La loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après la "LCA") décrit le Service d'Inspection de manière plutôt sommaire comme étant "l'organe d'enquête de l'Autorité de protection des données". Concrètement, cela signifie que le Service d'Inspection est chargé d'examiner les plaintes ayant pour objet une violation de la législation européenne et belge en matière de protection des données, dont le Règlement général sur la protection des données (ci-après le "RGPD"), ainsi que les indices sérieux d'une telle violation.

Le Service d'Inspection est dirigé par l'Inspecteur Général, Peter Van den Eynde. Il se compose d'inspecteurs et bénéficie de l'appui d'un secrétariat. Les inspecteurs ont différents profils (auditeurs, experts en sécurité de l'information et juristes), de manière à garantir une approche pluridisciplinaire. Cela permet d'analyser les aspects à la fois techniques, organisationnels et juridiques. Un inspecteur gère en moyenne 17 dossiers. La diminution par rapport à l'année précédente s'explique par le fait que d'une part, quelques missions d'audit et/ou de surveillance (inter)nationales ont été annulées ou mises en attente en raison de la crise du Covid-19 et d'autre part, que le Service d'Inspection a également accueilli 2 nouveaux inspecteurs en 2020 et que les dossiers entrants ont donc pu être répartis entre plusieurs personnes.

Le Service d'Inspection exerce ses activités de contrôle de manière indépendante, planifiée, efficace et discrète. Pour ce faire, il réalise un monitoring (non) périodique ainsi que des missions d'inspection au sujet de traitements (inter)nationaux dans le secteur public et privé, en tenant compte des risques pertinents, en vertu du RGPD et des législations et réglementations connexes concernant la protection des données (par exemple la législation relative aux caméras).

Le Service d'Inspection dispose d'un arsenal étendu de possibilités d'enquête. Pour analyser un dossier, l'Inspecteur général et les inspecteurs peuvent, s'ils l'estiment nécessaire et conformément à la LCA :

  • identifier des personnes ;
  • auditionner des personnes ;
  • mener une enquête écrite ;
  • procéder à des examens sur place ;
  • consulter des systèmes informatiques et copier les données qu'ils contiennent ;
  • accéder à des informations par voie électronique ;
  • saisir ou mettre sous scellés des biens ou des systèmes informatiques ;
  • requérir l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé.

La LCA prévoit différentes manières de faire ouvrir un dossier par le Service d'Inspection. Un dossier peut être ouvert :

  • à l'initiative du Comité de direction lorsqu'il existe des indices sérieux
     d'une infraction, s'il est nécessaire de coopérer avec une autorité de protection des données étrangère ou à la demande d'une instance judiciaire ou d'un organe de contrôle administratif ;
  • à l'initiative de la Chambre Contentieuse si une plainte nécessite une enquête ou si une enquête complémentaire est nécessaire ;
  • à l'initiative du Service d'Inspection lui-même s'il existe des indices sérieux d'une infraction.
 

L'importance croissante des dossiers d'audit

Le rapport annuel précédent pointait déjà la différence importante entre les tâches d'inspection et les tâches d'audit du Service d'Inspection.

Outre sa mission d'inspection générale, le Service d'Inspection a en effet aussi une mission d'audit spécifique. Cet aspect n'est pas mis en avant dans la loi APD, mais découle directement de la législation européenne. Il est toutefois important de souligner à nouveau que ces audits génèrent une charge de travail importante et que le Service d'Inspection doit donc répartir ses moyens de fonctionnement entre inspections et audits. À cet égard, il suffit de mentionner la différence d'approche entre une inspection et un audit. L'audit doit en effet être considéré comme étant à la fois un contrôle mais aussi un coaching/une sensibilisation par une mise en lumière des points problématiques d'un processus et ce, élément important, en concertation avec le responsable du traitement proprement dit. L'audit est donc en fait (pour simplifier) une approche un peu plus souple qu'une inspection.

Cette mission d’audit se compose d'une part d'une mission d'audit nationale qui s'inscrit dans le cadre d'un contrôle quadriennal de plusieurs services publics et d'autre part d'une mission d'audit internationale (principalement un contrôle sur site des États membres faisant partie de la zone Schengen). Dans ce cadre, la Belgique a fait l'objet d'un audit en 2020 par la Commission européenne et quelques États membres (sélectionnés). Prévu initialement en avril, cet audit a finalement été reporté à la fin de l'année en raison de la crise du Covid-19. Étant donné qu'à ce moment, la crise du Covid-19 était toujours d'actualité, une nouvelle formule a dû être trouvée vu que dans de telles circonstances, il était difficile de réaliser un audit sur place. Il a finalement été décidé d'auditer la Belgique (parmi les premiers pays) de façon virtuelle, à savoir sur la base d'un questionnaire détaillé complété au préalable et, pendant l'audit proprement dit (qui a duré une petite semaine), au moyen d'une vidéoconférence avec les différentes parties auditées (l'APD, le COC, la police, le SPF Affaires étrangères et l'office des étrangers). Le rapport final suivra en 2021.

