Durant la procédure de contrôle, qui a duré un mois, à l’Agence nationale des recettes (ANR), il a été établi que dans son activité, l’Agence, en sa qualité de responsable du traitement, n’a pas appliqué des mesures techniques et organisationnelles appropriées, ce qui a eu pour résultat l’accès non-autorisé, la divulgation non-autorisée et la communication des catégories suivantes de données personnelles des personnes physiques : noms et prénoms, identifiants nationaux (EGN) et adresses de ressortissants bulgares, numéros de téléphone, adresses électroniques et autres données de contact, données des déclarations d’impôts annuelles des personnes physiques, données des relevés de revenus payés aux personnes physiques, données des déclarations d’affiliation à la sécurité sociale, données sur les cotisations d’assurance-maladie (mais pas sur l’état de santé, ni informations sur la prise en charge thérapeutique des particuliers), données d’actes adoptés portant sur des infractions administratives, données d’impôts et de cotisations sociales payés via les Postes bulgares AD, données relatives aux demandes de remboursement et au remboursement de la TVA acquittée à l’étranger.
Il a été établi que l’accès et la divulgation non-autorisés sur Internet de ces informations a concerné les données personnelles de 6 074 140 personnes physiques au total, dont 4 104 786 personnes physiques vivantes, ressortissants bulgares ou étrangers, et 1 959 598 personnes physiques décédées.
Par sa décision du 23 août 2019, la CPDP a donné des injonctions à l’ANR, sur le fondement de l’art. 58, alinéa 2, lettre d en lien avec l’art. 57, alinéa 1, lettre а et l’art. 83, alinéa 2, lettres a, c, d, e et f du Règlement (UE) 2016/679, d’entreprendre des mesures techniques et organisationnelles appropriées, dans le contexte de la législation en vigueur régissant la protection des données personnelles, comme par exemple :
– des mesures visant à améliorer la protection lors du traitement des données personnelles par des applications destinées à fournir des services électroniques aux particuliers ;
– une analyse du risque des systèmes et des opérations de traitement, y compris l’élaboration de règles et d’obligations fonctionnelles de travail avec chaque système d’information ;
– une analyse d’impact en cas d’un risque élevé identifié pour chaque système d’information et les mesures prises ;
– une analyse d’impact au moment du lancement de nouveaux systèmes d’information et applications.
Le délai d’exécution de ces injonctions est de six mois, à compter de la date de leur réception.
Le 28 août 2019, sur le fondement de l’art. 87, alinéa 3 de la Loi sur la protection des données personnelles, Ventsislav Karadzhov, président de la Commission de protection des données personnelles, a adopté un acte de sanction contre l’ANR pour violation de l’art. 32, alinéa 1, lettre b du Règlement (UE) 2016/679, concernant l’accès non-autorisé, la divulgation non-autorisée et la communication de données personnelles des personnes physiques, issues des bases de données de l’Agence. Le montant de la sanction appliquée est de 5 100 000 de leva.
La sanction infligée à l’ANR engage sa responsabilité pour infractions administratives, en sa qualité de responsable du traitement, pour l’accès et la divulgation non-autorisés des données personnelles. Le fait qu’il y a eu une fuite de ces données dans l’espace public ne signifie pas automatiquement qu’il y a eu un abus de ces données dans la mesure où l’abus suppose la réalisation d’actes supplémentaires, représentant en soi des infractions pénales distinctes.
La Commission de protection des données personnelles reçoit de nombreuses demandes d’explications concernant les modalités de dépôt de réclamations et la protection contre des abus de données personnelles. La Commission informe les particuliers que l’objet des réclamations et des signalements, liés à la violation de la sécurité des données personnelles à l’ANR, est identique à l’objet du contrôle déjà effectué par la CPDP et que, par conséquent, il n’y a pas lieu de chercher à engager de nouveau la responsabilité pour infractions administratives de l’ANR pour la même violation. C’est une manifestation du principe de droit ne bis in idem (nul ne peut être poursuivi ou puni une seconde fois pour les mêmes faits). Ce principe n’exclut pas cependant la possibilité pour les personnes physiques concernées de chercher à obtenir des réparations, mais elles ne peuvent le faire que par voie de recours en justice, dans le respect des règles juridictionnelles générales. A cette fin, il n’est pas nécessaire de demander un document officiel à la CPDP ou un avis de la Commission au cas par cas.
