La Commission nationale de la protection des données (CNPD) a infligé une amende de 4,3 millions d’euros à l’Institut national de la statistique (INE) pour violation du Règlement général sur la protection des données (RGPD) dans le cadre de l’opération Recensement 2021.
Selon la décision CNPD consultée aujourd’hui par Lusa, des violations par l’INE dans le traitement de catégories particulières de données personnelles, les devoirs d’information des personnes concernées, les règles applicables à l’embauche d’une entreprise pour gérer les données collectées dans les recensements sont en cause.
Des violations ont également été envisagées, l’action de l’institut concernant les transferts de données vers des pays tiers et l’absence d’analyse d’impact sur les données personnelles.
La commission comprend que l’action de l’INE reflète la pratique de cinq infractions « prévues et punies » par le RGPD, soulignant que les infractions « prennent un degré de gravité important, compte tenu du nombre de personnes concernées (…), du contexte dans lequel qu’elles étaient pratiquées, notamment la réponse obligatoire au Recensement de 2021 et la conviction qu’elles étaient obligatoires ».
La décision de la CNPD pointe du doigt l’entité chargée de la réalisation des recensements comme un « acte de négligence », en violant le devoir de transparence et le devoir de vigilance en raison du manque d’information des personnes concernées sur l’activité en cause (réalisation des recensements ).
La CNPD considère également que l’INE a agi avec malveillance en ne vérifiant pas auprès de l’entreprise qui collecterait et gérerait les données personnelles si elle ne transmettait pas les données à des pays tiers.
Par conséquent, elle a conclu que deux infractions administratives résultaient d’une négligence et trois autres avaient été commises intentionnellement.
« L’INE connaissait, et ne pouvait ignorer, le caractère contraignant de ses obligations et s’est satisfaite de la possibilité d’exécuter les faits qui lui sont reprochés, pour lesquels ils sont imputés au défendeur comme fraude possible », peut-on lu dans la délibération de l’organisme en date du 02 novembre 2022.
Selon la commission, l’INE a révélé « une méconnaissance des principes et obligations prévus par le RGPD, en s’appuyant sur une intervention de l’autorité de tutelle [CNPD]au lieu de prendre l’initiative de veiller à ce que l’opération de recensement soit conforme à ce régime ».
Les cinq infractions ont donné lieu à cinq amendes d’un montant de 6,5 millions d’euros.
Cependant, même en reconnaissant un « degré élevé de censure de la conduite de l’accusé » et la nécessité d’une « sanction qui reflète la forte censure de ce comportement », l’instance a fini par révéler l’absence d’un casier judiciaire par l’INE, imposant une seule amende de 4,3 millions d’euros.
La réalisation des recensements de 2021 a été entourée de polémique après le contrat avec la société Cloudflare, responsable de la sécurité du ‘site’ qui recueillait les réponses aux recensements, et qui prévoyait le transfert des données personnelles vers les États-Unis d’Amérique ou d’autres pays.
La Commission nationale de protection des données a alors exigé la suspension de tout transfert de données personnelles, l’INE suspendant le contrat avec l’entreprise.
JGO (FM) // ZO