Les audits peuvent aussi être réalisés en collaboration avec d'autres organisations. Le Service d'Inspection a ainsi collaboré avec le COC en 2020 (ainsi qu'en 2019 par ailleurs).

Au niveau européen, on attend aussi davantage d'audits :

  • des audits sont prescrits tous les quatre ans dans des règlements européens, visant l'interopérabilité entre les systèmes d'information de l'Union (européenne) dans le domaine des frontières et des visas ainsi que dans le domaine de la coopération policière et judiciaire, l'asile et la migration ;
  • des audits sont prescrits tous les trois ans dans des règlements européens établissant des nouveaux systèmes d'information de l'Union, et ce dans les 3 ans à compter du lancement de leurs opérations : le Système d'Entrée/Sortie (Entry/Exit System, EES), le Système européen d'information et d'autorisation concernant les voyages (European Travel Information and Authorisation System, ETIAS) et le système européen d'information sur les casiers judiciaires (European Criminal Records Information System, ECRIS-TCN). Ces trois systèmes IT devraient être opérationnels en 2022, dans un avenir proche, donc. La Commission européenne veille à ce que les États membres préparent leur système national et l'harmonisent avec le Système d'Entrée/Sortie (EES).Le Comité européen de supervision coordonné (Coordinated Supervision Committee, CSC) créé en 2019 concerne actuellement la surveillance d'IMI, de l'organe européen de coopération judiciaire (Eurojust) et du Ministère public européen (European Public Prosecutor’s Office, EPPO). Au cours des prochaines années, il surveillera aussi progressivement les systèmes d'information de l'Union nouveaux ou existants dans le domaine des frontières, de l'asile, de la migration et de la coopération policière et judiciaire.
 

Attention permanente pour quelques aspects liés à la vie privée

Dans le rapport annuel 2019, le Service d'Inspection indiquait déjà que les inspections en soi ne constituaient pas nécessairement l'objectif principal. L'intention, telle que clairement soulignée aussi dans le Plan stratégique, est d'évoluer vers un meilleur respect et une meilleure compréhension de la réglementation existante. Avec cet objectif à l'esprit, quelques pratiques sont établies et abordées structurellement dans les rapports d'inspection qui sont rédigés.

Le Service d'Inspection constate que généralement, plusieurs de ses constatations sont reprises par la Chambre Contentieuse. La mission centrale du Service d'Inspection consiste à constater les faits et à en établir un rapport. Le traitement ultérieur (l'organisation du débat contradictoire à ce sujet et l'évaluation des suites à donner) incombe à la Chambre Contentieuse.

Dès lors, quelques aspects reviennent régulièrement ou systématiquement dans les rapports du Service d'Inspection. En 2020, le Service d'Inspection s'est concentré par exemple sur le thème du "délégué à la protection des données" ("DPO"). Dans diverses enquêtes, cet acteur clé de la protection des données a fait l'objet d'une analyse détaillée. Dans différents dossiers, le Service d'Inspection a constaté des problèmes quant au fonctionnement du DPO. Le DPO ne fait pas toujours rapport directement au niveau le plus élevé de la hiérarchie, la fonction est souvent combinée avec d'autres fonctions internes (de deuxième ligne) susceptibles de créer des conflits d'intérêts ou d'autres problèmes, le DPO n'étant alors plus en mesure de travailler en toute indépendance. Dans certains dossiers, le Service d'Inspection a en outre constaté que le DPO ne disposait pas des moyens nécessaires à l'exécution de ses tâches.

Le registre des activités de traitement reste également une source de préoccupation. Plusieurs responsables du traitement n'ont pas pu répondre à la demande de transmettre une copie de registre complété intégralement pour les activités de traitement. Il s'agit souvent d'un document de travail incomplet. Il arrive ainsi parfois que certains traitements qui sont constatés dans la pratique n'apparaissent pas dans le registre des activités de traitement ; dans un certain dossier, le Covid-19 a par exemple été évoqué comme raison du caractère incomplet du registre des activités de traitement. Le registre des activités de traitement est donc une obligation importante et un outil qui n'est pourtant pas (encore) pris suffisamment au sérieux par de nombreux responsables du traitement.

