Le ministère autrichien pourrait être sanctionné par le RGPD après avoir publié des données personnelles en ligne – Africadaidly


Les données personnelles des Autrichiens sont accessibles au public sur le site Internet du ministère de l’économie depuis 2009. Le parti libéral NEOS et l’ONG epicenter.works le qualifient de « plus grand scandale de protection des données de la Seconde République ». NEOS envisage une action en justice et un expert du RGPD a déclaré à EURACTIV Allemagne qu’elle pourrait réussir.

On peut simplement aller sur le site Web, entrer un nom dans le champ de recherche et trouver l’adresse et la date de naissance d’une personne, ainsi que la date des déclarations de revenus.

NEOS et epicenter.works supposent qu’environ un million de personnes pourraient avoir été affectées. Parmi eux, le président Alexander Van der Bellen, huit membres du gouvernement et une centaine de parlementaires.

On ne sait toujours pas exactement qui a été enregistré dans le système, mais pour la plupart, il semble s’agir d’anciens travailleurs indépendants. Le ministère a évoqué un règlement de 2009, qui rend obligatoire la publication, mais le registre a été mis hors ligne le 7 mai.

Pour aider les entrepreneurs à trouver des données bureaucratiques lors de leur inscription à l’aide pour les coronavirus, la Chambre de commerce a recommandé de consulter le registre, qui avait auparavant été ignoré. Soudain, de nombreux Autrichiens ont remarqué que leurs données étaient accessibles au public.

Les députés prennent position contre le système britannique d’échange des empreintes digitales

Les législateurs de la commission des libertés civiles du Parlement européen ont manifesté leur désapprobation face à la participation du Royaume-Uni à un système d’échange de données sur les empreintes digitales avec les États membres de l’UE après la décision du pays de se retirer du bloc.

«Un véritable échec des ministères»

La création prévue d’un groupe de travail gouvernemental est insuffisante, a déclaré à EURACTIV Allemagne Douglas Hoyos, porte-parole numérique de NEOS. Il a vu « un véritable échec dans les ministères quand quelque chose comme ça se produit et que personne n’y réagit. » NEOS examine actuellement les étapes légales basées sur le RGPD.

Cela pourrait être couronné de succès, a déclaré Christof Tschohl, directeur de l’Institut de recherche – Digital Human Rights Center, dans une interview accordée à EURACTIV Allemagne. Il a vu plusieurs voies d’attaque possibles.

Le traitement du registre «peut ne pas être une violation du droit interne», car le règlement de 2009 semble exiger une publication, mais pourrait violer le RGPD. Pour Tschohl, il s’agit d’un «cadre juridique qui n’a pas été adapté en conséquence en vertu du droit de l’UE».

Un expert constate plusieurs violations du RGPD

En 2018, le RGPD est devenu loi nationale en Autriche. Cependant, le registre n’a pas été adapté, mais simplement transféré, alimenté en données et mis à disposition en ligne.

Tschohl soupçonne qu’il n’était pas conforme au RGPD. Les gens n’ont pas été informés que leurs données étaient accessibles au public, ce qui est nécessaire en vertu de la loi sur la protection des données.

En outre, le règlement de 2009 ne justifiait pas suffisamment pourquoi le registre devait être réellement public. Cela aussi aurait dû être fait d’ici 2018 au plus tard, étant donné que le RGPD stipule que «le moins de données personnelles possible doivent être collectées, traitées ou utilisées».

De plus, aucune évaluation d’impact sur la protection des données n’a été réalisée, en raison du grand nombre de personnes concernées. Bien que le RGPD ne considère pas les données comme sensibles, la publication des adresses personnelles peut avoir de graves conséquences, sur les victimes de violence par exemple

L’autorité de protection des données peut faire un travail de pionnier

L’opinion largement répandue selon laquelle les autorités autrichiennes sont exemptées du RGPD est erronée, a déclaré Tschohl. La rumeur veut que l’Autriche utilise la clause d’ouverture du RGPD pour protéger les autorités contre les sanctions administratives.

Mais les acteurs publics peuvent toujours être poursuivis en vertu du droit civil ou pénal, par exemple, pour abus de pouvoir. Cependant, cela nécessite des dommages avérés, mais Tschohl pense que cela pourrait facilement être le cas ici.

Dans une prochaine étape, il est «imaginable que l’autorité de protection des données puisse ouvrir une procédure d’enquête», qui établirait l’illégalité de la publication. Bien que non contraignant, il simplifie les litiges devant les tribunaux civils, qui manquent souvent d’expertise en matière de protection des données.

L’UE maintient ses règles de confidentialité des données en réponse à COVID-19

L’Europe ne peut pas gagner la lutte contre le coronavirus sans technologies numériques, a déclaré la Commission européenne lors d’un appel vidéo avec les ministres de la Santé de l’UE-27, lundi 27 avril. Mais cela ne doit pas se faire au détriment des règles de l’UE en matière de protection des données, qui doivent rester une «référence mondiale».

Collecte de données dans l’ombre

Cependant, Georg Kainz, président de la quintessenz, un groupe de défense des libertés civiles, a mis en garde contre une condamnation trop rapide du ministère de l’Économie. Il a déclaré à EURACTIV Allemagne qu’il était parfaitement logique que ces registres soient accessibles au public.

Le problème pour Kainz n’est pas la publication, mais la collecte de données elle-même. Tant que les registres sont publics, les citoyens savent ce qui est collecté.

Le débat actuel pourrait conduire l’État à cacher sa collecte de données, comme cela s’est produit avec le registre. Il est hors ligne, mais pas supprimé, a déclaré Kainz, qui a suggéré que l’on examine pour voir s’il y avait peut-être une bonne raison pour laquelle la publication du registre avait été décidée en 2009.

[Edited by Sarah Lawton/Zoran Radosavljevic]