Quiconque souhaite utiliser FisconetPlus, une banque de données du SPF Finances, pour solliciter une réglementation fiscale, a besoin depuis l’année dernière d’un compte Microsoft. Comme la création d’un tel compte oblige l’utilisateur à décliner des données personnelles, le service public contrevient au GDPR européen. Voilà la conclusion tirée par l’Autorité de protection des données.
Il y a exactement un an, le SPF Finances lançait une nouvelle version de la banque de données à réglementations fiscales. FisconetPlus a été dotée d’une interface personnalisée permettant par exemple aux utilisateurs de stocker leurs publications favorites ou d’obtenir des avertissements automatiques en cas de changement apporté à un domaine spécifique de la fiscalité.
Revers de la médaille: la mise en place d’un seuil d’authentification obligatoire pour tout un chacun qui veut solliciter des informations publiques. Avant, la banque de données, qui est la seule source officielle en Belgique de renseignements fiscaux et juridiques dans les différentes langues nationales, était librement accessible. La nouvelle banque de données, elle, tourne depuis l’année dernière sur un SharePoint de Microsoft dans le G-Cloud, ce qui fait que tout le monde s’est vu soudainement contraint de se connecter avec une adresse e-mail de Microsoft.
Cette situation a provoqué pas mal d’inquiétude chez les fiscalistes, qui ne souhaitaient pas confier leurs données personnelles à l’entreprise américaine. Certains d’entre eux ont alors utilisé un faux nom pour se connecter. D’autres, dont le professeur de la VUB Michel Maus, ont introduit une plainte auprès de l’Autorité de protection des données (APD), l’ex-commission vie privée.
L’APD a à présent testé la procédure de login du service public eu égard au GDPR, le règlement européen en matière de respect de la vie privée en vigueur depuis le mois de mai de l’année dernière. “La création de ce compte Microsoft implique clairement un traitement des données personnelles. Pour créer ce compte, il convient en effet de décliner des données personnelles comme l’adresse e-mail, le pays, la date de naissance et le numéro de téléphone”, fait observer l’APD dans un communiqué. Ces données, conjointement avec “les intérêts liés à l’activité du navigateur”, Microsoft les utilise alors par défaut pour afficher des publicités plus pertinentes, à moins que l’utilisateur pense à décocher ces deux options.
La sentence rendue par l’Autorité de protection des données n’est pas tendre: “Le fait pour des autorités de rendre obligatoire l’utilisation d’un compte Microsoft pour accéder à une application qui ne dévoile que des informations publiques, et pas des données personnelles, contrevient au GDPR.”
Cet avis pourrait constituer un précédent pour d’autres services publics, qui veulent s’associer avec des entreprises privées, avec l’obligation de décliner des données personnelles. “Si le responsable du traitement choisit de faire dépendre l’accès à un service public de l’acceptation des conditions par défaut d’une plate-forme de traitement privée (par exemple Microsoft, Facebook,…), il n’est pas question d’une autorisation valable”, apprend-on.