Enfin, le Service d'Inspection remarque que la technologie des cookies n'est toujours pas appliquée de manière suffisamment conforme au RGPD et que les responsables du traitement ne savent pas toujours comment agir correctement avec les cookies. Les responsables font souvent appel à un sous-traitant sans disposer eux-mêmes des connaissances nécessaires. Des sites Internet sont ainsi créés sans respecter les exigences de consentement pour les cookies non essentiels, avec des informations lacunaires et non transparentes et en violation de l'obligation de protection des données via le design web. Il est aussi courant de constater qu'un responsable ne peut pas présenter une pondération concrète et correcte des intérêts au lieu d'avancer uniquement un "intérêt légitime" propre. On constate également l'absence de consentement valable. Le Service d'Inspection souligne que lors de la création de sites Internet et de la rédaction de politiques relatives aux cookies, il faut toujours bien réfléchir à la manière dont le site Internet tiendra compte des points d'attention précités, à la manière dont l'éventuelle technologie de cookies sera intégrée, de quelle manière elle sera communiquée en toute transparence à la personne concernée et comment elle sera documentée dans la politique des cookies.Pour tous ces aspects, l'obligation de transparence et d'information est essentielle.


La poursuite du développement du Service d'Inspection

Pour le Service d'Inspection, 2020 a été une année importante, au vu notamment du développement du service. Il a par exemple accueilli 2 inspecteurs supplémentaires. Une personne a également quitté le service. L'effet sur la charge de travail importante n'a donc été que limité. En outre, le Service d'Inspection ne disposait pas encore en 2020 d'un secrétariat propre, même si la loi APD prévoit pourtant un tel secrétariat pour l'exécution de ses missions. Les deux nouveaux inspecteurs n'ont pas (encore) pu être engagés de manière structurelle en 2020 en ce sens qu'ils n'ont pour l'instant pu être recrutés que pour une durée déterminée.

Toutefois, au vu du nombre de plaintes, de demandes d'enquêtes et du contenu des questions parlementaires, le Service d'Inspection remarque que les besoins ainsi que les attentes à son égard sont élevés. Outre le travail quotidien, qui consiste principalement à examiner en détail des dossiers de plainte (transmis par la Chambre Contentieuse) et à assurer le suivi de dossiers que le Comité de direction transmet (en fonction de l'actualité pertinente qui nécessite une analyse approfondie), le Service d'Inspection n'a quasiment pas eu de marge en 2020 pour initier des enquêtes de sa propre initiative. Il avait pourtant déclaré clairement par le passé que son intention était de travailler non seulement de manière réactive mais aussi de manière proactive (un aspect qui a jusqu'à présent été relégué au second plan, vu la pression). Cette approche peut fournir des informations importantes. En 2020, le Service d'Inspection a par exemple assuré le suivi et a clôturé une enquête propre relative à l'utilisation de cookies sur les sites Internet de médias belges les "plus populaires" qui attirent un nombre considérable de visiteurs, ce qui implique le traitement d'un nombre important de données à caractère personnel.

Enfin, le Service d'Inspection s'est également concentré sur la poursuite de l'optimalisation et du développement des différents actes d'enquête qui sont à disposition du service. Une sélection limitée de ce qui est disponible permettra de donner quelques exemples. Ainsi, les actes d'enquête que constituent la visite sur place et l'audition semblent avoir un potentiel particulier en termes d'efficacité et de rapidité de l'enquête par rapport à une consultation par écrit. Le but est donc de recourir encore plus à ces techniques que ce qui était possible en 2020. La pandémie de Covid-19 et l'obligation générale de pratiquer le télétravail a eu un impact significatif sur ces possibilités. Dans ce contexte, les visites sur place et les auditions (sur place ou dans les locaux de l'APD) n'étaient pas évidentes à organiser.

Parmi les évolutions intéressantes à mentionner dans le présent rapport annuel, citons notamment les suivantes :

  • le Service d'Inspection a obtenu un accès opérationnel à quelques banques de données officielles dont par exemple le Registre national et (la partie non publique de) la BCE afin de pouvoir exécuter ses tâches correctement ;
  • des mesures provisoires ont été imposées pour la première fois. Il s'agit d'une mesure qui est appliquée avec prudence étant donné son impact potentiel ;
  • un protocole de coopération a été conclu avec DNS afin de fixer clairement la procédure visant à bloquer l'accès à certains sites Internet portant l'extension.be à titre de mesure provisoire ;
  • un protocole d'accord a été conclu entre les différents contrôleurs fédéraux en matière de protection des données, un protocole qui a également son importance au quotidien pour le Service d'Inspection en raison de la nécessité de coopération ad hoc et structurelle.
Vous trouverez ici un relevé de tous les dossiers traités par le Service d'Inspection depuis 2018 :
Année Totalité des dossiers ChC Dirco INS Clôturés Propre classement sans suite En attente En cours FR NL  
2018 70 67 2 1 45 29 n.a. 25 20 50  
2019 85 67 10 8 61 10 n.a. 25 33 52  
2020 149 123 18 8 61 14 n.a. 88 71 78