Connect with us

Technologie

L’ICO ne divulgue pas la majorité des réprimandes émises en vertu du RGPD

Published

on


Le Bureau du commissaire à l’information (ICO) n’a pas divulgué publiquement la majorité des « réprimandes » qu’il a émises depuis novembre 2021 aux organisations du secteur public – y compris le Government Digital Service (GDS) – pour des violations de la loi britannique sur la protection des données, selon une demande d’accès à l’information (FOI).

En vertu du règlement général sur la protection des données (RGPD) du Royaume-Uni, l’ICO a le pouvoir de purger des réprimandes formelles, ainsi que des amendes et d’autres avis d’exécution, lorsque les organisations enfreignent la loi.

Les 15 récipiendaires de réprimandes comprennent le GDS (qui fait partie du Cabinet Office), le Parti pour l’indépendance du Royaume-Uni (UKIP), le Crown Prosecution Service (CPS) et le Commissaire à la langue galloise. Parmi les autres bénéficiaires figurent quatre forces de police, deux autorités locales et deux fiducies du NHS.

L’ICO a confirmé à Computer Weekly que toutes les réprimandes adressées aux organismes du secteur de la justice pénale avaient été émises en vertu de la troisième partie de la loi sur la protection des données de 2018, qui énonce des règles spécifiques pour le traitement des données personnelles par les entités chargées de l’application de la loi à des fins d’application de la loi.

Les réprimandes non divulguées ont été révélées par une demande d’accès à l’information (FOI) soumise par Jon Baines, spécialiste principal de la protection des données au cabinet d’avocats Mishcon de Reya, qui faisait suite à une demande précédente montrant que l’ICO avait émis 42 réprimandes entre le 25 mai 2018 (date d’entrée en vigueur du RGPD britannique) et le 15 novembre 2021.

Dans la grande majorité des cas, l’ICO n’a pas divulgué publiquement qu’elle avait pris des mesures pour réprimander ces organisations, malgré sa propre politique qui dit que sa « position par défaut » est de publier tous les résultats réglementaires formels.

« Par « résultats réglementaires formels », nous entendons ceux où nous servons ou émettons une forme d’avis, de réprimande, de recommandation ou de rapport à la suite de notre travail de réglementation », a déclaré l’ICO dans sa politique sur les activités de réglementation et d’application de la loi. « Notre position par défaut est que nous publierons (et, le cas échéant, publierons) tous les travaux réglementaires formels, y compris les décisions et les enquêtes importantes, une fois le résultat atteint. »

En ce qui concerne les réprimandes en particulier, l’ICO a ajouté: « Nous les publierons si cela contribue à promouvoir les bonnes pratiques ou à dissuader la non-conformité. »

Bien que l’ICO n’ait pas divulgué les détails des infractions spécifiques qui ont conduit aux réprimandes émises, sa politique d’action réglementaire indique que le chien de garde réservera ses « pouvoirs les plus importants (i) aux organisations et aux individus soupçonnés de fautes répétées ou intentionnelles ou de manquements graves à prendre les mesures appropriées pour protéger les données personnelles ».

En réponse à la divulgation de la liberté d’information sur l’absence de réprimandes publiques, Mishcon de Reya a déclaré que l’ICO avait confirmé qu’à l’avenir, elle inclurait des réprimandes lors de la publication de ses ensembles de données en ligne sur les résultats des dossiers.

Computer Weekly a demandé à l’ICO de confirmer qu’elle publierait toutes les réprimandes à l’avenir, ce à quoi un porte-parole a répondu que les réprimandes étaient publiées dans le cadre des ensembles de données disponibles sur son site Web.

Bien que les feuilles de calcul jointes à cette page Web contiennent des entrées qui montrent que certaines des réprimandes ont été émises, il n’y a pas de documentation d’accompagnement détaillant la nature de la réprimande.

Computer Weekly a demandé à l’ICO si elle publierait les documents de réprimande réels à l’avenir, plutôt que de confirmer si l’un d’eux avait été émis par le biais d’entrées dans des feuilles de calcul, ce à quoi un porte-parole a répondu: « Actuellement, les réprimandes sont publiées sur l’ensemble de données. À l’avenir, nous réexaminerons notre approche en matière de publicité de notre travail une fois que la Politique sur les mesures réglementaires aura été approuvée par le Parlement.

Les seules réprimandes que l’ICO a décidé de rendre entièrement publiques depuis novembre 2021 étaient celles données au gouvernement écossais et au NHS National Services Scotland en février 2022, qui ont été émises pour leur incapacité à fournir aux gens des informations claires sur la façon dont l’application NHS Scotland Covid Status utilisait leurs données.

« L’ICO a décidé de rendre cette réprimande publique en raison de l’intérêt public important pour les questions soulevées. La décision d’émettre une réprimande dans cette affaire reflète le fait qu’il s’agit du moyen le plus efficace et le plus proportionné de s’assurer que les problèmes identifiés sont rapidement résolus », a-t-il déclaré à l’époque.

Sur les raisons pour lesquelles ces réprimandes seraient considérées comme « d’intérêt public significatif » et les autres non, Baines a déclaré à Computer Weekly qu’il présumait que le lien avec la pandémie de Covid-19 les rendait « particulièrement convaincants lorsqu’il s’agissait d’une analyse d’intérêt public ».

D’autres réprimandes sont dans le domaine public, mais uniquement par le biais de reportages (dans le cas du Conseil de Sheffield) ou de brèves mentions enfouies sur le site Web de l’ICO qui ne fournissent pas de détails (dans le cas de l’UKIP). Baines a déclaré qu’il n’était au courant d’aucune autre réprimande dans le domaine public.

Computer Weekly a demandé directement à l’ICO pourquoi les réprimandes adressées aux autorités écossaises étaient considérées comme d’un intérêt public important, alors que toutes les autres émises depuis novembre 2021 ne l’étaient pas.

Évoquant sa politique d’activités de réglementation et d’application, un porte-parole de l’ICO a déclaré: « Nous déclarons que nous publierons les réprimandes si cela contribue à promouvoir les bonnes pratiques ou à dissuader la non-conformité. Dans le cas de l’application écossaise Covid, la réprimande a été rendue publique pour dissuader la non-conformité.

Sur la question de savoir si son omission de publier les réprimandes était contraire à ses propres politiques de divulgation, le porte-parole a ajouté que l’ICO avait récemment clos une consultation sur sa politique d’action réglementaire: « Une fois que la politique d’action réglementaire sera approuvée par le Parlement, nous examinerons notre approche en matière de divulgation, de publication et de publicité de notre travail, qui est énoncée dans le document Communiquer notre politique d’activité de réglementation et d’application de la loi. »

Le document indique déjà que la « position par défaut » de l’ICO est de publier tous les résultats réglementaires formels.

Commentant la divulgation de la liberté d’information en général, Baines a déclaré: « Je ne comprends toujours pas pourquoi l’ICO n’a pas publié dans le passé, car sa propre politique sur la publication de mesures réglementaires stipule: « La publicité aide à renforcer la confiance et la sensibilisation à notre travail pour promouvoir les bonnes pratiques et dissuader ceux qui pourraient penser à violer la législation sur les droits à l’information ».

Il a ajouté: « Je pense que j’ai une bonne compréhension de la communauté des praticiens de la protection des données, et les membres de cette communauté peuvent apprendre des résultats des enquêtes réglementaires; l’échec de l’ICO à faire connaître est une occasion manquée d’aider à élever les normes générales de sensibilisation et de conformité.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance