Les données personnelles de 100 000 Belges ont été divulguées à la suite de l'obtention d'une proposition de déclaration fiscale erronée
100 000 Belges ont été victimes d’une violation de données ce mois-ci, car ils ont reçu une proposition erronée. proposition de déclaration d’impôts (VVA).
Le SPF Finances fait appel à une imprimante externe pour imprimer ses propositions de déclarations fiscales.
Un calcul final des impôts à payer ou à recevoir est fourni sur ces propositions.
Dans 100 000 cas, ce calcul s’est retrouvé dans la mauvaise enveloppe.
Fuite de données personnelles
L’obtention d’un mauvais RSA est très problématique en termes de GDPR.
En effet, les propositions contiennent les détails suivants :
-le nom,
-revenu
-le numéro d’immatriculation des personnes concernées.
Ces données sont des données à caractère personnel et relèvent du champ d’application du GDPR.
En effet, l’article 4, paragraphe 1, du GDPR définit les “données à caractère personnel” comme suit :
“toutes les informations concernant une personne physique identifiée ou identifiable (“personne concernée”) ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un numéro de téléphone ou une adresse électronique. un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments caractérisant l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique;”
Le fait que 100 000 Belges aient reçu des données aussi sensibles de la part d’autres personnes constitue une violation grave des données à caractère personnel ; on peut donc dire dans cette situation qu’une violation des données a eu lieu.
Selon l’article 4 du GDPR, il y a violation de données lorsque la situation suivante se produit :
“une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée de données transmises, stockées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données“.
Étant donné que les Belges concernés ont eu accès au numéro de registre national, au nom, au prénom et aux revenus d’autres personnes, et qu’il est possible d’utiliser ces données pour obtenir un grand nombre d’informations sur une personne donnée, cet incident peut certainement être qualifié d’accès non autorisé à des données transmises, ce qui pourrait avoir des conséquences graves.
En vertu de l’article 33 du GDPR, les violations de données doivent être signalées à l’autorité nationale de protection des données dans les 72 heures suivant leur découverte.
La personne concernée doit également être informée lorsque la violation est susceptible d’entraîner un risque élevé pour ses droits et libertés.
La nature de la violation et les recommandations sur la manière d’atténuer les éventuelles conséquences négatives doivent lui être communiquées
Le SPF Finances indique que la violation de données a été signalée à l’Autorité de protection des données.
Entre-temps, les citoyens concernés ont également reçu le RSA correct.
Comment cela aurait-il pu être évité ?
On ne sait pas exactement comment on en est arrivé à échanger les formulaires de déclaration. Le SPF Finances communique uniquement que les annexes ont été échangées en raison d’un dysfonctionnement de l’imprimante.
On peut se demander comment cette situation aurait pu être évitée.
Pour répondre à cette question, il est d’abord essentiel de déterminer si le SPF Finances et/ou l’imprimeur concerné étaient conscients de l’existence possible de ce risque.
La réalisation d’une DPIA (évaluation de l’impact sur la protection des données)peut être utile à cet égard.
En effet, une DPIA correctement menée permet de comprendre les risques qu’un traitement particulier de données à caractère personnel présente pour les personnes concernées.
Une DPIA décrit également les mesures que votre organisation doit prendre pour couvrir ces risques.
Il appartient ensuite à votre entreprise de prendre ces mesures.
Pour plus d’informations sur la manière de réaliser une DPIA, vous pouvez toujours consulter unDPD accrédité.