’APD avait envoyé un signal clair concernant l’accès à des applications de services publics via un compte Microsoft. Notre signal n’a pas été entendu, nous avons donc été forcés de prendre une mesure forte. »

Mesure provisoire du Service d’Inspection

C’est la première fois que le Service d’Inspection décide d’une mesure provisoire. La mesure provisoire est l’une des compétences prévues par la loi pour le Service d’Inspection de l’APD. L’Inspecteur-Général et les inspecteurs peuvent ainsi ordonner la suspension, la limitation ou le gel temporaire de traitements de données si cette mesure permet d’éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable.

Les mesures provisoires décidées par le Service d’Inspection peuvent durer jusqu’à trois mois, prolongeable d’une nouvelle durée de trois mois au maximum.

David Stevens, Président de l’APD, conclut : « L’APD est prête à montrer ses dents. Cette première mesure provisoire est un signal que nous ne transigerons pas sur la protection des données personnelles des citoyens. Les autorités publiques et la protection de la vie privée en ligne sont deux de nos priorités 2020-2025. On attend d’une autorité publique qu’elle joue un rôle exemplaire en matière de protection des données des citoyens. Bien que notre décision se limite dans le cas concret à l’application de Fisconetplus ou le site web du SPF Finances, elle doit aussi servir de signal : nous encourageons toutes les autorités publiques à vérifier qu’elles ne recourent pas à une pratique similaire. Ce n’est pas normal qu’en tant que citoyen, je doive partager des données pour accéder à de l’information publique.»

[Mis à jour le 5/01/2021]
La Chambre Contentieuse confirme

Suite à la mesure provisoire imposée par l'Inspection au SPF Finances en juillet, la Chambre Contentieuse de l’APD a confirmé que le RGPD avait été enfreint et a réprimandé le SPF pour l'utilisation d'un compte Microsoft pour le service Fisconetplus.
Lisez ici la décision de la Chambre Contentieuse du 23 décembre 2020.