Le maire de Lisbonne, Fernando Medina (PS), est aujourd’hui entendu au parlement, à la demande du PSD et du CDS-PP, sur l’affaire du partage de données personnelles de militants russes avec l’ambassade de Russie au Portugal.

Fernando Medina sera entendu à partir de 18h00, en personne, lors d’une réunion conjointe des commissions parlementaires des Affaires constitutionnelles et des Affaires étrangères, qui se déroulera dans la salle du Sénat.

Les demandes d’audition du maire de la municipalité de Lisbonne sont apparues quelques jours après qu’il a été rendu public que la municipalité a envoyé les noms, adresses et coordonnées de trois militants russes qui ont organisé une manifestation devant l’ambassade de Russie à Lisbonne aux autorités russes, pour la libération d’Alexey Navalny, opposant au gouvernement russe.

Lorsque le cas a été signalé, le maire de Lisbonne a demandé des « excuses publiques » pour le partage de ces données, supposant qu’il s’agissait « d’une erreur regrettable qui n’aurait pas pu se produire », mais cela a déclenché une série de protestations, d’Amnesty International aux partis politiques.

Fernando Medina a également annoncé un audit du dossier, dont la phase préliminaire est terminée et a été présenté vendredi aux journalistes.

Le chef de l’exécutif municipal a reconnu que la municipalité n’avait pas respecté à plusieurs reprises un arrêté de 2013 signé par António Costa, président de la municipalité à l’époque et actuel Premier ministre.

Avec l’extinction des Gouvernements civils en 2011, et le transfert de compétence à la commune, une procédure a été engagée pour traiter la communication des manifestations et la commune « a suivi de près ce qui avait été fait en la matière au niveau des Gouvernements civils », en vertu de la législation.

En 2013, António Costa a émis un ordre — toujours en vigueur, car c’est le dernier sur le sujet — pour changer la pratique, donnant « l’ordre de changer la procédure afin de n’envoyer des données qu’à la police de sécurité publique et au ministère de l’Intérieur. Administration ».

Cependant, a supposé Fernando Medina, cet arrêté a fait l’objet de « violations répétées » au fil des ans, c’est-à-dire qu’il y avait « une pratique relativement homogène, même lorsqu’il y avait une instruction du maire de modifier cette procédure ».

En 2018, le nouveau Règlement général sur la protection des données (RGPD) est entré en vigueur, mais dans le « important effort d’adaptation » de la commune, la procédure de traitement des avis de manifestation « n’a pas été adaptée ».

Selon les conclusions de l’audit, depuis 2012, 7 045 manifestations ont été communiquées à la ville de Lisbonne.

« Au total, 180 communications ont été envoyées sur la tenue d’une manifestation aux ambassades, 122 avant l’entrée en vigueur du RGPD et 58 après. Après l’entrée en vigueur du RGPD, c’est-à-dire pour la période de mai 2018 à mai 2021, les données personnelles ont été considérées comme ayant été envoyées dans 52 des processus », indique le document.

Fernando Medina a également avancé un ensemble de mesures, dont la proposition de limoger l’autorité en charge de la protection des données, l’extinction du bureau de soutien à la présidence et la délégation à la police municipale des pouvoirs de l’autorité sur les manifestations.

Le maire a également souligné qu’« une analyse externe de la robustesse du système de protection des données » de la Chambre sera promue.

La « LMC [Câmara Municipal de Lisboa] il contactera chaque citoyen individuellement, en apportant le soutien nécessaire pour mener à bien cette évaluation, en rétablissant la confiance de chacun dans la réalisation sûre des droits les plus larges garantis par la Constitution », a-t-il ajouté.

« Avec l’avancée de l’audit, je n’exclus pas que nous prenions d’autres mesures », a-t-il admis.

Lundi, l’Association des professionnels de la protection des données et de la sécurité (APDPO) a fait valoir que le licenciement du délégué à la protection des données de la mairie de Lisbonne était illégal et a annoncé qu’elle porterait plainte si la situation se matérialisait.

APDPO fait valoir que ce technicien « n’est pas responsable, et ne peut pas être, des obligations du responsable du traitement », ajoutant que ce sont « les organes en la personne de leurs supérieurs hiérarchiques, qui sont chargés d’adopter toutes les mesures de protection des données ».

TYS // VAM