Le Bureau du Commissaire à l’information (ICO) n’a pas divulgué publiquement la majorité des “réprimandes” qu’il a adressées depuis novembre 2021 aux organisations du secteur public – y compris le Government Digital Service (GDS) – pour des violations de la loi britannique sur la protection des données, une liberté d’information ( FOI) demande montre.
En vertu du Règlement général sur la protection des données (RGPD) du Royaume-Uni, l’ICO a le pouvoir de prononcer des réprimandes formelles, ainsi que des amendes et autres avis d’exécution, lorsque les organisations enfreignent la loi.
Les 15 réprimandés comprennent le GDS (qui fait partie du Cabinet Office), le UK Independence Party (UKIP), le Crown Prosecution Service (CPS) et le Welsh Language Commissioner. Les autres bénéficiaires comprennent quatre forces de police, deux autorités locales et deux fiducies du NHS.
L’ICO a confirmé à Computer Weekly que toutes les réprimandes adressées aux organismes du secteur de la justice pénale avaient été émises en vertu de la troisième partie de la loi de 2018 sur la protection des données, qui énonce des règles spécifiques pour le traitement des données personnelles par les forces de l’ordre à des fins répressives.
Les réprimandes non divulguées ont été révélées par une demande d’accès à l’information (FOI) soumise par Jon Baines, un spécialiste principal de la protection des données du cabinet d’avocats Mishcon de Reya, qui faisait suite à une demande précédente qui montrait que l’ICO avait émis 42 réprimandes entre le 25 mai 2018 (lorsque le RGPD du Royaume-Uni est entré en vigueur) et le 15 novembre 2021.
Dans la grande majorité des cas, l’ICO n’a pas révélé publiquement qu’elle avait pris des mesures pour réprimander ces organisations, malgré sa propre politique selon laquelle sa “position par défaut” est de publier tous les résultats réglementaires officiels.
“Par” résultats réglementaires formels “, nous entendons ceux pour lesquels nous signifions ou émettons une forme d’avis, de réprimande, de recommandation ou de rapport à la suite de notre travail réglementaire”, a déclaré l’ICO dans sa politique d’activité réglementaire et d’application. “Notre position par défaut est que nous publierons (et, le cas échéant, rendrons publics) tous les travaux réglementaires formels, y compris les décisions et enquêtes importantes, une fois le résultat atteint.”
Concernant les réprimandes en particulier, l’ICO a ajouté: “Nous les publierons si cela contribue à promouvoir les bonnes pratiques ou à dissuader la non-conformité.”
Bien que l’ICO n’ait pas divulgué les détails des infractions spécifiques qui ont conduit aux réprimandes, sa politique d’action réglementaire indique que le chien de garde réservera ses «pouvoirs les plus importants (i) aux organisations et aux individus soupçonnés d’inconduite répétée ou délibérée ou de manquements graves à prendre les mesures appropriées pour protéger les données personnelles ».
En réponse à la divulgation de la FOI sur le manque de réprimandes publiques, Mishcon de Reya a déclaré que l’ICO avait confirmé qu’à l’avenir, il inclurait des réprimandes lors de la publication de ses ensembles de données en ligne sur les résultats des dossiers.
Computer Weekly a demandé à l’ICO de confirmer qu’il publierait toutes les réprimandes à l’avenir, ce à quoi un porte-parole a répondu que les réprimandes étaient publiées dans le cadre des ensembles de données disponibles sur son site Web.
Bien que les feuilles de calcul jointes à cette page Web contiennent des entrées qui montrent que certaines des réprimandes ont été émises, il n’y a pas de documentation d’accompagnement détaillant la nature de la réprimande.
Computer Weekly a demandé à l’ICO s’il publierait les documents de réprimande réels à l’avenir, plutôt que de confirmer si un avait été publié via des entrées dans des feuilles de calcul, ce à quoi un porte-parole a répondu : « Actuellement, les réprimandes sont publiées sur l’ensemble de données. À l’avenir, nous reverrons notre approche pour faire connaître notre travail une fois que la politique d’action réglementaire aura été approuvée par le Parlement.
Les seules réprimandes que l’ICO a décidé de rendre entièrement publiques depuis novembre 2021 sont celles adressées au gouvernement écossais et au NHS National Services Scotland en février 2022, qui ont été émises pour leur incapacité à fournir aux gens des informations claires sur la façon dont l’application NHS Scotland Covid Status était utilisant leurs données.
“L’ICO a décidé de rendre cette réprimande publique en raison de l’intérêt public important pour les questions soulevées. La décision d’émettre une réprimande dans cette affaire montre qu’il s’agit du moyen le plus efficace et le plus proportionné de s’assurer que les problèmes identifiés sont rapidement résolus », avait-il déclaré à l’époque.
Sur la raison pour laquelle ces réprimandes seraient considérées comme “d’intérêt public significatif” et les autres non, Baines a déclaré à Computer Weekly qu’il présumait que le lien avec la pandémie de Covid-19 les rendait “particulièrement convaincantes lorsqu’il s’agissait d’une analyse d’intérêt public”.
D’autres réprimandes sont dans le domaine public, mais uniquement par le biais de reportages (dans le cas du Sheffield Council) ou de brèves mentions enfouies dans le site Web de l’ICO qui ne fournissent pas de détails (dans le cas de l’UKIP). Baines a déclaré qu’il n’était au courant d’aucune autre réprimande dans le domaine public.
Computer Weekly a directement demandé à l’ICO pourquoi les réprimandes adressées aux autorités écossaises étaient jugées d’intérêt public important, alors que toutes les autres émises depuis novembre 2021 ne l’étaient pas.
Soulignant sa politique d’activité de réglementation et d’application, un porte-parole de l’ICO a déclaré: «Nous déclarons que nous publierons les réprimandes si cela contribue à promouvoir les bonnes pratiques ou à dissuader la non-conformité. Dans le cas de l’application Scottish Covid, la réprimande a été rendue publique pour dissuader la non-conformité.
Quant à savoir si son omission de publier les réprimandes était contraire à ses propres politiques de divulgation, le porte-parole a ajouté que l’ICO avait récemment clôturé une consultation sur sa politique d’action réglementaire : « Une fois que la politique d’action réglementaire aura été approuvée par le Parlement, nous reverrons notre approche. à la divulgation, la publication et la publicité de notre travail, qui est énoncée dans le document Communiquer notre politique sur les activités de réglementation et d’application.
Le document indique déjà que la «position par défaut» de l’ICO est de publier tous les résultats réglementaires officiels.
Commentant la divulgation de la liberté d’information en général, Baines a déclaré: «Je ne comprends toujours pas pourquoi l’ICO n’a pas publié dans le passé, comme le dit sa propre politique sur la publication des mesures réglementaires:« La publicité contribue à renforcer la confiance et la sensibilisation envers- notre travail pour promouvoir les bonnes pratiques et dissuader ceux qui pourraient envisager d’enfreindre la législation sur les droits à l’information ».
Il a ajouté : « J’estime avoir une bonne compréhension de la communauté des praticiens de la protection des données, et les membres de cette communauté peuvent apprendre des résultats des enquêtes réglementaires ; un échec de l’ICO à faire connaître est une occasion manquée d’aider à élever les normes générales de sensibilisation et de conformité.
![[Cinéma] Laurent Cantet, lauréat de la Palme d’or en 2008, est décédé](https://lequotidien.lu/wp-content/uploads/2024/04/AFP_34Q86WL-840x450.jpg)