Le RGPD - La Commission Vie privée devient l'Autorité de protection des données

Comme nous l’avons déjà expliqué, le RGPD comporte toute une série de nouveaux droits et obligations concernant le traitement de données à caractère personnel. Le RGPD accorde un rôle important à l' « autorité de contrôle » qui est tenue de veiller sur le déroulement correct des traitements de données. Si tel n'est pas le cas, l'autorité de contrôle dispose alors de la possibilité de sanctionner.

En Belgique, ce statut d’autorité de contrôle est accordé à l'Autorité de protection des données (APD). L'APD est la continuation de la Commission de la protection de la vie privée, mieux connue sous l’appellation Commission Vie privée.  Cela ressort d'un projet de loi récent du 23 août 2017, présentant un aperçu de la création de l'APD.

Selon l'exposé des motifs, la modification de nom est appliquée, premièrement, pour que celui-ci corresponde mieux à la terminologie du RGPD et, ensuite, pour indiquer qu'il ne s'agit plus uniquement d'un organe d'avis, mais également d'une autorité de contrôle et de sanction. Ainsi, l'APD peut, entre autres, poser des actes d'enquête (après une plainte ou de sa propre initiative), ordonner des mesures provisoires et imposer des sanctions (par ex. amende administrative, réprimande, avertissement). La transformation devra permettre à l'APD d'assurer le respect correct du RGPD en Belgique. Les inspecteurs de l'APD auront du reste la qualité d'officier de police judiciaire et disposeront alors de pouvoirs importants. 

L'Autorité de protection des données connaîtra une structure analogue à celle de l’Autorité belge de la Concurrence entièrement différente de la Commission Vie privée. La nouvelle structure sera nécessaire afin de mieux exercer les nouveaux pouvoirs.

L'APD comprendra désormais six organes : un comité de direction (politique général et plan stratégique), un secrétariat général (réception de plaintes et information des citoyens), un service de première ligne (assistance des responsables de traitement et leurs sous-traitants), un centre de connaissances (conseils et recommandations), un service d'inspection (organe d'enquête) et une chambre contentieuse (juridiction administrative). Un « conseil de réflexion » reflétant la société dans son ensemble et pouvant formuler des avis non contraignants, est institué. Contrairement à la Commission Vie privée, l'APD possédera également une personnalité juridique. De ce fait, le fonctionnement indépendant et autonome de l'Autorité de protection des données est mis en avant. 

Dans le projet de loi, les pouvoirs de l'APD sont résumés en quatre catégories, par ordre de priorité :

1. l'information et le conseil aux individus, aux responsables du traitement et à leurs sous-traitants, ainsi qu'aux décideurs politiques pour faire respecter ou pour respecter le RGPD ;

2. l'accompagnement des responsables du traitement et de leurs sous-traitants pour une utilisation maximale des outils de prévention prévus dans le RGPD tels que la certification, l'adhésion à des codes de conduite, le recours à un Officier de protection des données, ...;

3. le contrôle des responsables du traitement et de leurs sous-traitants par un service d'inspection spécialement formé en ce sens ;

4. la sanction, dont le spectre large - allant de l'avertissement à la sanction financière - permettra de distinguer les situations et de leur réserver un traitement équitable et proportionné à la gravité des faits.

Selon l'exposé des motifs, la transformation de la Commission Vie privée en Autorité de protection des données, ainsi que l'attribution des pouvoirs précités, créent une autorité de protection des données moderne aux compétences fortes, visant à doter la Belgique d'un organe capable de contrôler efficacement l'utilisation des données, tout en étant attentive aux défis juridiques, économiques, éthiques et technologiques que pose la société numérique.

Evidemment, ce qui précède reste sous réserve de l'approbation du projet de loi.