Le Secrétariat Général a un double rôle au sein de l'APD. Il exécute non seulement plusieurs tâches de support horizontales (comme notamment 1° la gestion des demandes en matière de ressources humaines, de budget et d’informatique ; 2° la gestion de toute matière juridique concernant la gestion et le fonctionnement de l’APD ; et 3° la gestion de la communication interne et externe), mais il a aussi plusieurs tâches exécutives importantes, comme notamment :

  • surveiller les développements sociétaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel ;
  • émettre un avis à  un  responsable  du  traitement  dans  le  cadre  d’une  analyse d’impact relative à la protection des données ;
  • approuver les codes de conduite (y compris procéder à l'agrément d'un organisme chargé du suivi des codes de conduite) ;
  • promouvoir l'introduction de mécanismes de certification et approuver les critères de certification ;
  • approuver  les  clauses  contractuelles  types  et  les  règles  d'entreprises contraignantes.

Pour l’année 2020, le Secrétariat Général aimerait mettre les réalisations suivantes en avant :


Analyse d’impact : procédure et formulaire

Avant de lancer un traitement de données à caractère personnel, un responsable du traitement vérifie si celui-ci présente ou non un risque élevé pour les libertés et droits fondamentaux des personnes concernées. Auquel cas, une analyse d’impact sur la protection des données (AIPD) doit être réalisée préalablement au lancement du traitement.

Si malgré l’ensemble des mesures mises en place pour protéger les droits et libertés des personnes concernées, l’AIPD donne pour résultat qu’un haut risque résiduel demeure, le responsable du traitement doit consulter l’APD préalablement au lancement de son traitement. L’AIPD et le cas échéant la consultation préalable sont ainsi des outils de la conformité (accountability) prévus par le RGPD. Afin d’accompagner activement les responsables du traitement dans cette obligation de mise en conformité, l’APD a mis en place des outils à leur disposition sur son site Internet. En plus d’une information détaillée et d’un guide AIPD téléchargeable, un formulaire de consultation préalable a également été mis en place. Les questions qu’il comporte et les différents éléments requis pour l’introduction d’une demande de consultation visent à faciliter les démarches des responsables du traitement dans le cadre de cette consultation mais également, dans le cadre de leur analyse du risque résiduel élevé ainsi que, plus généralement, dans la maîtrise des traitements de données à caractère personnel.


Traitement des fuites de données

En cas de fuite de données importante, les organisations doivent notifier cette fuite dans les 72 heures à l’APD. La notification de fuites de données se fait via un formulaire électronique dont une version simplifiée a été publiée en juillet. Ce nouveau formulaire électronique limite la charge administrative de celui qui réalise la notification et ne contient plus que les champs nécessaires pour l’évaluation de la fuite par l’APD. Le formulaire permet au déclarant de savoir quelles informations il doit fournir et s'inscrit également dans un suivi systématique et efficace des notifications par l'APD. Dans le cadre du contrôle et du suivi des notifications, une attention particulière est notamment accordée aux mesures correctrices appropriées et appliquées en temps utile ainsi qu'à une information correcte et ponctuelle des personnes concernées.
Pour les organisations, l'évaluation d'une fuite de données constitue parfois un vrai défi. C'est pourquoi l’APD a collaboré aux nouvelles lignes directrices du Comité Européen de la protection des données au sujet des notifications de fuites de données. Ces lignes directrices viennent compléter les lignes directrices générales sur les fuites de données. Ces nouvelles lignes directrices indiquent, pour des types de fuites de données très fréquentes, quelles mesures une organisation aurait dû prendre au préalable et quelles mesures l'organisation doit prendre après l'incident. Les organisations disposent ainsi désormais d'un guide supplémentaire en cas de doutes sur la nécessité de notifier une fuite de données à l'Autorité ou d'informer les personnes concernées.


Transferts internationaux

Les transferts internationaux ont été (à nouveau) mis au premier plan lors de l’année 2020. Tant par l’arrêt C-311/18 (connu sous le nom d'arrêt « Schrems II ») que par le Brexit.

Dans l’arrêt « Schrems II », la Cour de justice de l’Union Européenne a invalidé la décision (EU) 2016/1250 de la Commission européenne relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (connue sous le nom de « Privacy Shield ») au motif que l’accès et l’utilisation par les autorités américaines des données transférées depuis l’UE vers les États-Unis dans le cadre des programmes de surveillance ne sont pas limités au strict nécessaire (non-respect du principe de proportionnalité du RGPD). En revanche, la Cour a déclaré valide la décision 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. Cependant, la Cour a précisé que si ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens (notamment en prenant des mesures supplémentaires), l’exportateur établi dans l’UE doit lui-même suspendre ou mettre fin au dit transfert. Si tel n'est pas le cas, les autorités de contrôle nationales doivent le faire si elles l’estiment nécessaire.

Le Royaume-Uni a quitté l’Union Européenne et est donc devenu avec le Brexit un « pays-tiers » depuis le 31 décembre 2020. Un accord de commerce et de coopération conclu entre l’Union européenne et le Royaume-Uni prévoit toutefois que les transferts de données personnelles vers le Royaume-Uni peuvent temporairement continuer à partir de cette date pendant six mois ou moins si la Commission européenne adopte une décision d’adéquation pour le Royaume-Uni.

Par la publication d’informations sur son site Internet, l’accompagnement des acteurs dans le développement et la mise en place d’outils de transfert (règles d’entreprise contraignantes, arrangement administratif, etc.) et une collaboration étroite avec ses homologues européens au sein de l’EDPB, l’APD poursuit sa mission d’appui des autorités publiques et des entreprises afin de faciliter le transfert de données en dehors de l’Union européenne tout en garantissant la protection des droits des personnes concernées.