Le Centre de Connaissances a pour mission d’émettre, soit d'initiative, soit sur demande des gouvernements ou des parlements :

  • des avis sur toute question relative aux traitements de données à caractère personnel (en ce compris dans le cadre de la rédaction de projets de textes normatifs) ; et
  • des recommandations relatives aux développements sociétaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

Le Centre de Connaissances se compose, en plus de la directrice, de six membres externes nommés par la Chambre sur la base de leur expertise particulière.


Gestion des priorités malgré les perturbations induites par la crise sanitaire

La tâche prioritaire du Centre de Connaissances consiste en l’émission d’avis préalables et obligatoires relatifs à tous les textes législatifs ou réglementaires de portée générale qui créent, adaptent ou mettent en œuvre des traitements de données à caractère personnel. La loi astreint le Centre de Connaissances à des délais pour l’émission et la publication de ces avis.

Le respect de ces délais constitue un défi pour le Centre de Connaissance en raison d’éléments divers tels que :

  • la quantité d’avis concomitants à rendre ;
  • la nécessaire mise en état de la plupart des demandes d’avis (échange de questions-réponses avec les auteurs du texte) ;
  • la complexité et la variété des matières en jeu ;
  • le peu de ressources du service (en raison de la restructuration interne nécessaire à la création de l’Autorité de protection des données et aux nouvelles missions devant être assumées suite à l’entrée en vigueur du RGPD) ;
  • les demandes d’avis urgents pour lesquelles le champ d’analyse du Centre de Connaissances est inchangé par rapport à celui des demandes d’avis sollicitées dans le délai normal ;
  • et enfin, la lourdeur de la procédure interne d’adoption des avis due au caractère collégial du Centre de Connaissances (fixation de séances à échéances fixes pour la tenue des discussions orales, intervention des membres dits « externes », anticipation desdites séances pour l’envoi des projets, …).

En 2020, afin de répondre aux besoins normatifs que la gestion de la pandémie implique et aux problématiques qu’elle génère sur le terrain, le Centre de Connaissances a mis toute son expertise au service de la veille d’un encadrement de qualité de la législation en la matière. À de nombreuses reprises, elle a dû accomplir cette mission en urgence endéans les 15 jours et parfois même, dans certains cas, endéans un délai plus court. L’avis 42/2020 du 25 mai 2020 par exemple concerne une demande reçue le 15 mai. De nombreuses normes ont en effet été préparées soit afin de limiter la propagation du virus (via l’imposition de mesures telles que le « traçage des contacts » ou le contrôle du respect de l’obligation de mise en quarantaine), soit afin de venir en aide à des citoyens ou organisations impactés par la crise (par le biais de prêts, primes ou dispenses), soit encore afin d’aménager le fonctionnement de certains services de l’État qui, en des temps ordinaires, requièrent des contacts rapprochés entre individus (en ce compris par l’instauration de la vidéoconférence) – voir Chapitre Covid-19, le défi vie privée de l’année.

Afin d’assumer au mieux ses missions, un filtre rigoureux des demandes de traitements en urgence a été réalisé afin de cibler les mesures qui nécessitaient objectivement un tel traitement urgent au vu de la motivation avancée par le demandeur d’avis. Les mesures mises en place en temps de pandémie mais sans lien direct avec celle-ci et/ou sans caractère urgent n’ont ainsi pas fait l’objet de cette procédure exceptionnelle qui engendre une désorganisation inévitable du travail au sein du service ainsi qu’un risque de baisse du niveau de protection des données en raison d’une analyse potentiellement plus superficielle, mais également une surcharge évidente de travail pour le personnel de l’APD.En outre, le Centre de Connaissances a contribué activement aux travaux de l’EDPB et au travail transversal de l’APD consistant à publier du contenu informatif général son site Internet.


Maintien de la qualité du service dans un contexte RH difficile

L’APD n’a pas obtenu d’augmentation du cadre de son personnel proportionnée aux défis générés par les nouvelles missions à assumer suite à l’entrée en vigueur du RGPD, au contraire de la plupart des autorités de protection des données des autres pays de l’Union européenne. Son effectif est inchangé alors qu’elle s’est vue charger d’une série de tâches supplémentaires, en ce compris en matière de médiation, d’inspection, de sanction, de gestion des demandes d’avis sur les traitements à haut risque résiduel, des dossiers de fuites de données et de coopération internationale.

Ceci étant, en 2020, le Centre de Connaissances est tout de même parvenu à remplir ses missions afin notamment de conseiller au mieux le législateur dans son travail d’élaboration des normes encadrant des traitements de données à caractère personnel et le cas échéant d’éclairer le débat parlementaire y relatif.

