Le Secrétariat Général a un double rôle au sein de l'APD.

D'une part, il réalise plusieurs tâches horizontales, comme :

  • gérer les services d'appui de l'APD (informatique, comptabilité, RH, DPO, accueil et service de traduction) ;
  • gérer la communication interne et externe ;
  • soutenir la présidente et le Comité de direction dans l'exécution de leurs tâches.

D'autre part, le Secrétariat Général a également plusieurs tâches de fond, comme :

  • surveiller les développements sociétaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel ;
  • approuver les codes de conduite ;
  • approuver les clauses contractuelles types et les règles d'entreprises contraignantes ;
  • traiter les violations de données (selon une méthodologie revue en 2023 par le Comité de direction).

Pour 2022, le Secrétariat Général souhaite mettre les réalisations suivantes en lumière


Transferts internationaux

Le Secrétariat Général participe activement aux travaux de l’EDPB sur le thème des transferts internationaux de données à caractère personnel.

Plusieurs lignes directrices et recommandations importantes relatives aux transferts de données ont été adoptées par l’EDPB en 2022. En ce qui concerne les règles d’entreprise contraignantes pour responsable du traitement (désignées par l’acronyme anglais « BCR-C »), l’EDPB a publié les Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR), qui ont fait l’objet d’une consultation publique. Une fois le texte final adopté, ces recommandations remplaceront le WP256 rev.01 (le « référentiel BCR-C ») et le WP264 (le document contenant le formulaire d’application standard pour les BCR-C). Ce document contient en outre les accords trouvés dans le cadre des procédures d’approbation des BCR-C depuis l'entrée en vigueur du RGPD, ainsi que les exigences du jugement « Schrems II » de la CJUE. Le Secrétariat Général a activement participé aux discussions sur ce texte et a communiqué sur cette publication via sa newsletter.

L’EDPB a en outre publié les lignes directrices 4/2021 sur les codes de conduite en tant qu’outils pour les transferts, un nouvel outil de transfert de données introduit par le RGPD.

Le Secrétariat Général a reçu plusieurs nouvelles demandes d’approbation de BCR en 2022 et a examiné des BCR en tant qu’autorité de co-révision et dans le cadre de la procédure de coopération.

Le Secrétariat Général a également participé à un workshop sur les BCR avec toutes les autres autorités de contrôle membres de l’EDPB afin d’échanger des bonnes pratiques et de rationaliser les procédures d’approbation des BCR.Les anciennes clauses contractuelles types de la Commission européenne adoptées sous la directive 95/46/CE devaient être mises à jour avant le 27 décembre 2022. Le Secrétariat Général s’est assuré d’informer les responsables du traitement et les sous-traitants de cette date clé via sa newsletter.


Action coordonnée 2022 de l’EDPB

L’APD a participé à la première action coordonnée annuelle du Comité européen de la protection des données (souvent désigné par l’acronyme anglais, « EDPB »). La première édition de cette action qui s’est déroulée dans le cadre du « Coordinated Enforcement Framework » de l’EDPB portait sur l'utilisation de services cloud par le secteur public.

Au total, 22 autorités de contrôle nationales de l'EEE ont lancé des enquêtes sur cette thématique sur base d’un questionnaire élaboré par les autorités participant à l’action.  Plus de 80 organismes publiques ont été contactés dans l'EEE, dont des institutions européennes, couvrant un large éventail de secteurs (tels que la santé, la finance, la fiscalité, l'éducation, les centrales d'achats ou les fournisseurs de services informatiques).

Pour sa part, l'APD a décidé de procéder à un exercice de récolte d’informations en envoyant un questionnaire à deux types d'organisations. Afin d'avoir une vue d'ensemble de l'utilisation des services basés sur le cloud par le secteur public en Belgique, le questionnaire a été envoyé à deux importants fournisseurs ICT d'organisations publiques. Le questionnaire a en outre été envoyé à 6 organismes publiques qui traitent de grands volumes de données de santé et qui ont joué un rôle crucial dans le contexte de la crise du COVID-19.

Les résultats des enquêtes ont été analysés de manière coordonnée et l'EDPB a publié un rapport sur les résultats de cette analyse. L’APD a quant à elle envoyé des courriers aux organismes publics visés par l’action afin de permettre aux parties prenantes de procéder à une auto-évaluation et de prendre les mesures nécessaires pour se conformer à leurs obligations en matière de protection des données et, éventuellement, de renégocier les conditions avec les fournisseurs de services cloud.L’EDPB a décidé du thème de l’action coordonnée qui se déroulera tout au long de l’année 2023 : la désignation et le rôle du délégué à la protection des données (souvent désigné par l’acronyme anglais, « DPO »). L’APD va participer à cette deuxième action coordonnée de l’EDPB.

 

Traitement des violations de données

L’année 2022 semble avoir été celle des attaques de ransomware, surtout au niveau des villes et communes belges. Ce constat doit toutefois être quelque peu nuancé. Sur les 1.426 nouveaux dossiers de violation de données ouverts en 2022, on en dénombre 361 pour le hacking, le phishing et les malwares. Sur ces 361 notifications, 135 (soit 37 %) pouvaient être qualifiées d'attaques de ransomware et dans ce groupe, 8 % concernaient des villes et communes belges. Un pourcentage similaire concernait des hôpitaux et/ou centres de soins résidentiels belges. La toute grande majorité des incidents de ransomware notifiés se situe donc au niveau d'acteurs privés.

