La loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après la "LCA") décrit le Service d'Inspection de manière plutôt sommaire comme étant "l'organe d'enquête de l'Autorité de protection des données". Concrètement, cela signifie que le Service d'Inspection est chargé d'examiner les plaintes ayant pour objet une violation de la législation européenne et belge en matière de protection des données, dont le Règlement général sur la protection des données (ci-après le "RGPD"), ainsi que les indices sérieux d'une telle violation.

Le Service d'Inspection est dirigé par l'inspecteur Général Peter Van den Eynde et est composé d'inspecteurs. Les inspecteurs ont différents  profils (auditeurs, experts en sécurité de l'information et juristes), de manière à garantir une approche pluridisciplinaire. Cela permet d'analyser les aspects à la fois techniques, organisationnels et juridiques. En moyenne, un inspecteur avait environ 20 dossiers sous sa responsabilité en 2021. Par rapport à l'année dernière, ce chiffre reste plus ou moins stable.

Le Service d'Inspection exerce ses activités de contrôle de manière indépendante, planifiée, efficace et discrète. Pour ce faire, il réalise un monitoring (non) périodique ainsi que des missions d'inspection au sujet de traitements (inter)nationaux dans le secteur public et privé, en tenant compte des risques pertinents, en vertu du RGPD et des législations et réglementations connexes concernant la protection des données (par exemple la législation relative aux caméras).

Le Service d'Inspection dispose d'un arsenal étendu de possibilités d'enquête. Pour analyser un dossier, l'Inspecteur général et les inspecteurs peuvent, s'ils l'estiment nécessaire et conformément à la LCA :

  • identifier des personnes ;
  • auditionner des personnes ;
  • mener une enquête écrite ;
  • procéder à des examens sur place ;
  • consulter des systèmes informatiques et copier les données qu'ils contiennent ;
  • accéder à des informations par voie électronique ;
  • saisir ou mettre sous scellés des biens ou des systèmes informatiques ;
  • requérir l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé.

La LCA prévoit différentes manières de faire ouvrir un dossier par le Service d'Inspection. Un dossier peut être ouvert :

  • à l'initiative du Comité de direction lorsqu'il existe des indices sérieux
     d'une infraction, s'il est nécessaire de coopérer avec une autorité de protection des données étrangère ou à la demande d'une instance judiciaire ou d'un organe de contrôle administratif ;
  • à l'initiative de la Chambre Contentieuse si une plainte nécessite une enquête ou si une enquête complémentaire est nécessaire ;
  • à l'initiative du Service d'Inspection lui-même s'il existe des indices sérieux d'une infraction.

L'impact et les défis de la crise Covid

Tout comme en 2020, la situation prolongée du Covid-19 en 2021 (où des mesures publiques telles que le télétravail obligatoire/fortement recommandé et la distanciation sociale ont été imposées afin de lutter contre la pandémie de Covid-19) a contraint le Service d'Inspection à modifier régulièrement certains de ses objectifs formulés précédemment. L'impact de cette crise sanitaire se ressent pour le Service d'inspection à différents niveaux. Ainsi, les actes d'enquête que constituent une visite sur place et/ou une audition semblent avoir un potentiel particulier en termes d'efficacité et de rapidité de l'enquête par rapport à la manière classique de consultation via l'envoi de lettres et d'e-mails.

L'intention était de développer au moins les deux actes d'enquêtes susmentionnés ainsi que d'y recourir davantage.    La situation du Covid-19 et l'obligation générale/la forte recommandation de pratiquer le télétravail en ont toutefois décidé autrement. Organiser une visite sur place et une audition (sur place ou dans les locaux de l'APD) ne semblait pas réaliste dans ce contexte, ni pour les inspecteurs, ni pour la (les) partie(s) concernée(s).

Le Service d'Inspection a également constaté un impact semblable sur ses missions d'audits. Les rapports annuels précédents pointaient déjà la différence d'approche importante entre les missions d'inspection et les missions d'audit (lesquelles ne sont hélas toujours pas mentionnées dans la législation APD, alors qu'elles engendrent une importante charge de travail). Vu l'objectif d'une mission d'audit, le fait que certains aspects du travail d'audit puissent se dérouler physiquement auprès de l'audité en constitue précisément une plus-value, ce qui ne s'est donc pas avéré réaliste en 2021. Dans ce contexte, les missions d'audit tant nationales qu'internationales ont été fortement entravées et mises en veilleuse. Par le passé, il s'est en effet avéré qu'un simple traitement écrit et/ou virtuel de ces audits ne suffisait pas à aboutir à un résultat satisfaisant.