Pour pouvoir continuer à assurer un niveau correct de veille quant à la qualité des lois, et donc à ce titre un niveau correct de protection des données en Belgique, le Centre de Connaissances ne peut que constater son besoin de voir augmenter les ressources humaines qui lui sont allouées.

À titre principal, le Centre de Connaissances émet des avis et des recommandations, contribue aux travaux de l’EDPB (Comité Européen de la Protection des Données), rédige du contenu pour le site web de l’APD et assiste le Service de Première Ligne dans des dossiers complexes. À cela viennent s‘ajouter les nombreuses questions de la presse et demandes d’interventions dans le cadre d’initiatives de formation ou sensibilisation (séminaires, colloques, etc.) liées à une prise de conscience accrue des enjeux de la protection des données, encore renforcée dans le cadre de la crise sanitaire (en raison des traitements effectués avec les données relatives au testing, au tracing et à la vaccination notamment). Les demandes de traitement d’avis en urgence (voir point précédent) accroissent également la charge de travail.

Ce besoin est d’autant plus important que, vu le nombre limité d’agents alloués à la réalisation des tâches du Centre de Connaissances, tout mouvement ordinaire et classique du personnel tel que les congés longue durée pour maternité, stages externes ou maladies impactent fortement le travail au sein du service. La nécessaire expertise que nécessite le travail au sein du Centre de Connaissances complique la possibilité de travailler avec des intérimaires ou d’engager des travailleurs sous contrats de courte durée difficiles à recruter et longs à former aux tâches spécifiques du Centre de Connaissances. Enfin, l’augmentation accordée de la dotation de l’APD n’étant que temporaire, elle n’a permis que de recruter un seul employé pour le service, et ce dans le cadre d’un contrat de courte durée. Si les projets et propositions de textes législatifs et réglementaires de la Communauté flamande encadrant des traitements de données à caractère personnel viennent à être à nouveau soumis pour avis au Centre de Connaissances - ce qui est requis, comme l’APD le lui a rappelé au vu de l’obligation en ce sens formulée à l’article 36.4 du RGPD et de la position du Conseil d’État en la matière- le Centre de Connaissances risque de ne plus pouvoir assurer le respect des délais et de devoir faire des choix non souhaitables.


Émission de trois recommandations générales

Malgré ces difficultés, le Centre de Connaissances est parvenu à émettre trois recommandations, en plus des recommandations ponctuelles qu’il émet de manière concomitante aux avis qu’il rend sur les projets de normes législatives et réglementaires :

  1. Recommandation relative aux traitements de données à caractère personnel effectués dans le cadre de campagnes de marketing direct (recommandation n°1 du 17 janvier 2020): en raison, d’une part, de l’évolution importante des méthodes et technologies utilisées par les professionnels du marketing direct et, d’autre part, de la grande quantité de plaintes et de questions reçues à ce sujet par l’Autorité de protection des données, le Centre de Connaissances a émis une nouvelle recommandation sur le thème du marketing direct. Elle vise à clarifier les règles pour tous les acteurs de cet écosystème complexe. Grâce aux contributions fournies par les acteurs du marché dans le cadre de la consultation publique (isolément ou représentés par leur fédération), le Centre de Connaissances a pu délimiter ce que devait être le contenu de cette recommandation et illustrer les règles énoncées à l’aide de cas pratiques et de nombreux exemples. L’émission de ce document en 2020 a été fort bien accueillie et suivie d’une série de présentations au secteur et de la publication sur le site de l’APD de « réponses-types » aux questions les plus fréquemment posées.
  2. Recommandation relative à la portée de l’obligation de conclure un protocole afin de formaliser les communications de données à caractère personnel en provenance du secteur public fédéral (recommandation n°2 du 31 janvier 2020). Cet outil à destination des acteurs du secteur public vise essentiellement à éclaircir (i) les conditions dans lesquelles une autorité publique doit conclure un protocole pour formaliser une communication de données à caractère personnel à un tiers, (ii) le contenu du protocole formalisant une communication de données en provenance du secteur public fédéral, (iii) les exigences procédurales imposées par l’article 20 de la LTD pour la conclusion d’un protocole, (iv) le champ d’application temporel de l’article 20 de la LTD et (v) la procédure à suivre lorsque le responsable du traitement initial et le responsable du traitement destinataire des données ne parviennent pas à un accord.
  3. Recommandation relative aux techniques de nettoyage de données et de destruction de supports de données (recommandation n°3 du 11 décembre 2020). Elle est consacrée au nettoyage et à la destruction de supports d'information (disquettes, clés USB, PC, etc.). Ce document a pour objet de permettre aux responsables du traitement de mieux prévenir la divulgation non autorisée des données contenues sur ces supports, notamment lors de leur vente, don ou évacuation et donc d’assurer plus efficacement la confidentialité de ces données. Très complète, elle aborde à la fois les aspects légaux, techniques et organisationnels liés au nettoyage des données.