Le président de la Commission nationale de protection des données (CNPD) a défendu aujourd’hui que le délégué à la protection des données de la mairie de Lisbonne ne devrait pas être démis de ses fonctions, soulignant que la responsabilité ne devrait être attribuée qu’à la municipalité.
Filipa Calvão a été entendue cet après-midi au parlement par la commission des affaires constitutionnelles, des droits, des libertés et des garanties concernant la transmission par la mairie de Lisbonne des données personnelles des manifestants à des tiers, à savoir les ambassades.
L’un des points soulevés par le président de la CNPD était la proposition de la ville de Lisbonne de licencier le délégué à la protection des données de la municipalité et également coordinateur de l’équipe du projet de protection des données personnelles, Luís Feliciano, à la suite de cette polémique, qui, dans la Filipa Calvão comprend qu’il n’y a aucune base dans le Règlement général sur la protection des données (RGPD).
« Une question à savoir est de savoir si, dans certaines circonstances, les responsables peuvent avoir une faute ici qui justifierait leur licenciement ou leur révocation. De ce point de vue, le RGPD est assez clair en déterminant qu’il ne peut être ni écarté, ni lésé ni pénalisé pour l’exercice de ses fonctions », a-t-il déclaré.
Toujours à cet égard, le président de la CNPD a reproché à la mairie de Lisbonne d’avoir permis à Luís Feliciano de cumuler les fonctions de chef de projet et de coordinateur, considérant qu’« une prévention des conflits d’intérêts n’était pas sauvegardée ».
« Tout au plus, ce qu’on peut se demander, c’est si dans ce contexte il a rempli sa fonction. Dans la relation entre le délégué à la protection des données et le haut de la municipalité de Lisbonne, l’interaction était avec le vice-président, mais je répète que la responsabilité du traitement ne peut être attribuée qu’à la municipalité de Lisbonne », a-t-il insisté.
Un autre point soulevé par le responsable de la CNPD était la pratique de la Chambre de Lisbonne de communiquer à des tiers, à savoir les ambassades, la tenue de manifestations, ajoutant qu’il ne s’agit pas d’une procédure adoptée par d’autres municipalités.
« Les informations que la CNPD a recueillies jusqu’à présent démontrent que cette pratique n’est pas suivie dans d’autres municipalités. Pour autant qu’il soit maintenant possible de comprendre cette pratique est exclusive à la municipalité de Lisbonne », a-t-il souligné.
Filipa Calvão a également signalé aux députés du projet de délibération CNPD sur les violations de la protection des données par la Chambre de Lisbonne concernant les manifestations, dans lesquelles il y a un total de 225 infractions administratives, l’autarcie étant passible d’amendes, pour chacune, jusqu’à 10 à 20 millions d’euros.
«Nous avons détecté des communications qui, à notre avis, n’ont trouvé aucune base ou base légale pour qu’elles aient eu lieu. Nous comprenons que le diplôme appliqué ne légitime pas la commune à transmettre ces informations à des tiers. Dans certains cas, l’information selon laquelle la manifestation aura lieu peut être justifiée, mais pas l’information sur les promoteurs », a-t-il soutenu.
Interrogé sur une éventuelle demande d’exemption de paiement de l’amende par la Ville de Lisbonne, le président de la CNPD a fait valoir qu’« il doit y avoir une égalité de traitement entre les entités privées et publiques ».
« Le régime d’exemption de l’application des amendes nous paraît être un régime tout à fait exceptionnel, sous peine d’être ici violant l’égalité de traitement des organismes publics et privés », a-t-il déclaré.
La Commission nationale de protection des données (CNPD) a recensé 225 infractions administratives dans les communications faites par la ville de Lisbonne dans le cadre de manifestations, la municipalité étant passible d’amendes, pour chacune, pouvant aller jusqu’à 10 à 20 millions d’euros.
Suite à une participation – qui a été enregistrée à la CNPD le 19 mars – concernant la communication à l’ambassade de Russie au Portugal et au ministère russe des Affaires étrangères des données personnelles des promoteurs d’une manifestation, réalisée par la municipalité de Lisbonne, le Commission de la protection des données a déposé un processus pour enquêter sur la plainte.
Selon le projet de délibération CNPD, connu aujourd’hui, 111 infractions administratives concernent la communication de données à des tiers, 111 sont liées à la diffusion d’informations aux services et offices communaux, et il existe également une communication qui viole le « droit à l’information » , une autre qui remet en cause le principe de limitation de la conservation des données et, enfin, une infraction administrative pour l’absence d’analyse d’impact sur la protection des données (AIPD).
L’amende relative aux infractions administratives pour absence d’évaluation de l’impact sur la protection des données peut atteindre 10 millions d’euros, tandis que les 224 restants peuvent aller jusqu’à 20 millions d’euros chacun.
La CNPD défend dans le document que l’autarcie « a effectué un ensemble d’opérations sur les informations relatives aux personnes physiques, dans l’exercice d’une activité publique déterminée, qui entraîne nécessairement une incidence sur leur vie privée et leur liberté et avait l’obligation de connaître les cadre juridique qui pourrait, en fait, effectuer cet ensemble d’opérations ».
Le conseil municipal de Lisbonne a prévu aujourd’hui la révocation du délégué à la protection des données de la municipalité et coordinateur de l’équipe du projet de protection des données personnelles, Luís Feliciano, à la suite de cette affaire, mais le vote a été reporté à vendredi.
FAC (TYS) // MLS
