Les autorités fiscales ne respectent toujours pas les aspects les plus fondamentaux de la loi sur la protection de la vie privée, plus de cinq ans après son introduction. L’approche actuelle rend également impossible le respect de cette législation à partir de 2027 comme prévu. Une équipe de recherche interne de l’administration fiscale l’a constaté dans une évaluation réalisée par CNRC.
Depuis mai 2018, toutes les organisations et entreprises néerlandaises doivent se conformer au Règlement général sur la protection des données (RGPD), mieux connu sous le nom de Loi sur la protection de la vie privée. Cela stipule que les agences doivent être transparentes sur les données exactes qu’elles stockent et dans quel but. Ces données doivent être correctes et à jour, il ne doit pas y avoir plus d’informations que ce qui est strictement nécessaire et les organisations doivent supprimer les informations dès qu’elles ne sont plus nécessaires.
Dans l’évaluation, qui date de juillet dernier, une équipe d’employés a conclu après six mois de recherche que l’administration fiscale a encore beaucoup trop peu de contrôle sur les données qu’elle utilise sur les citoyens. Par exemple, pour la plupart des processus de travail, on ne sait pas exactement quelles données personnelles sont traitées, ce qui constitue « la base de la conformité ». [voldoen aan de privacywetgeving] est manquant. Il n’existe aucune politique pour reconnaître et corriger les erreurs dans les données personnelles utilisées. Les données obsolètes ne sont souvent pas archivées ou détruites à temps.
L’administration fiscale ne sait pas non plus exactement quels employés ont accès à certaines applications. En conséquence, le service viole le ‘dois savoirprincipe» de la loi sur la protection de la vie privée, selon l’évaluation interne. Des milliers d’employés peuvent accéder à des données personnelles dont ils n’ont pas besoin dans le cadre de leur travail, par exemple l’adresse du domicile de personnalités néerlandaises célèbres. Plusieurs sources au sein du service le confirment. Que l’utilisation des systèmes informatiques ne soit pas enregistrée (suivi), reconnu Le secrétaire d’État Marnix van Rij (CDA, Fiscalité) à la fin de l’année dernière après une publication dans NRC. Cela montre que des informations étaient transmises par des fonctionnaires corrompus à des criminels en raison de ce manque. enregistrement était difficile à retracer.
Selon le document interne, l’administration fiscale prend également trop peu en compte le droit à la vie privée des citoyens, y compris le droit de consulter, de rectifier et de supprimer les données. Le NRC avait précédemment signalé que les autorités fiscales répondaient trop lentement à plus de la moitié des demandes d’accès des citoyens.
Les nouvelles applications ne sont pas non plus conçues de manière à respecter les règles de confidentialité, bien que Van Rij ait demandé à la Chambre des représentants de le faire. signalé.
Données sensibles
Les conclusions internes sont douloureuses. De tous les services gouvernementaux, l’administration fiscale détient les données personnelles les plus sensibles des citoyens néerlandais. Non seulement des données financières, telles que les revenus, les dettes et le patrimoine, mais aussi des informations sur, par exemple, les relations familiales, le casier judiciaire, la santé, la religion, l’appartenance syndicale, les biens (maisons, bateaux, véhicules à moteur, etc.), la garde éventuelle des enfants. , faillites, indemnités de départ, pays d’origine, etc. le nom d’utilisateur lorsque vous jouez en ligne.
Il est logique que de nombreux employés aient accès à ces informations. Un citoyen qui appelle la Ligne Fiscale s’attend à ce que tous les détails pertinents de son dossier soient immédiatement disponibles. En raison de la complexité de la législation fiscale, de nombreuses informations différentes sont également requises pour le contrôle des déclarations fiscales.
A lire aussi : L’administration fiscale est ainsi devenue un auteur fréquent d’abus de données personnelles
Dans le passé, le service a commis de nombreuses erreurs à cet égard, le scandale des avantages sociaux étant l’exemple le plus connu. Sur la base d’informations souvent incorrectes et d’analyses de données négligentes, le service a enregistré les parents comme fraudeurs potentiels, après quoi leurs prestations ont été suspendues et récupérées. En conséquence, des milliers de familles se sont retrouvées dans de graves difficultés. L’autorité néerlandaise de protection des données (AP) est intervenue 2021 et 2022 des amendes historiquement élevées. La gestion de l’information est désormais selon les autorités fiscales elles-mêmes « la plus haute priorité ».
Néanmoins, il semble y avoir de gros doutes au sein du service quant au projet actuel de mise en conformité totale avec le RGPD à partir de 2027. Van Rij veut que les 791 processus commerciaux soient exécutés avant fin 2024 essais sur la base de ce que l’on appelle des listes de contrôle, puis résolvez les lacunes en matière de confidentialité par processus.
Selon l’évaluation interne, cette approche ne fonctionnera pas. Les listes de contrôle sont incomplètes, tous les aspects de la loi sur la protection de la vie privée ne sont pas abordés et les risques les plus importants ne sont pas identifiés. « Il n’y aura pas de conformité totale si la liste de contrôle est mise en œuvre », indique l’évaluation. En outre, des doutes subsistent quant au planning : selon des informations internes du service, seuls quarante processus ont été testés pour l’instant, alors que le projet dure depuis trois ans.
Fonction de prévisualisation
« Il s’agit d’une information choquante et j’utilise rarement ce mot », déclare José van Dijck, professeur à l’université des médias et de la société numérique à Utrecht, en réponse aux documents internes. Apparemment, dit-elle, les autorités fiscales n’ont pas mis de l’ordre dans « les questions les plus fondamentales ». « Une idée des données dont vous disposez, de qui peut y accéder et de la manière de les organiser correctement. »
Alors que, selon elle, le fisc a une fonction exemplaire : « Il a accès aux informations les plus nombreuses et les plus confidentielles de la quasi-totalité de la population. Cela donne naissance à une obligation sociale de redoubler de prudence.»
Bart Jacobs, professeur de sécurité, de confidentialité et d’identité à l’Université Radboud de Nimègue : « C’est une situation qui fait serrer le cœur. J’ai envie de dire : tout est à repenser pour se conformer au RGPD. En même temps, je vois qu’une telle chose n’est pas réaliste – l’entreprise doit continuer à fonctionner – et coûterait énormément d’argent.
Selon le ministère des Finances, NRC cite un « projet de document de discussion interne », qui ne contient « aucune position officielle sur les progrès réalisés par l’administration fiscale ». « L’article montre que l’administration fiscale a travaillé ces derniers mois pour cartographier les processus et identifier les risques et les actions d’amélioration. Les différents points de vue du service sont pris en compte », a indiqué le ministère dans une réponse.
Selon le ministère des Finances, se conformer au RGPD est « complexe » et « ne consiste pas seulement à tester les processus commerciaux ». C’est ce que les employés obtiennent conscience-des cours sur l’utilisation des données personnelles. « Il est vrai que la conformité au RGPD est un processus approfondi qui prend du temps et des capacités, et qui exige donc également beaucoup de la part de l’organisation qui apprend cela. Le fisc ressent l’urgence de mettre de l’ordre dans ce domaine le plus rapidement possible, en plus d’effectuer tous les travaux réguliers.»
Le ministère conteste que Van Rij ait informé de manière incorrecte la Chambre des nouveaux systèmes qui seraient déjà conformes aux règles de confidentialité. « Nous en tenons compte depuis 2015, mais la mise en place des dispositifs prend du temps. Cela ne veut donc pas dire qu’elle est déjà appliquée partout.»