Le ministère de la Justice fait face à l’application de l’ICO sur l’arriéré des demandes d’accès des sujets

Le ministère de la Justice (MoJ) n’a pas répondu de manière adéquate à près de 7 800 demandes d’accès aux sujets (SAR), ce qui a incité le Bureau du commissaire à l’information (ICO) à émettre un avis officiel d’exécution contre le département.

Le ministère de la Justice a été jugé en violation du règlement général sur la protection des données (RGPD) du Royaume-Uni et de la troisième partie de la loi sur la protection des données de 2018 (DPA 18), qui établit des règles spécifiques pour le traitement des données des forces de l’ordre pour la première fois dans l’histoire britannique.

L’émission par l’ICO de l’avis d’exécution le 18 janvier 2022 n’est que la deuxième fois qu’un avis est remis à un organisme public pour violation des obligations énoncées dans la troisième partie depuis son entrée en vigueur en mai 2018. Le premier a été remis au Metropolitan Police Service (MPS) en juin 2019 pour des échecs similaires dans le cadre de la troisième partie afin d’éliminer son arriéré de R-S.

« Au 16 août 2021, il y avait 7 753 ‘SAR en retard’, dont 25 demandes qui n’avaient reçu aucune réponse, et 7 728 demandes qui n’avaient reçu qu’une réponse partielle », indique l’avis au ministère de la Justice.

Il a également noté que le nombre de SAR en retard n’avait cessé d’augmenter au fil des mois. Au 31 mars 2021, le ministère de la Justice comptait 5 956 SAR en circulation, dont 372 dataient de 2018. Une mise à jour ultérieure du ministère de la Justice le 18 mai 2021 a montré que le nombre était passé à 6 398, avant de grimper à plus de 7 750 en août.

En vertu des règles de protection des données du Royaume-Uni, le ministère de la Justice est légalement tenu de répondre aux SAR dans un délai d’un mois.

« Le nombre important de demandes d’accès aux sujets qui restent en suspens et qui n’ont pas de temps pour se conformer est une source de préoccupation importante pour le commissaire. Ces préoccupations démontrent que le responsable du traitement manque actuellement à ses obligations en ce qui concerne les droits d’information des personnes concernées pour lesquelles il traite les données », indique l’avis.

« Les réunions et la correspondance antérieures entre le contrôleur et le commissaire se sont avérées largement inefficaces pour réduire le nombre de demandes d’accès aux sujets en suspens. »

Il a ajouté qu’entre le 1er avril 2020 et le 31 juin 2021, le ministère de la Justice avait reçu 34 plaintes formelles de personnes concernées concernant les réponses SAR inadéquates.

L’enquête initiale de l’ICO sur l’arriéré SAR a commencé en janvier 2019, mais a été suspendue avec le début de la pandémie, et n’a repris qu’en octobre 2020 lorsque l’ICO a contacté le ministère de la Justice pour une mise à jour.

On ne sait pas combien de SAR étaient en retard au moment où l’ICO a été initialement alertée de l’arriéré au début de 2019.

En réponse à la demande de l’ICO pour ce qui constitue une réponse partielle, le ministère de la Justice a répondu que, parce qu’un service SAR limité a été mis en œuvre en réponse aux restrictions liées à la pandémie, seules certaines informations étaient disponibles.

« Les demandeurs ont été informés des raisons pour lesquelles les renseignements détenus le [redacted] était tout ce qui pouvait être fourni lorsque leur SAR était reconnue. On leur a également rappelé qu’ils avaient d’autres voies d’accès à leurs informations via leur [redacted] sans avoir besoin de faire un SAR et d’être informé qu’ils pourraient soumettre un autre SAR après la fin de la pandémie », a déclaré le ministère de la Justice.

Cependant, l’ICO a noté que le processus mis en œuvre pour fournir des SAR partiels s’appliquait uniquement aux demandes des « délinquants ».

« Le commissaire est d’avis qu’un dommage ou une détresse est probable du fait que les personnes concernées dont les demandes d’accès sont en suspens se voient refuser la possibilité de bien comprendre quelles données à caractère personnel peuvent être traitées à leur sujet par le responsable du traitement; en outre, ils ne sont pas en mesure d’exercer efficacement les divers autres droits accordés par la loi à une personne concernée à l’égard de ces données », indique l’avis.

« Compte tenu du niveau important de la contravention, le commissaire estime qu’un avis d’application de la loi constituerait une mesure réglementaire proportionnée pour mettre le contrôleur en conformité. »

En vertu de l’avis, le ministère de la Justice est tenu de compléter les 7 753 SAR en suspens au plus tard le 31 décembre 2022 et doit également apporter des modifications à ses « systèmes, procédures et politiques internes au besoin » pour s’assurer que les futurs SAR sont correctement traités.

L’ICO a également conseillé au ministère de la Justice d’élaborer un « plan de redressement » avec des détails sur la façon dont il entend remédier à la situation.

Le non-respect des obligations peut entraîner la signification par l’ICO au ministère de la Justice d’un avis de pénalité, ce qui signifierait une amende pouvant aller jusqu’à 17,5 millions de livres sterling, soit 4% du chiffre d’affaires mondial annuel de l’organisation, le montant le plus élevé étant retenu.

D’autres secteurs de la justice pénale ont également été aux prises avec des arriérés de R-S. Dans le cas du Metropolitan Police Service, il en résulted dans l’ICO émettant un avis d’exécution contre la force pour son arriéré de 662 SAR, dont 280 étaient en retard.

Cependant, malgré le fait que le MPS ne se soit pas pleinement conformé à l’avis d’application après de nombreux mois, et malgré l’arriéré persistant, l’ICO n’a pas émis d’avis de pénalité ni pris d’autres mesures réglementaires.

Lorsqu’on lui a demandé pourquoi elle n’avait fait aucune annonce publique concernant ses décisions d’application du MPS à l’époque, l’ICO n’a pas répondu directement à la question, déclarant plutôt « nous continuons à travailler en étroite collaboration avec le MPS alors qu’il apporte de nouvelles améliorations à son service et surveille attentivement leur performance continue ».

Dans un rapport publié par l’ICO le 10 novembre 2020 sur le Rapidité des réponses aux demandes d’accès à l’information par les forces de police en Angleterre, au Pays de Galles et en Irlande du Nord, il a déclaré que le régulateur avait pris des mesures formelles contre le MPS « pour avoir manqué à ses obligations en matière de protection des données en ne répondant pas aux SAR à temps », mais a omis de mentionner qu’il n’avait pas poursuivi l’action lorsque le MPS n’avait pas satisfait à ses exigences.

Le même rapport a également mis en évidence un problème beaucoup plus large avec le public qui tente d’accéder aux données des organismes d’application de la loi (énumérés à l’annexe 7 de la DPA 18), constatant qu’un quart de toutes les demandes d’information (y compris l’accès à l’information et les demandes d’accès des sujets) de la police n’ont pas été traitées à temps.

« Bien que les taux de performance varient considérablement d’un service de police à l’autre, il est clair que certains services ne répondent pas à un grand nombre de demandes dans les délais prévus par la loi. Il est important de se rappeler que derrière chaque demande se trouve un individu ou un groupe qui cherche à faire valoir ses droits légaux et à obtenir des informations importantes pour lui », a-t-il déclaré. « En fin de compte, il est inacceptable qu’environ 25 % de tous les demandeurs ne reçoivent pas de réponse en temps opportun à leurs demandes. »