Il n'empêche que les cyberattaques sous forme de ransomware ont un impact important sur les droits et libertés des personnes physiques. L'APD recommande dès lors à tous les responsables du traitement de prendre des mesures afin de faire face à ce risque. Dans sa lettre d'information, l'APD a formulé plusieurs recommandations, comme la tenue à jour de la banque de données de logiciels et la vérification de vulnérabilités potentielles dans ces logiciels.

Les attaques de ransomware sont en outre généralement la conséquence d'attaques de phishing perpétrées précédemment, lors desquelles les identifiants de connexion sont subtilisés, généralement par e-mail. Pour ce risque aussi, l'APD a donné quelques astuces utiles dans ses lettres d'information. Elle recommande notamment l'utilisation de l'authentification multifacteurs (Multi Factor Authentication, MFA), de mots de passe forts, la modification périodique des mots de passe et l'obligation (technique) de modifier ces mots de passe. De plus, l'APD a attiré l'attention sur l'utilisation correcte des champs CC et CCI dans les e-mails ainsi que sur l’existence d'un incident response plan testé périodiquement.

L'APD a également été co-rapporteur dans le cadre de la mise à jour ciblée des Lignes directrices sur la notification de violations de données qui a fait l'objet d'une consultation publique en octobre 2022.

Par ces initiatives, l'APD a exécuté le premier objectif de son Plan Stratégique ("Une meilleure protection des données grâce à la sensibilisation"), le troisième objectif ("Une meilleure protection des données grâce à l'identification des évolutions et aux réponses adéquates à y apporter") ainsi que le cinquième objectif ("Une meilleure protection des données avec l’APD comme leader/guide et centre de référence").

 

Codes de conduite

L'APD a également travaillé cette année sur plusieurs codes de conduite internationaux. À cette occasion, elle a organisé une "code session", lors de laquelle certains points de vue essentiels - dans le cadre de la phase informelle de cette procédure – ont été abordés avec d'autres contrôleurs européens (voir la section 8.5 des Lignes directrices 1/2019 et le document de l'EDPB relatif aux "code sessions" informelles). De cette manière, l'Autorité de protection des données tente de promouvoir, entre autres, la coopération et l'échange bilatéral et multilatéral effectif d'informations et de bonnes pratiques entre les autorités de contrôle (voir également l'article 70, paragraphe 1, u) du RGPD.

 

Session d'information Microsoft 365 dans les SPF

Le Secrétariat Général a réalisé, de concert avec le DPO de l'APD, une analyse des risques en matière de protection des données concernant l'utilisation des applications Microsoft 365 for enterprise. L'APD a réalisé cette analyse en sa qualité de responsable du traitement (et donc pas en sa qualité de contrôleur).

Une session d'information a été organisée par l'APD pour les responsables ICT, les DPO, les CISO et autres profils similaires intéressés des institutions publiques fédérales et des institutions fédérales de la sécurité sociale, et ce afin de les informer quant à plusieurs enseignements et expériences découlant de l'analyse précitée. D'autres organisations, souvent dans le domaine de la protection des données, mettent aussi dans certains cas les enseignements et expériences résultant de leur propre analyse des risques en matière de protection des données à disposition du grand public, parfois sous la forme d'une ‘AIPD publique’.


Réalisations en chiffres

En 2022, le Secrétariat Général a traité 25 dossiers d'approbation.

Type de dossier Résultat Nombre
Règlement administratif Approuvé 2
Total règlements administratifs 2

BCR (binding corporate rules)

 

Approuvé 5
Information communiquée 1
Traitement arrêté (par le demandeur) 3
Total BCR 9
AIPD
(analyse d'impact relative à la protection des données)
Avis rendu 1
Information communiquée 3
Dossier non recevable 2
APD non compétente 1
Total AIPD 7
Code de conduite Approuvé 4
Traitement au niveau européen 1
Traitement arrêté (par le demandeur) 2
Total codes de conduite 7
Total   25

En 2022, le Secrétariat Général a traité 1.378 dossiers concernant des violations de données. Suite à 101 notifications, le Secrétariat Général a contacté le responsable du traitement des données et en a assuré le suivi. Dans certains cas, ces dossiers ont été mis à l'ordre du jour du Comité de direction et, suite à cela, 2 dossiers ont été transférés au Service d’Inspection de l’APD.

Type de dossier Résultat Nombre
Violation de données notifiée par le responsable du traitement Annulation de la notification 22
Pas de violation grave constatée suite au contrôle de la notification 1250
Pas de violation grave constatée suite au contrôle de la notification et prise de contact avec le responsable du traitement 101
Dossier de violation de données à l'initiative du Secrétariat Général Transmis au Service d’Inspection via le Comité de direction 2
Pas de violation grave constatée 3
Total   1378