Par une ordonnance en date du 11 février 2021, l’autorité de contrôle Italienne (Garante per la protezione dei dati personali) a prononcé une sanction de 75 000€ à l’encontre du Ministère du Développement économique Italien (Ministero dello Sviluppo Economico, MISE), notamment pour ne pas avoir désigné un DPO et pour avoir publié les informations personnelles de plus de 5 000 personnes (notamment des dirigeants de cabinets de conseil) sur internet.
Cette décision rappelle que les entités publiques, au même titre que les entités privées, sont astreintes aux dispositions du Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données) et peuvent à ce titre être sanctionnées par les autorités de contrôle nationales compétentes.
absence de désignation d’un DPO (Data Protection Officer)
une désignation obligatoire pour les autorités et organismes publiCs
L’article 37 du Règlement Général sur la Protection des Données (RGPD) encadre les situations dans lesquelles la désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) est rendue obligatoire :
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a)le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b)les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c)les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Pour déterminer si la nomination d’un DPO est obligatoire, nous vous suggérons de prendre connaissance de notre article : “La nomination d’un Data Protection Officer est-elle obligatoire ?“
Au titre de l’article 37-1-a), l’ensemble des autorités et organismes publics (à l’exception des juridictions) ont donc l’obligation d’avoir désigné un DPO depuis l’entrée en application du RGPD, intervenue le 25 mai 2018.
En tant que département ministériel de la République italienne, le Ministère italien du Développement économique entre dans la catégorie des “organismes et autorités publiques” et devait donc, dès le 25 mai 2018, avoir procédé à la désignation d’un Data Protection Officer auprès de l’autorité de contrôle Italienne. Or, ce n’est qu’à compter du 21 octobre 2019 que le Ministère Italien a finalement procédé à la désignation d’un DPO.
Rappelons par ailleurs que ce DPO aurait pu être un DPO mutualisé, avec par exemple d’autres départements ministériels, ou même un DPO externalisé agissant sur la base d’un contrat de service, et qu’il doit être nommé dans le respect des règles encadrant la fonction de Data Protection Officer (telles que notamment visées aux articles 38 et 39 du RGPD) : absence de conflit d’intérêt, qualités professionnelles adéquates, mise à disposition des ressources nécessaires pour l’exercice de ses missions, …
Pour tenter de justifier ce retard, le Ministère du Développement économique italien a notamment mis en avant auprès de l’autorité de contrôle italienne les différentes réorganisations liées à un changement de gouvernement, à un changement de Ministre, ainsi que l’adoption de divers décrets ayant engendré des réorganisations de ses services et de son fonctionnement.
Ces différents arguments ne permettant pas d’exonérer le Ministère du Développement économique de ses obligations de désignation d’un Data Protection Officer, le manquement avéré constitue dès lors un élément participant au prononcé de l’amende administrative prononcée par l’autorité de contrôle italienne à l’encontre du département ministériel italien.
Diffusion de données disproportionnées sur internet par le Ministère Italien
Autre manquement constaté par l’autorité de contrôle italienne à l’encontre du Ministère du Développement économique italien : la diffusion sur internet de données concernant environ 5 000 dirigeants de sociétés de conseil.
Dans le cadre de la mise en œuvre de la loi de finances 2019 italienne, le Ministère italien du Développement économique a en effet publié une liste de “managers qualifiés et dirigeants de sociétés de conseil” étant à même de proposer des services de prestations de conseil en innovation. Cette liste, librement accessible sur internet, contenait notamment les données suivantes sur ces managers et dirigeants :
- nom, prénom ;
- e-mail (personnel ou professionnel) ;
- code fiscal ;
- CV (curriculum vitae) ;
- documents d’identité (dans certains cas seulement).
L’objectif de cette publication était de permettre aux micro, petites et moyennes entreprises italiennes, de pouvoir recourir à des prestataires de services qualifiés pouvant les accompagner dans leurs processus de transformation technologique et numérique. Une incitation sous forme de subvention (des “bons de conseil”) a par ailleurs été mise en place par le gouvernement italien.
Une diffusion publique de données sans base légale
Pour l’autorité de contrôle italienne, la diffusion des données de plus de 5 000 managers qualifiés et dirigeants de société de conseil par le Ministère du Développement économique italien ne repose, contrairement aux exigences de l’article 6 du RGPD, sur aucune base légale.
L’autorité de contrôle italienne reproche notamment au Ministère de ne pas avoir simplement publié une liste comprenant les “managers qualifiés et dirigeants de société de conseil” comme le prévoyait les textes réglementaires italiens, pris en application de la loi de finance de 2019, mais des données (et parfois des documents d’identité) relatives à ces personnes : coordonnées, CV, etc.
Au regard de ces éléments, l’autorité de contrôle italienne estime que le Ministère italien du Développement économique ne pouvait se prévaloir du fait que ce traitement soit “nécessaire au respect d’une obligation légale” à laquelle il était soumis, conformément aux dispositions de l’article 6-1-c) du RGPD.
Une violation des principes de «limitation de la finalité», de «minimisation des données» et de «proportionnalité»
L’autorité de contrôle italienne estime que la diffusion sur internet des données de “managers qualifiés et dirigeants de société de conseil” fut opérée en violation des principes de l’article 5 du RGPD. Tout en considérant d’une part (i) qu’il n’était pas possible d’identifier préalablement les bénéficiaires de subventions (et in fine, les personnes qui auraient donc eu la nécessité d’accéder à la liste des “managers qualifiés et dirigeants de société de conseil”) et d’autre part (ii) que la consultation des CV par les micro, petites et moyennes entreprises bénéficiaires de subventions, était essentielle afin qu’elles puissent opérer un choix éclairé quant au prestataire étant le plus apte à les accompagner ; l’autorité italienne considère que la publication publique des données susmentionnées était disproportionnée.
Pour l’autorité de contrôle italienne, des mesures plus protectrices pour les données personnelles des “managers qualifiés et dirigeants de société de conseil” auraient du être déployées par le Ministère italien du Développement économique, comme par exemple la mise en place d’un accès restreint aux données (via l’attribution d’un identifiant et d’un mot de passe, à toute personne qui en aurait fait la demande). Cette attente étant d’autant plus légitime que le traitement était mis en œuvre par un département ministériel de la République italienne, étant habitué à traiter d’importantes quantités de données personnelles et disposant de moyens techniques suffisants pour mettre en œuvre ce type de mesures.
Une amende modeste de 75 000 euros
Pour les deux manquements détaillés dans le cadre de cet article (i.e. retard dans la désignation d’un DPO et diffusion publique non-proportionnée de données personnelles), le Ministère du Développement économique italien écope d’une modeste amende de 75 000€.
Le prononcé de cette sanction prend notamment en compte le fait que d’une part (i) l’absence de désignation d’un DPO par le Ministère a duré environ 1 an et demi. Le Ministère s’est depuis mis en conformité avec son application de désignation d’un Data Protection Officer. D’autre part, (ii), la divulgation non-proportionnée de données a été mené pendant un temps limité (environ 30 jours), a concerné un nombre limité de personnes (environ 5 000 personnes) et n’a pas concerné de “données sensibles” telles que visées par les articles 9 et 10 du RGPD.
Pour aller plus loin
- Ordinanza di ingiunzione nei confronti di Ministero dello Sviluppo Economico – 11 febbraio 2021 [9556625] : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9556625