L’État pourrait faire face à des demandes de dommages-intérêts pour la collecte illégale de données à partir de la carte de services publics

Les utilisateurs de laissez-passer gratuits ont été encouragés par le gouvernement à utiliser la carte de service public pour accéder à leurs droits de voyage gratuits.

Cependant, le plaignant Martin McMahon a remarqué que lorsqu’il a scanné sa carte de service public en tant que titre de transport dans les transports en commun, la machine a noté que le trajet était «enregistré».

Cette notification l’a incité à demander qui enregistrait ses données, où étaient-elles conservées et à quoi servaient-elles ?

Plainte

M. McMahon, animateur du podcast Echo Chamber, militant et expert en statut d’emploi, a déposé une plainte auprès du DPC en octobre 2019, alléguant une collecte excessive de données personnelles par le DSP lorsque les gens utilisaient la carte de services publics comme carte de crédit gratuite. Pass Voyage.

La DpC a maintenant statué que les données personnelles du plaignant n’avaient pas été traitées de manière transparente. Cela a enfreint le principe de légalité, d’équité et de transparence, a déclaré le jugement.

Elle a également estimé que la collecte des données par le DSP était excessive, contraire à l’article 5, paragraphe 1, point c) du RGPD et constituait une violation du principe de minimisation des données.

Le DSP a déclaré à la commission qu’il avait reçu des données personnelles sur les voyages de la National Transport Authority pour évaluer l’utilisation des voyages gratuits pour l’administration, le contrôle et le financement du programme.

Ces données reçues par le département jusqu’en février 2020 comprenaient des données de transaction de voyage, telles que l’heure, la date et l’itinéraire.

Il a également collecté le numéro du système de billetterie intégré (ITS), contenu sur la carte de service public d’un individu.

Bien que le numéro soit généralement non identifiant, il peut être lié au titulaire de la carte par le département.

La commission considère le numéro ITS comme un identifiant unique qui constitue une donnée personnelle.

Depuis que la plainte de M. McMahon a été déposée en 2019, le département a collecté moins de données sur les voyages gratuits pour n’inclure que des données sommaires de base.

Dans un communiqué, le Département de la protection sociale a déclaré qu’il acceptait la décision du DPC et qu’il ne collectait plus le numéro ITS.

“Il est important de souligner que la DPC n’a rendu aucune ordonnance à la suite de son enquête sur cette plainte, a-t-il déclaré.

M. McMahon a déclaré qu’il demanderait des dommages-intérêts à la suite de la décision.

“Ce qu’ils ont fait était illégal.

« Je vais agir. Si j’entreprends une action, je mets un chiffre monétaire sur les dommages. Si je reçois 10 € et qu’il y a eu 50 millions de ces voyages en 2019/2020, cela fait 500 millions d’euros. »

“Décision importante”

Le Dr Eoin O’Dell, professeur agrégé de droit au Trinity College de Dublin, a déclaré que le jugement était “une décision très importante” et “aura des ramifications importantes”.

Il a déclaré qu’il n’existe actuellement aucun précédent dans le droit irlandais permettant de savoir si une demande de dommages-intérêts devant les tribunaux à la suite d’une telle décision serait couronnée de succès.

Mais la loi britannique a montré que les affaires de protection des données qui reposent sur la détresse causée – plutôt que sur une perte spécifique résultant du traitement des données – ont eu tendance à échouer.

Il n’y a pas encore eu de réclamations irlandaises à la suite d’une décision de la Commission de protection des données qui ont fait l’objet d’un procès et d’un jugement devant les tribunaux irlandais, a-t-il déclaré.

« Il y a très peu de jurisprudence irlandaise pour violation du RGPD. La décision du DPC ne signifie pas qu’il y aura automatiquement une réclamation réussie », a déclaré M. O’Dell.

“Mais au Royaume-Uni, les cas qui déclenchent la” détresse “-” vous avez utilisé mes données de manière terrible et je suis contrarié par les conséquences “- ces cas avaient tendance à échouer. Attendu que « vous avez vendu mes données » — ce qui n’est pas le cas ici ; “vous avez indûment profité de mes données”, ces cas ont tendance à réussir.

“Et nous n’avons pas encore eu de cas équivalent en Irlande pour déterminer quelle pourrait être la réponse irlandaise.”

L’affaire établit le principe important de la minimisation des données que les organismes publics et les entités privées doivent désormais aborder et respecter, a-t-il déclaré.

“Il s’agit d’une affaire importante qui établit un principe important”, a-t-il déclaré.

« Le principe qu’il établit est que les services qui construisent ce type de systèmes doivent respecter le principe de minimisation des données.

“Le problème ici était qu’ils [the Department of Social Protection] demandaient beaucoup trop d’informations.

“Il n’y avait absolument aucune justification à cela. 90% des données, notamment les données identifiables, qu’ils recevaient à des fins de traitement n’étaient pas justifiées. Il leur suffisait de connaître le nombre de passagers pour pouvoir facturer. Tout le reste était entièrement inutile.

« Vous ne collectez que la quantité de données nécessaire et vous ne les conservez que le temps nécessaire.

“C’est un problème courant dans la plupart des ministères du gouvernement de collecter trop de données.”

La commission a noté que le DSP informe désormais les individus, au moment où ils reçoivent leur PSC-FT, que “à des fins de contrôle, l’Autorité nationale des transports transférera les données d’utilisation au Département”.

“En conséquence, aucune ordonnance ne doit être imposée car le DSP a déjà mis en œuvre les mesures nécessaires en matière de transparence et de collecte de données proportionnée et nécessaire”, indique la décision.

Cette histoire a été éditée à 21h40 le 20 mai 2023 pour inclure une réponse du Département de la protection sociale.