Le Secrétariat Général a un double rôle au sein de l'APD. Il exécute non seulement plusieurs tâches de support horizontales (comme notamment 1° la gestion des demandes en matière de ressources humaines, de budget et d’informatique ; 2° la gestion de toute matière juridique concernant la gestion et le fonctionnement de l’APD ; et 3° la gestion de la communication interne et externe), mais il a aussi plusieurs tâches exécutives importantes, comme notamment :

  • surveiller les développements sociétaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel ;
  • émettre des  avis aux  responsables  de  traitements  dans  le  cadre  d’analyses d’impact relatives à la protection des données ;
  • approuver les codes de conduite (y compris procéder à l'agrément d'un organisme chargé du suivi des codes de conduite) ;
  • promouvoir l'introduction de mécanismes de certification et approuver les critères de certification ;
  • approuver  les  clauses  contractuelles  types  et  les  règles  d'entreprises contraignantes.

Pour l’année 2021, le Secrétariat Général aimerait mettre les réalisations suivantes en avant :


Codes de conduite

En 2021, l'APD a publié un dossier thématique détaillé sur son site Internet afin d'informer au mieux les organisations professionnelles et les associations (i) des avantages de la rédaction d'un code de conduite et (ii) de la manière dont les codes de conduite doivent être introduits ( y compris les modalités d’approbation).

Cette année, l'APD a récolté les premiers fruits de ces efforts continus et d'autres efforts  réalisés pour encourager et soutenir la rédaction de codes de conduite nationaux et internationaux (OOSG1.2 dans le Plan de gestion 2021). Ainsi, tant les responsables du traitement, les sous-traitants que les personnes concernées ont été informés plus clairement quant à la manière dont le RGPD est appliqué dans des situations concrètes.

Le 8 avril 2021, le Secrétariat Général a approuvé le premier code de conduite national. Celui-ci contient différentes obligations pour les notaires, et précise les dispositions du RGPD à leur égard. La Chambre nationale des notaires est responsable du contrôle du respect de ces règles.

L'APD s'est ensuite à nouveau profilée comme une véritable pionnière. Le 20 mai 2021, elle a en effet décidé – en tant que premier contrôleur européen, après une collaboration internationale intensive (OOSG5.3 du Plan de gestion 2021) – d'approuver un code de conduite transnational. Le "EU Cloud CoC", un code de conduite européen pour le cloud, donne une interprétation harmonisée des dispositions du RGPD pour le secteur du cloud au sein de l'Union européenne. L'APD a d'ailleurs publié aussi le même jour la décision d'accréditation par laquelle l'organisation SCOPE Europe contrôlera le respect du code de conduite en tant qu'organe de supervision.Tout au long de la procédure, l'APD s'est tenue aux côtés des rédacteurs pour les assister et les conseiller (voir également OOSG4.3 du Plan de gestion 2021), afin de mettre en place des codes de conduite de qualité.


Certification

L’APD encourage la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le RGPD.

En Belgique, ces certifications doivent être délivrées par des organismes de certification accrédités par l’organisme national d’accréditation (en Belgique : BELAC) conformément à la norme EN-ISO/IEC 17065 et aux exigences supplémentaires établies par l'autorité de contrôle tel que prévu à l’article 43.3 du RGPD.

En 2021, l’APD a donc rédigé un projet d’exigences supplémentaires pour l’agrément des organismes de certification qui a fait l’objet d’un avis 35/2021 de l’EDPB. Cet avis contenait une série de propositions de modification. L’APD a  accueilli positivement l’avis de l’EDPB et a ensuite communiqué une version amendée de son projet à l’EDPB.

Par ailleurs, l’APD suit activement les discussions qui se déroulent au sein l’EDPB sur les critères de certification et mettra dès que possible en place une procédure pour l’approbation des critères de certification.


Traitement des fuites de données

En 2021 également, le traitement de fuites de données a constitué un point d'attention important pour l'APD. L'accélération de la numérisation, la généralisation du télétravail, notre frénésie d'achats en ligne et le traitement croissant de toute une série de transactions via Internet sont autant de facteurs qui augmentent également le risque de fuites de données (significatives). Pour y faire face, l'APD a aussi fait preuve d'une plus grande proactivité, par exemple au niveau de la détection de fuites de données potentiellement non notifiées.  Des informations ont ainsi été réclamées d'initiative au sujet d'une fuite potentielle au niveau de l'outil de réservation en ligne bruxellois pour la vaccination (Bruvax).

