« Compte tenu de la succession des événements, (…) il devient difficile, voire impossible, d’ignorer un mépris constant des règles de protection des données personnelles et un laxisme dans la gestion des matières liées au traitement des données personnelles, qui ne peuvent qu’en résulter dans l’existence de comportements conscients, répétés et volontaires de la part de la commune et du corps du maire », lit-on dans la délibération de la Commission nationale pour la protection des données (CNPD).
Après avoir prouvé 225 infractions administratives liées au partage de données personnelles entre juillet 2018 et juin 2021, lorsque la mairie de Lisbonne était dirigée par le socialiste Fernando Medina, la Commission nationale de protection des données (CNPD) a infligé à la municipalité des amendes de 1,25 million d’euros.
Mais la commission a souligné que, compte tenu de la gravité de ce qu’elle a trouvé avec ses enquêtes, « la sévérité des amendes serait certainement beaucoup plus élevée » s’il n’y avait pas l’impact de la pandémie sur les comptes de la mairie de Lisbonne (CML) .
« Il est entendu que l’amende infligée n’entrave ni les activités ni la viabilité financière » de la CML, a ajouté la CNPD, après avoir révélé que la municipalité avait demandé l’exemption de l’application d’une amende, en la justifiant par « les difficultés financières » causées par covid-19.
La séquence d’événements invoquée par la commission s’étend de 2013, lorsque le président de la CML était l’actuel Premier ministre, António Costa, jusqu’en juin 2021, lorsque la municipalité a changé de procédure après une plainte, en mars de l’année dernière, concernant le partage de données avec le Ambassade de Russie.
En 2013, une ordonnance d’António Costa a déterminé que les avis de protestation, qui comprenaient les données de leurs promoteurs, ne devaient être partagés qu’avec le PSP et le ministère de l’Administration interne (MAI), mais cette décision n’a jamais été respectée par la CML et l’information a été transmise à plusieurs reprises à divers services internes de la municipalité, à d’autres entités municipales et à des tiers, un nombre qui a augmenté au fil des ans et a même inclus des institutions étrangères, telles que des ambassades, l’Église orthodoxe russe ou même le ministère des Affaires étrangères de Russie, selon la CNPD.
Le partage de données s’est poursuivi avec diverses entités municipales et externes, même après cette plainte, jusqu’en juin 2021.
La CNPD a condamné le « manque de souci de vérifier le respect de l’ordonnance de 2013 », mais n’a pas exempté la propre ordonnance d’António Costa de la condamnation, car elle considérait qu’elle ne respectait pas non plus la législation qui déléguait des pouvoirs aux conseils municipaux qui appartenaient à l’ancien État civil. Gouvernements.
La CNPD a écrit qu’il s’agissait de faire des chambres les seuls interlocuteurs des promoteurs de manifestations et que, par conséquent, les municipalités ne devaient pas partager avec des tiers, comme c’est le cas du MAI et du PSP, les données personnelles de ceux qui organiser une manifestation.
« Libre, délibérément et consciemment, la commune, par l’intermédiaire de son président, a déterminé la saisine des tiers », a souligné la commission.
Selon ce que l’enquête de la CNPD a trouvé, les avis de protestation, avec les données de leurs organisateurs, ont même été envoyés à jusqu’à dix entités différentes, à l’intérieur et à l’extérieur de la CML, la commission condamnant ce partage « manifestement inutile et excessif ».
Pour sa défense, la CML a fait valoir que le partage avec des entités municipales telles que la police municipale ou les services de nettoyage, par exemple, visait à faciliter la communication dans un court laps de temps et ainsi mieux accélérer l’organisation de la manifestation, mais la CNPD a estimé il n’y a pas lieu d’envoyer à ces entités, en plus de l’avis de manifestation, les données personnelles de la personne qui en faisait la promotion.
La CML a également invoqué que la responsabilité devait être imputée aux agents de la chambre, qui n’ont pas respecté l’ordonnance de 2013, et non à la municipalité, que les procédures ont été corrigées après la plainte de mars 2021 et que la municipalité a mobilisé des ressources pour appliquer le nouveau régime de protection des données qui est venu en vigueur en 2018.
La CNPD a contesté que la responsabilité de cette affaire ne puisse être attribuée à un fonctionnaire spécifique, affirmant que tous les éléments d’un bureau municipal (Gabinete de Apoio à Presidencia) étaient en jeu et que plusieurs fonctionnaires de la chambre ont reçu l’information avec des données personnelles, y compris, dans certains cas, un conseiller, qui n’a jamais pris l’initiative d’arrêter ces partages d’informations ou de les remettre en cause.
La CNPD a en revanche condamné que ce n’est que « la veille » de l’application du nouveau régime de protection des données que la CML a engagé les processus de vérification de l’adéquation de ses procédures et que cette évaluation n’a jamais porté sur les avis de manifestation. De plus, il a souligné que, même après la plainte de mars, le partage s’est poursuivi jusqu’en juin.
Outre le partage de données personnelles, la CNPD a condamné la CML pour avoir enregistré ces informations, pour les avoir conservées sans délai et pour avoir porté atteinte au droit de ses titulaires d’être informés de la transmission de leurs informations personnelles.
Au fil des 101 pages de délibération et de raisonnement respectif, la CNPD a écrit, à plusieurs reprises, qu’il s’agit de « données de catégories particulières » soumises à des règles de protection spécifiques et extraordinaires et que, avec leur large diffusion, il est possible avoir porté atteinte aux droits fondamentaux de leurs titulaires.
député // MCL
