Согласно Agi, Гарант защиты личных данных в меморандуме, представленном Постоянной комиссии Сената, подчеркнул, что правила доступа к базам данных, «мониторинг» использования карты, дисциплина для выдачи Isee сертификаты, на веб-сайте представлены «важные критические проблемы».
По словам Гаранта конфиденциальности, этот механизм включает в себя «крупномасштабную обработку персональных данных, касающихся заявителей и членов их семейной ячейки (включая несовершеннолетних), которым предоставляется максимальная защита в связи с их актуальностью в самой интимной сфере. лицо или потому, что они могут подвергнуть соответствующее лицо дискриминации ". Но «поскольку ранее не запрашивалось мнение», требуемое Общим регламентом защиты данных », было невозможно подробно осветить риски, связанные с различными процессами обработки (которые затрагивают большое количество граждан, включая которые не заинтересованы в запросе Rdc) и заранее определят подходящие меры по их снижению ".
Нормативные положения "должны определять с достаточной точностью, в соответствии с принципами прозрачности по отношению к заинтересованным сторонам, минимизации обрабатываемых данных, конфиденциальности по дизайну и настройкам по умолчанию: контроллеры данных, типы обрабатываемых данных, субъекты, к которым они могут относиться. сообщенные и их соответствующие цели, а также условия хранения данных, которые являются соразмерными (а не чрезмерными) по отношению к преследуемым целям ". Что ж, «в этом отношении правила Rdc в том виде, в каком они сформулированы, в некоторых моментах не кажутся подходящими для удовлетворения требований европейского права».
Цифровые платформы
По мнению Гаранта, «декрет-закон содержит положения общего характера, которые не могут определить с достаточной ясностью процедуры проведения консультаций и процедур проверки различных баз данных. Участвующие государственные органы не определены с достаточной ясностью, и не установлены критерии, на основании которых использование определенных категорий информации может считаться оправданным время от времени в отношении конкретных преследуемых целей и в соответствии с принципом соразмерности " .
В частности, предусматривается создание «двух цифровых платформ», соответственно, в Anpal и Министерстве труда, чтобы обеспечить активацию и управление трудовыми соглашениями и соглашениями о включении. социальное обеспечение, связанное с Rdc, а также для целей анализа, мониторинга, оценки и контроля предоставляемых льгот. "Хотя некоторые положения декрета-закона делегируют детальную дисциплину исполнению указов (по которым обязательно должно запрашиваться мнение Гаранта), они, как сформулировано, предполагают массовый поток информации среди тех, кому помогает более высокая защита, в соответствии с этим в том числе присутствующие в архиве финансовых отношений между различными государственными структурами ».
"И это, в отсутствие адекватной системы отсчета, которая определяет соответствующие правила для выборочного доступа к базам данных, вводит соответствующие меры, гарантирующие качество и точность данных, а также технические и организационные меры, направленные на избежание рисков доступа ненадлежащее использование, мошенническое использование данных или нарушение информационных систем, а также соответствующие процедуры, гарантирующие заинтересованным сторонам беспрепятственное осуществление своих прав », - говорится в заявлении.
Мониторинг расходов
Аналогичные «существенные критические проблемы» могут быть определены Управлением в рамках дисциплины «мониторинга» использования карты RDC бенефициарами. "В дополнение к централизованному и систематическому мониторингу покупок, совершаемых с помощью карты, который может также включать сбор особо конфиденциальных данных, на самом деле существуют пунктуальные проверки индивидуальных вариантов потребления, проводимые операторами центров занятости. и муниципальные службы в отсутствие четко определенных процедур и нормативных критериев. В этом контексте законные потребности в проверке любых злоупотреблений и мошенничества выливаются в широкомасштабное, постоянное и капиллярное наблюдение за пользователями карт, что приводит к непропорциональному и неоправданному вторжению во все аспекты конфиденциальности субъектов данных ". . По этим причинам «рассматриваемые положения должны выполняться после тщательной оценки рисков в соответствии с требованиями Европейского регламента.
Isee аттестации
«Сильные затруднения» вызывают некоторые положения о дисциплине выдачи сертификатов ISEE, «которые могут поставить под угрозу безопасность данных, содержащихся в налоговом реестре и, прежде всего, в архиве финансовых отчетов Агентства по доходам, которые пока недоступны даже для обычные действия налогового контроля в связи с высокими рисками, связанными с относительной обработкой такой информации ".
Положения декрета-закона, «хотя и с целью упрощения, подчиняют предварительное составление DSU (Единое замещающее заявление) выдаче согласия или невозможности запретить обработку своих данных, что каждый член семьи , можно продемонстрировать в офисах Inps, на сайте Института или Агентства, а также в кафе. Однако внедрение этого сложного устройства согласия / запрета обработки заинтересованными сторонами - которое не соответствует требованиям европейского законодательства, поскольку согласие в этом случае не может являться действительным предварительным условием законности самой обработки - не представляет собой надлежащий надзор за безопасностью такой информации ".
По мнению Гаранта, рассматриваемые положения «следует переформулировать» и «, в частности, следует ввести технические и организационные меры, чтобы избежать рисков мошеннического использования данных, ненадлежащего доступа или нарушения информационных систем».
Сайт
Даже правительственный веб-сайт, посвященный доходам от гражданства ", уже на нынешнем этапе развития обнаруживает некоторые недостатки, в частности, в информации об обработке данных и технических методах ее реализации (которые на сегодняшний день включают ненадлежащая и непрозрачная передача навигационных данных третьим лицам, таких как IP-адреса и время подключения, посетителями одного и того же сайта). Необходимо, чтобы реализация этого инструмента происходила после принятия подходящих технических мер для эффективного внедрения принципов защиты данных, интеграции необходимых гарантий в обработку для снижения рисков для защиты прав граждан ».