Deuxième la décision de la CNPD🇧🇷 sont en jeu les violations par l’INE dans le traitement de catégories particulières de données à caractère personnel, les devoirs d’informer les personnes concernées, les règles régissant l’engagement d’une entreprise pour gérer les données collectées lors des recensements🇧🇷 L’entreprise sous contrat est Cloudflare, qui était responsable de la sécurité du site de recensement et avec qui le contrat a été suspendu.

Il s’agit d’une autre des amendes infligées par la CNPD dans le cadre de violations de la Règlement général sur la protection des données au Portugal (GDPR) qui est en pratique depuis 2018 et qui a déjà conduit à la application de 131 amendes, d’une valeur de plus de 2,54 millions d’euros🇧🇷 DE Le conseil municipal de Lisbonne était l’une des entités ciblées par la CNPD, dans le cadre du partage de données sur les manifestants contre le régime de Poutine🇧🇷

Pourtant, le Portugal est l’un des pays où le nombre d’amendes, et le montant appliqué, est le plus faible, car il s’avère le rapport DLA Piper qui a estimé la valeur des amendes infligées à plus de 1,1 milliard avec l’entrée en vigueur du RGPD🇧🇷 Le Luxembourg, l’Irlande et la France sont en tête du classement des amendes individuelles les plus élevées en 2021, avec un Amende record de 746 millions d’euros infligée par l’autorité luxembourgeoise à Amazontandis que l’Irlande a infligé une amende de 225 millions d’euros à WhatsApp et la France une amende de 50 millions d’euros à Google.

Toujours en 2021, même le dernier jour de l’année La France a pris trois nouvelles amendes de sa poche, une de 90 millions pour Google et une autre de 60 millions, et une pour Facebook, également de 60 millions d’euros🇧🇷 Le Portugal a rejoint la liste avec une amende de 1,2 million d’euros à la municipalité de Lisbonne.

5 infractions administratives appliquées à l’INE

En examinant le dossier de l’INE, la CNPD a conclu que l’Institut national de la statistique avait commis cinq infractions administratives, pour des infractions au RGPD, au titre du recensement de 2021, infligé une amende unique de 4,3 millions d’euros en combinaison légale.

« La CNPD a déterminé que l’Institut national de la statistique (INE) a traité illégalement des données personnelles liées à la santé et à la religion, a manqué à son obligation d’informer les répondants du questionnaire du recensement de 2021, a exercé une diligence raisonnable violée, lors du choix du sous-traitant, les dispositions légales relatives au transfert international de données et n’a pas procédé à une évaluation d’impact sur la protection des données liées au recensement », a déclaré la CNPD dans un communiqué publié sur son site Internet.

En ce qui concerne l’INE, nous avons également examiné les violations, les actions de l’institut concernant les transferts de données vers des pays tiers et l’absence d’évaluation d’impact sur les données personnelles.

Le comité comprend que L’action de l’INE reflète la pratique des cinq infractions « prévues et sanctionnées » par le RGPDsoulignant que les manquements « prennent une gravité considérable, compte tenu du nombre de personnes impliquées (…), du contexte dans lequel ils ont été commis, notamment l’obligation de répondre au recensement de 2021 et la conviction qu’ils étaient tenus de répondre ».

La décision de la CNPD indique que l’entité chargée d’effectuer les recensements « a fait preuve de négligence », violant le devoir de transparence et de diligence en raison du manque d’information des personnes concernées sur l’activité en question (réalisation des comptages). .

LA La CNPD estime également que l’INE a agi de manière malveillante en ne contactant pas la société qui collecterait et gérerait les données personnelles si elle ne transférait pas les données vers des pays tiers.

Elle a donc conclu que deux infractions administratives résultaient d’une négligence et trois autres avaient été commises intentionnellement.

« L’INE connaissait et ne pouvait ignorer le caractère contraignant de ses obligations et s’est satisfaite de la possibilité d’accomplir les actes qui lui sont reprochés, qui sont imputés au prévenu comme fraude possible », peut-on dire lu dans le délibéré de la corps en date du 02 novembre 2022.

Selon la commission, l’INE « a révélé un mépris des principes et obligations énoncés dans le RGPD, en s’appuyant sur l’intervention de l’autorité de tutelle [CNPD]au lieu de prendre l’initiative de s’assurer que le recensement est conforme à ce régime ».

Les cinq infractions ont donné lieu à cinq amendes d’un montant total de 6,5 millions d’euros. Cependant, même la reconnaissance d’un « degré élevé de censure de la conduite de l’accusé » et la nécessité d’une « sanction reflétant la forte censure de cette conduite », l’organisme a finalement révélé l’absence de registre des violations par l’INE et a infligé une amende unique de 4,3 millions d’euros.

LA La réalisation des recensements de 2021 a été entourée de polémique suite au contrat avec la société Cloudflare, responsable de la sécurité du « site » qui collectait les réponses aux recensements, et qui prévoyait le transfert des données personnelles vers les Etats-Unis d’Amérique ou d’autres pays.

LA La Commission nationale de protection des données a alors exigé la suspension de tout transfert de données personnellespar lequel l’INE suspend le contrat avec l’entreprise.

Au plus haut le président de l’INE a réfuté les allégations devant une commission parlementaire où il a souligné que l’embauche de Cloudflare n’impliquait pas de transférer ou de copier les données des réponses des citoyens au recensement de 2021🇧🇷

Francisco Lima a déclaré que les critiques de la CNPD, dont la présidente, Filipa Calvão, a accusé l’INE au sein de la même commission parlementaire de ne pas protéger les « données personnelles des citoyens » et d’autoriser l’entreprise à les transférer vers des pays tiers, « sont inutiles et disproportionnées « .

Il a également mentionné que Le service contractuel de l’INE avec Cloudflare « n’implique aucun traitement de données, il n’y a aucun transfert de données vers d’autres pays » et qu’il y a une « disproportionnalité » dans la réponse de la CNPDqui « va d’une interprétation à une matérialisation des faits », en supposant que s’il y avait une opportunité pour que cela se produise « cela s’est produit ».

« Ce n’était pas un service de stockage, mais un service de cybersécurité. Le considérer comme une violation de la protection des données nous semble une contradiction dans les termes », a déclaré Francisco Lima, qui assuré que la société déclare également que les données des réponses au recensement n’ont été demandées par aucune agence de sécurité nord-américaine.

Note de l’éditeur : l’histoire a été mise à jour avec plus d’informations. Dernière mise à jour 16:12