L’État ne peut pas soumettre l’accès à une base de données publique à l’utilisation d’un compte Microsoft
Publié le 05/06/2020 par Etienne Wery
Désormais, toute personne qui recherchera des informations sur le portail Fisconetplus du SPF Finances pour compléter sa déclaration fiscale ne devra plus utiliser son compte Microsoft. Tel est le résultat d’une mesure provisoire imposée par l’APD au SPF. L’APD a en effet ordonné au SPF de suspendre l’accès à son application Fisconetplus au travers d’un compte Microsoft.
Les faits
Fisconetplus est une base de données très complète proposée en ligne par le service public belge Finances. Très utile pour qui veut s’assurer de payer l’impôt juste.
L’outil repose sur Microsoft Azure, la plate-forme applicative en nuage de Microsoft et l’accès impliquait, jusque très récemment, l’identification du visiteur via son compte Microsoft.
Certes le compte est gratuit, mais plusieurs citoyens se sont émus d’être obligés de passer par un compte Microsoft pour accéder à des informations publiques. Cela a en effet pour conséquence d’appliquer, au moins pour partie, la politique « vie privée » de Microsoft dont certains éléments sont très éloignés du service public, par exemple l’activation par défaut des publicités ciblées adaptées en fonction des données de navigation, de recherche et des autres activités en ligne associée au compte Microsoft.
L’avis rendu en 2019
Saisie en 2018, l’Autorité de protection des données (APD) avait peu apprécié, décidant dans la foulée (février 2019) de « formuler une recommandation publique à l’égard de tous les services publics qui envisagent de déployer des applications similaires à l’aide de partenariats externes, et ce à la lumière des droits et principes généraux du RGPD. »
Les recommandations portaient sur les points suivants :
1. En tant que responsable du traitement, l’autorité publique doit toujours garantir que l’accès à une application n’est pas subordonné à la divulgation de ses données à caractère personnel lorsque cette application met à disposition uniquement des informations publiques et pas des données à caractère personnel.
2. Concrètement, l’imposition, par des autorités publiques, de l’utilisation d’un compte Microsoft pour accéder à une application qui ne met à disposition que des informations publiques et pas des données à caractère personnel est contraire au RGPD.
3. Lorsqu’une autorité publique propose une application qui traite des données à caractère personnel, ce traitement doit se baser sur un fondement juridique repris à l’article 6 du RGPD. Obliger la personne concernée à créer un compte auprès d’un sous-traitant et à accepter la politique en matière de protection de la vie privée de ce sous-traitant invalide le consentement en tant que fondement juridique du traitement. C’est également le cas si l’on utilise des techniques pour influencer le libre choix de l’utilisateur en ce qui concerne la protection de ses données ou pour compliquer les choix.
4. Les services publics doivent toujours garantir le libre accès aux sources officielles de législation, et ce sans y associer la moindre condition qui constitue une ingérence dans la vie privée et/ou implique des risques pour les droits et libertés des personnes concernées, que ce soit ou non en reprenant tacitement les conditions ou le modèle d’utilisation d’un tiers. De tels services doivent offrir une totale convivialité et la fonctionnalité (de base) dans son intégralité, et être faciles à trouver par rapport aux services qui sont eux proposés avec des conditions, par exemple pour personnaliser l’accès aux informations. Dans ce cadre, il est exclu d’utiliser des techniques d’influence qui rendent impossible, plus difficile ou moins intéressant le choix de l’alternative plus respectueuse de la vie privée, privant ainsi la personne concernée d’un choix équivalent.
5. Les DPO de services publics doivent (de préférence en groupe) être associés au traitement de données à caractère personnel de citoyens ou de membres du personnel des services publics via les systèmes de sous-traitants privés qui interviennent dans les applications les plus courantes (par ex. des systèmes d’exploitation, des logiciels bureautiques, des plateformes et des extranets sur lesquels il est possible de consulter des documents ou de la législation, des fournisseurs de médias sociaux, …).
6. En tant que responsable du traitement, l’autorité publique doit réfléchir soigneusement aux choix qui qui sont faits ou aux possibilités qui sont laissées à des entreprises privées auxquelles il est fait appel (parfois inconsciemment) en tant que sous-traitant (par ex. l’utilisation des boutons de médias sociaux sur des sites Internet, l’utilisation de systèmes d’exploitation et de moteurs de recherche, le stockage de données par Microsoft via ses plateformes Sharepoint ou le cloud public). Cela vaut aussi pour le fournisseur d’un service public (par ex. une plateforme pour consulter la législation, …).
7. Des choix qui constituent un risque (élevé) pour les droits et libertés des personnes concernées ne peuvent pas être délégués à des sous-traitants, comme le choix de travailler avec l’acceptation obligatoire des conditions générales du tiers par la personne concernée, la détermination des cas d’identification de la personne concernée, l’application ou non de l’enrichissement de données et du data mining (exploration de données) via des plateformes propres et l’offre ou non d’une convivialité à la personne concernée en fonction du choix effectué. La réalisation d’un examen de l’impact de certains choix sur les droits et libertés des personnes concernées ne peut pas non plus être totalement confiée au tiers.
8. Pour une version personnalisée d’un service public non plus (par ex. des pages Internet personnalisées avec votre préférence de langue, votre historique de recherche et vos sources favorites), aucune identification complète (connaissance de l’identité civile) de la personne concernée n’est nécessaire. Se connecter avec un alias (enregistré ou non dans un cookie) est souvent suffisant dans ce contexte. Une autre solution peut consister à utiliser le service d’authentification fédéral (“FAS”) du SPF ROSA’ avec un faible niveau d’authentification.
9. Pour un nombre limité de cas où il y aurait quand même une nécessité démontrable pour une autorité publique d’imposer à la personne concernée une obligation d’identification et une obligation d’authentification (par ex. consulter votre déclaration fiscale via tax on web), il est recommandé que les services publics utilisent le service d’authentification fédéral (“FAS”) du SPF BOSA ou les moyens d’authentification qui y sont intégrés, plutôt qu’un système de gestion des utilisateurs et des accès n’offrant pas les mêmes garanties en matière de protection des données.
L’injonction du 4 juin 2020
Le Service d’Inspection de l’APD a effectué une enquête auprès du SPF Finances afin de vérifier le respect de cette recommandation, et constaté des manquements.
En conséquence, l’Autorité de protection des données a annoncé ce jeudi qu’elle avait « ordonné au SPF de suspendre l’accès à son application Fisconetplus au travers d’un compte Microsoft ». Il s’agit d’une mesure provisoire, valable 6 mois au maximum, en attendant que le dossier soit examiné par la chambre contentieuse de l’APD.
Le SPF Finances annonce s’être plié à l’injonction.
L’histoire retiendra que c’est la première fois que le service d’inspection impose une injonction provisoire.
Plus d’infos ?
En lisant la recommandation de 2019, disponible en annexe.