Dans sa recommandation du 6 février dont nous avons pris connaissance, l’Autorité de Protection des Données (APD) critique sévèrement l’obligation par les services publics qui est faite aux citoyen·nes voulant accéder à des informations publiques d’utiliser un compte Microsoft, et déclare que cette façon de procéder est contraire au RGPD. Nous, Pirates, demandons dès lors aux différents services publics de se mettre en conformité au plus vite afin de respecter la vie privée des citoyen·nes, et d’éviter ainsi d’éventuelles sanctions financières de l’APD.
Rappel des faits
Comme vous le savez, le respect de la vie privée est un sujet sensible chez les Pirates. En avril 2018, un de nos membres s’est plaint auprès de l’APD parce que FisconetPlus, une base de données publiques du SPF Finances, n’était accessible qu’après avoir créé un compte Microsoft. En juin, deux autres membres se sont rendus dans les locaux du SPF Finances pour voir le contrat conclu avec Microsoft. Leur motivation principale était de voir comment et pourquoi une solution permettant l’accès à des documents publics avaient été mise en place de telle sorte que la création d’un compte était requise. Au final, il était clair que le cahier des charges spécifiait que la création d’un compte pourrait être facultative. Le service cloud de Microsoft ne permettant pas l’accès public aux données, la contrainte de la création d’un compte pour accéder à la législation fiscale serait donc purement technique. En sachant que le SPF a déjà travaillé avec Microsoft, on ne peut que se demander si ce contrat n’avait pas été conçu avec Microsoft déjà en tête…
En 2018, l’APD n’a pas reçu que des plaintes du Parti Pirate concernant FisconetPlus. En effet, des citoyens ont été très surpris par l’obligation qui leur était désormais faite, s’ils voulaient accéder à cette base de données, de créer un compte Microsoft. Le choix de cette entreprise soulève de nombreuses questions en terme de vie privée.
L’APD a réagi à ce problème en publiant une recommandation, qui ne se limite pas à FisconetPlus mais à l’ensemble des services publics qui envisagent ou envisageraient de mettre en place un système similaire. Nous mettons cette recommandation à votre disposition et nous en résumons quelques points ci-dessous.
Notre résumé de cette recommandation
- Le SPF lie l’accès à sa plateforme à l’obligation de créer un compte Microsoft. Cette création de compte implique pour les citoyen·nes d’indiquer des données personnelles (nom, prénom, téléphone, adresse e-mail, etc.), cela rentre donc dans le cadre du RGPD. Les principes de ce dernier doivent dès lors être pris en compte.
- Un de ces principes est que la collecte des données ne doit se faire que si celle-ci est strictement nécessaire. Il n’est pourtant pas nécessaire de créer compte, et ainsi divulguer son numéro de téléphone, son adresse e-mail, ou sa date de naissance, si la plateforme ne donne accès qu’à des informations publiques (comme une base de données reprenant la législation).
- La politique en matière de protection de la vie privée de Microsoft ne respecte pas les principes du RGPD : ses paramètres par défaut permettent en effet l’utilisation des données « concernant les habitudes navigation et de recherche ainsi que d’autres activités en ligne liées au compte Microsoft de l’utilisateur concerné ».
- L’APD attire aussi l’attention sur l’absence de fondement juridique pour cette obligation d’identification, mais aussi une absence de « nécessité dans une société démocratique » dans le cas de certaines applications.
- Le fait d’influencer le choix de l’utilisateur·ice au moyen de paramètres par défaut peu respectueux de sa vie privée peut invalider le consentement.
- Le consentement n’est pas valable si l’utilisateur·ice est obligé·e d’accepter les conditions générales d’utilisation d’un sous-traitant (e.g. Microsoft, Facebook, etc.) pour accéder à un service public.
- Le consentement n’est pas valable si l’utilisateur·ice est « pénalisé·e » s’il n’y a pas une offre respectueuse de sa vie privée équivalente à l’offre proposée.
- Le choix d’utiliser des services comme ceux de Microsoft n’est pas proportionné au but recherché. D’autres solutions existent, par exemple des comptes qui ne requièrent pas d’identification (avec ou sans cookies).
- « Les services publics doivent toujours garantir le libre accès aux sources officielles de législation, et ce sans y associer la moindre condition qui constitue une ingérence dans la vie privée et/ou implique des risques pour les droits et libertés des personnes concernées », en français dans le texte.
- L’autorité publique doit être particulièrement attentive aux entreprises privées auxquelles elle fait appel, l’APD cite comme exemples « l’utilisation des boutons de médias sociaux sur des sites Internet, l’utilisation de systèmes d’exploitation et de moteurs de recherche, le stockage de données par Microsoft».
- L’autorité doit également analyser les risques liés à la possibilité pour le sous-traitant d’effectuer du data-mining et du croisement de données.
Notre position
Nous nous réjouissons de cette recommandation faite par l’APD, elle renforce deux éléments de notre discours que nous tenons depuis de nombreuses années :
- Le respect de la vie privée est essentiel dans une démocratie et ne doit en aucun cas être négligé. Se décharger de la responsabilité du respect de la vie privée de ses utilisateurs sous prétexte d’avoir fait appel à un sous-traitant ne peut pas permettre une telle négligence.
- L’accès à l’information publique doit être effectif, c’est un droit constitutionnel et un socle de toute démocratie. Cet accès ne peut donc pas être conditionné à l’acceptation d’un contrat avec une entreprise, a fortiori quand celle-ci est notoirement réputée pour mépriser un droit fondamental comme le respect de la vie privée.
En décidant d’utiliser Microsoft pour sous-traiter un service public aussi basique que la mise à disposition de textes législatifs, le SPF Finances a choisi la facilité, le confort et la gratuité apparente au détriment du respect de la vie privée des citoyen·nes. Nous pensons au contraire qu’un service public, lequel est financé avec de l’argent public, devrait reposer sur du logiciel libre. Ceci permettrait de garantir un contrôle de la part des citoyen·nes, et cela contribuerait au bien commun en mettant ce code à disposition pour tout un chacun.
Nous demandons donc que les services publics se mettent en conformité au plus vite avec le droit dans le but de protéger la vie privée des citoyen·nes.
Nous continuerons à suivre ce dossier et ne manquerons pas de faire appel de nouveau à l’APD afin qu’elle intervienne, avec sanctions éventuelles, au cas où ces graves manquements perdureraient.
Votre action
Un groupe de coordination concernant FisconetPlus a été créé l’an passé, vous pouvez le rejoindre si vous souhaitez continuer à suivre ce dossier et participer activement : https://framavox.org/g/RA07dPKX/
Un compte relayant les informations sur ce dossier existe dans le Fediverse, vous pouvez le suivre : https://mastodon.pirateparty.be/@fiscomoinsnet
Nous avons également réuni les informations sur le sujet sur notre page wiki.
Mise à jour, 4 mars 2019 : Ajout d’un paragraphe relatant les actions des pirates auprès de l’APD et du SPF Finances.