CONTACT

Mise en demeure du département britannique en charge des taxes et des douanes pour défaut de base juridique

07 juin 2019 | Derriennic Associés|

Her Majesty’s Revenues and Customs (HMRC), le département britannique responsable de la collecte des taxes et du paiement de certains services fournis par l’Etat, a fait l’objet d’une mise en demeure de la part de l’autorité de contrôle britannique (l’ICO) pour défaut de base juridique, concernant le traitement de données biométriques qu’elle réalise aux fins d’authentification de ses utilisateurs.

Depuis janvier 2017, HMRC utilisait un système d’authentification vocal pour l’authentification de ses utilisateurs, lorsque ces derniers avaient recours à l’assistance téléphonique de HMRC.

HMRC n’avait pas offert d’autre moyen, pour les appelants, de s’identifier et l’information donnée aux personnes concernées, selon l’ICO, était incomplète.

En 2018, HMRC publia une information relative à la confidentialité de son système d’authentification vocale et sollicita les utilisateurs du service afin de recueillir leur consentement. Seuls 20% des 7 millions d’utilisateurs répondirent à cette sollicitation.

Pour autant, HMRC ne supprima pas les données relatives aux personnes concernées qui s’étaient abstenues de répondre positivement.

L’ICO relève que HMRC ne peut s’appuyer sur aucune des bases juridiques de l’article 6, paragraphe 1, du RGPD. Il ne peut, à ce titre, s’appuyer sur le consentement, puisqu’il n’a pas délivré une information suffisante s’agissant de la façon dont les données biométriques allaient être traitées et n’a pas donné aux utilisateurs la possibilité de refuser de donner leur consentement au traitement.

De plus, s’agissant d’un traitement de données biométriques, aucune des conditions de l’article 9 (« Traitement portant sur des catégories particulières de données à caractère personnel ») paragraphe 2 du RGPD n’était réunie. L’ICO ne peut, pour les mêmes raisons que s’agissant de la base juridique, se prévaloir du consentement des utilisateurs.

En conséquence, l’ICO a qualifié le traitement de donnée d’illicite et a mis en demeure HMRC, dans un délai de 28 jours, de :

  • supprimer les données biométriques liées au système d’authentification vocal pour lesquelles HMRC n’a pas obtenu de consentement explicite ;
  • solliciter ses fournisseurs afin qu’ils fassent de même.

Voir la mise en demeure de l’ICO : https://ico.org.uk/media/action-weve-taken/enforcement-notices/2614924/hmrc-en-201905.pdf

    Personnalisation des cookies

    Cookies strictement nécessaires

    Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.

    Cookies de mesures d'audience

    Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

    Il s’agit des cookies suivants :

    _ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

    _gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

    _gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

    Vous pouvez consulter la page dédié à la protection des données de Matomo