En outre, l'APD a contribué aux  nouvelles lignes directrices pratiques européennes avec des exemples de fuites de données. Ces recommandations claires, ciblées et pertinentes servent de matériel de référence pour les responsables du traitement et leurs délégués à la protection des données. Une attention a également été portée à d'éventuels risques de sécurité qui peuvent engendrer des fuites de données :

Par toutes ces initiatives, l'APD a exécuté le premier objectif de son Plan Stratégique ("Une meilleure protection des données grâce à la sensibilisation") ainsi que le cinquième objectif ("Une meilleure protection des données avec l’APD comme leader/guide et centre de référence").


Transferts internationaux

Plusieurs développements importants ont eu lieu sur le plan des transferts internationaux de données durant l’année 2021.

Afin d’aider les responsables du traitement et les sous-traitants de l’Union européenne à (1) déterminer si une opération de traitement constitue un transfert international et à (2) fournir une interprétation commune de la notion de transferts internationaux, l’APD a contribué au sein de l’EDPB à la publication des lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et le Chapitre V du RGPD.

L’APD a contribué à l’adoption des recommandations 01/2020 de l’EDPB sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE (adoptées le 18 juin 2021). Ces recommandations visent à aider les exportateurs de données à identifier les situations dans lesquelles les garanties offertes par les outils de transfert de l’article 46 du RGPD pourraient être compromises par le cadre juridique ou les pratiques du pays tiers et les aident à déterminer, le cas échéant, quelles sont les mesures supplémentaires à mettre en place.

La Commission européenne a adopté des décisions relatives à l'adéquation du niveau de protection des données au Royaume-Uni et en République de Corée, pour lesquels l’EDPB a été consultée et a rendu des avis.

La Commission européenne a également publié ses nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, tel que prévu à l’article 46(2)(c) du RGPD. Ces clauses contractuelles types actualisées remplacent les anciennes clauses adoptées sous la directive 95/46/CE.

L’APD a régulièrement mis à jour son dossier thématique « Flux internationaux de données » sur son site internet afin de fournir aux responsables du traitement et aux sous-traitants une information complète et actualisée sur le sujet. L’APD a également assisté les responsables du traitement et sous-traitant dans la mise en place et l’adoption d’outils de transfert. Dans ce cadre, le Secrétariat général a approuvé six règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63 du RGPD et a adopté une décision d’autorisation d’un arrangement administratif entre le « Public  Company Accounting  Oversight  Board »  (« PCOAB ») et le  « College  van  Toezicht  op  de  Bedrijfsrevisoren/Collège  de Supervision  des  Réviseurs  d’Entreprise »  (« CTR-CSR ») qui encadre les transferts de données personnelles du CTR-CSR vers le PCOAB conformément à l’article 46(3)(b) du RGPD.


Réalisations en chiffres

En 2021, le Secrétariat Général a clôturé 29 dossiers de monitoring. Dans 2 cas, ces dossiers de monitoring ont ensuite été transmis par le Comité de direction au Service d'Inspection de l'APD pour traitement ultérieur.

Type de dossier Résultat Nombre

Monitoring

Transmis au Service d’Inspection via le Comité de direction 2
  Clôturé après traitement au sein du Secrétariat Général 27
Total   29

En 2021, le Secrétariat Général a traité 20 dossiers d'approbation. Dans 13 cas, le Secrétariat Général a émis un avis ou une approbation.

Type de dossier Résultat Nombre

BCR

(binding corporate rules)

Traitement arrêté (par le demandeur)

1
Approuvé 9
AIPD (analyse d'impact relative à la protection des données Avis rendu 4
Traitement arrêté (par le demandeur) 2
Dossier non recevable 2
Code de conduite Traitement arrêté (par le demandeur) 2
Total   20

En 2021, le Secrétariat Général a traité 1756 dossiers de fuites de données. Dans 2 cas, ces dossiers de fuites de données ont ensuite été transmis par le Comité de direction au Service d'Inspection de l'APD pour traitement ultérieur.

Type de dossier Résultat Nombre
Fuite de données notifiée par le responsable du traitement Transmis au Service d'Inspection via le Comité de direction 1
Annulation de la notification de la fuite de données 25
Pas de violation constatée suite au contrôle 1729
Dossier de fuite de données à l'initiative du Secrétariat Général Transmis au Service d'Inspection via le Comité de direction 1
Total   1756