Mise en demeure du département britannique en charge des taxes et des douanes pour défaut de base juridique

7 juin 2019

Her Majesty’s Revenues and Customs (HMRC), le département britannique responsable de la collecte des taxes et du paiement de certains services fournis par l’Etat, a fait l’objet d’une mise en demeure de la part de l’autorité de contrôle britannique (l’ICO) pour défaut de base juridique, concernant le traitement de données biométriques qu’elle réalise aux fins d’authentification de ses utilisateurs.

Depuis janvier 2017, HMRC utilisait un système d’authentification vocal pour l’authentification de ses utilisateurs, lorsque ces derniers avaient recours à l’assistance téléphonique de HMRC.

HMRC n’avait pas offert d’autre moyen, pour les appelants, de s’identifier et l’information donnée aux personnes concernées, selon l’ICO, était incomplète.

En 2018, HMRC publia une information relative à la confidentialité de son système d’authentification vocale et sollicita les utilisateurs du service afin de recueillir leur consentement. Seuls 20% des 7 millions d’utilisateurs répondirent à cette sollicitation.

Pour autant, HMRC ne supprima pas les données relatives aux personnes concernées qui s’étaient abstenues de répondre positivement.

L’ICO relève que HMRC ne peut s’appuyer sur aucune des bases juridiques de l’article 6, paragraphe 1, du RGPD. Il ne peut, à ce titre, s’appuyer sur le consentement, puisqu’il n’a pas délivré une information suffisante s’agissant de la façon dont les données biométriques allaient être traitées et n’a pas donné aux utilisateurs la possibilité de refuser de donner leur consentement au traitement.

De plus, s’agissant d’un traitement de données biométriques, aucune des conditions de l’article 9 (« Traitement portant sur des catégories particulières de données à caractère personnel ») paragraphe 2 du RGPD n’était réunie. L’ICO ne peut, pour les mêmes raisons que s’agissant de la base juridique, se prévaloir du consentement des utilisateurs.

En conséquence, l’ICO a qualifié le traitement de donnée d’illicite et a mis en demeure HMRC, dans un délai de 28 jours, de :

  • supprimer les données biométriques liées au système d’authentification vocal pour lesquelles HMRC n’a pas obtenu de consentement explicite ;
  • solliciter ses fournisseurs afin qu’ils fassent de même.

Voir la mise en demeure de l’ICO : https://ico.org.uk/media/action-weve-taken/enforcement-notices/2614924/hmrc-en-201905.pdf

DERRIENNIC ASSOCIES

Tags: , , , , , , ,