L’Autorité de Protection des Données publie une recommandation à propos de l’obligation de créer un compte utilisateur chez Microsoft pour consulter des applications de services publics

L’Autorité de Protection des Données[1] vient de publier une recommandation à la suite de questions et plaintes relatives à l’obligation de créer un compte chez Microsoft pour consulter des applications de services publics relavant d’un service public fédéral.

Cette recommandation a pour origine une situation qui avait ému plus d’un fiscaliste. Début 2018, le SPF Finances réformait la manière de consulter la banque de données contenant les réglementations fiscales : Fisconetplus contraint depuis lors tous les utilisateurs à se créer et à utiliser un compte auprès de Microsoft afin de consulter la réglementation fiscale.

Quels enseignements tirer de cette recommandation ?

Sur la manière d’organiser les services publics

L’APD estime qu’ « une application proposée par un service public peut ou non impliquer le traitement de données à caractère personnel »[2]. L’APD poursuit en indiquant : « Si l’application proposée concerne uniquement la mise à disposition d’informations publiques qui ne contiennent pas de données à caractère personnel (comme une base de données reprenant la législation), l’exigence de la création d’un compte pour accéder à ces informations, impliquant le traitement de données à caractère personnel, est contraire aux principes de protection des données dès la conception et de protection des données par défaut définis dans le RGPD »[3]. Le principe de protection des données dès la conception et par défaut[4] n’est donc pas respecté.

L’APD dit encore : « Chaque service public s’accompagnant d’un traitement de données à caractère personnel doit tenir compte du principe de proportionnalité et des principes repris aux articles 5 et 25 du RGPD. Les services électroniques d’autorités publiques doivent être disponibles sans traiter plus de données que ce qui est techniquement ou juridiquement nécessaire pour le traitement. (…) Pour un nombre limité de cas où il y aurait quand même une nécessité démontrable pour une autorité publique d’imposer à la personne concernée une obligation d’identification et une obligation d’authentification (…), il est recommandé que les services publics utilisent le service d’authentification fédéral (« FAS ») du SPF BOSA »[5].

Ajoutons à cela que cette manière de procéder, que l’Union des Villes et Communes de Wallonie a déjà critiquée auprès du SPF Finances, est un frein injustifié à l’accès aux textes légaux et réglementaires en matière de fiscalité, dans la mesure où pour beaucoup d’entre eux, il ne sont plus mis à jour et consolidés par le SPF Justice, la banque de données Justel renvoyant d’ailleurs expressément à FisconetPlus.

Sur le principe de licéité des traitements de données à caractère personnel (consentement obtenu de manière non libre)[6]

Selon l’APD, « l’instauration, par des autorités publiques, d’une obligation d’identification à grande échelle pour chaque justifiable exige non seulement une base légale claire (articles 8 de la CEDH et 22 de la Constitution), mais également une nécessité dans une société démocratique »[7].

Elle dit encore : « si le responsable du traitement choisit de subordonner l’accès à un service public à l’acceptation des conditions générales d’une plateforme privée d’un sous-traitant (…), il ne s’agit pas d’un consentement valable au sens de l’article 6 du RGPD. (…) Il n’y a pas de consentement valable en raison d’une forte influence de l’utilisateur si, pour utiliser une application ne fournissant que des informations publiques sans données à caractère personnel, les utilisateurs sont influencés afin d’opter pour une plateforme présentant une obligation d’identification qui est bien plus conviviale ou performante (…) qu’une autre alternative sans obligation d’identification. En effet, l’utilisateur qui choisit l’alternative de respecter la vie privée (…) est « pénalisé » car il ne se voit pas offrir des facilités d’utilisation équivalentes »[8].

Sur le choix du sous-traitant

L’APD pointe le fait que Microsoft, sous-traitant du SPF Finances, paramétrise la collecte de données à caractère personnel par défaut, données qui concernent non pas Fisconetplus mais bien les « habitudes de navigations et de recherche ainsi que d’autres activités en ligne liées au compte Microsoft de l’utilisateur concerné ». Les responsables de traitement doivent choisir consciencieusement leurs sous-traitants et ne peuvent admettre de ceux-ci le traitement de plus de données que nécessaire à l’exécution du service public visé ni l’imposition de leurs conditions générales à leurs utilisateurs.

En conclusion

Quels liens faire avec les services publics des pouvoirs locaux ?

Tout d’abord, cette recommandation renvoie résolument à la manière dont les sites internet des pouvoirs locaux peuvent être conçus, par exemple, en matière de commande de documents en ligne. Le principe de protection des données dès la conception et par défaut exige que ne soient collectées que les données nécessaires aux finalités déterminées des traitements (tant par le responsable de traitement que par ses sous-traitants).

Ensuite, de nombreux pouvoirs locaux sont séduits par des applications mises à leur disposition de manière gratuite ou non. Se posent alors la question de la qualification de la relation avec le pouvoir local (sous-traitance ou responsabilité conjointe ?) et au-delà de cette qualification, la question des garanties que le pouvoir local impose à l’autre partenaire. Dans la situation concernée, l’APD incrimine le « mélange » des données liées à l’accès aux réglementations fiscales et des données collectées par défaut liées aux habitudes de navigation et de recherche ainsi que des autres activités en ligne liées au compte Microsoft.

Enfin, sur le consentement, l’APD opte pour une vision évidemment très protectrice des personnes concernées. Notons toutefois que la grande majorité des traitements des autorités publiques ne se fondent pas sur le consentement des personnes concernées mais sur une obligation légale ou l’exercice d’une mission d’intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement[9].

[1] Ci-après, l’APD. 
[2] Point 3 de la recommandation.
[3] Point 6 de la recommandation.
[4] Art. 25 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27.4.2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), J.O.U.E., 4.5.2016 ; ci-après le règlement.
[5] Point 15 de la recommandation.
[6] Art. 6, par. 1, a) et 7 du règlement.
[7] Point 10 de la recommandation.
[8] Points 12 et 14 de la recommandation.
[9] Art. 6, par. 1, c) et e) du règlement.