D'autre part, il est clairement apparu qu'en 2021, tous les inspecteurs ont reçu des dossiers liés au Covid-19. L'attention réservée à ces dossiers (en urgence) a parfois eu pour effet qu'en 2021, le Service d'Inspection a dû régulièrement adapter ses priorités et ses objectifs et que les thèmes classiques n'ont pu être traités que dans un second temps. Vu l'actualité et l'impact considérable sur les données à caractère personnel de nombreuses personnes concernées, le Service d'Inspection s'est en effet efforcé de traiter ces dossiers liés au Covid-19 en priorité. Un inconvénient supplémentaire de cet impératif fut l'augmentation du délai de traitement des dossiers par les inspecteurs.  Le Service d'Inspection constate dans ses relations avec les plaignants ou les parties adverses que ces délais (plus) longs sont parfois à l'origine de frustrations. Le Service d'Inspection souligne vouloir éviter de telles situations mais indique qu'avec les moyens limités, la priorité dans les dossiers est déterminée notamment sur la base de l'intérêt social et du nombre de personnes concernées.


Certains aspects de la protection de la vie privée continuent à requérir une attention particulière

A travers différents dossiers, un point d’attention récurrent et central dans la réflexion du Service d’Inspection fut l’obligation de transparence imposée par le RGPD. Différents aspects occupant une position centrale sont liés à l'un des éléments clés du RGPD, à savoir la transparence. Il s'agit d'un des principes dont le respect est crucial pour donner aux personnes concernées le contrôle de leurs données à caractère personnel et permettre une protection effective des données à caractère personnel. L’objectif est de créer ainsi pour les personnes concernées le meilleur environnement de confiance possible pour le traitement de données.

L'augmentation de cette confiance peut être atteinte de plusieurs manières. La désignation et la position du délégué à la protection des données, mieux connu sous le nom de "DPO", en est un exemple. Sur la base d'enquêtes quotidiennes, le Service d'Inspection examine également si nécessaire le rôle du DPO, vu sa fonction clé.   Le Plan Stratégique de l'APD indique par exemple à ce sujet : "Pour l’APD, le DPO est un allié, un ambassadeur, afin d'aider à réaliser la mission de l'APD sur le terrain”.

Il ressort d'un nombre croissant d'enquêtes qu'il existe encore une marge d'amélioration et de précision du fait que le DPO manque souvent de soutien, n'est pas impliqué ou trop tardivement et que ses avis ne sont pas (suffisamment) suivis. On constate souvent que le DPO (pour diverses raisons) ne répond pas aux exigences imposées par le RGPD.

Un autre élément régulièrement repris dans les enquêtes d'inspection concerne ce que l'on appelle les "politiques de confidentialité" ou "déclarations de confidentialité" des responsables du traitement sur leurs sites Internet. Des déclarations de confidentialité transparentes et complètes doivent contribuer à ce que les personnes concernées puissent exercer leurs droits.

Des enquêtes réalisées précédemment ont révélé que des améliorations étaient encore possibles à ce niveau étant donné que les déclarations de confidentialité sont souvent incomplètes et/ou peu claires au sujet de la réalisation de certaines opérations de traitement (par exemple l'outsourcing de services vers des pays en dehors de l'Europe qui ne disposent pas d'une législation adéquate de protection de la vie privée) et sont ainsi susceptibles de générer des attentes faussées chez les personnes concernées.

En ce qui concerne le registre des activités de traitement, le Service d'Inspection constate également que sa disponibilité ou l'exhaustivité et l'exactitude des informations restent problématiques.  La cohérence entre la déclaration de confidentialité et le registre des activités de traitement constitue un repère important pour le Service d'Inspection, Cet exercice est encore parfois trop souvent considéré par le responsable du traitement comme une charge plutôt que comme  un devoir essentiel.

Le marketing direct et toutes les opérations souvent moins visibles qui y sont associées en pratique dans le chef de certains responsables du traitement (commerce de données, cold calling, marketing de rétention, …) nécessitent encore et toujours l'attention de l'APD.

Le Service d'Inspection constate que les plaintes sur ce thème continuent d'affluer et que celles-ci témoignent d'un recours à des techniques rendant l'exercice des droits des personnes concernées moins effectif ou non effectif du fait de la limitation de la large portée du droit d'opposition dans la pratique (par ex. des désinscriptions répétées à des lettres d'information avec une frustration tangible de nombreux plaignants). Dans ce contexte, le manque de transparence dans la manière de travailler de certains intermédiaires est parfois frappant.


Attention pour le fonctionnement interne

Le Service d'Inspection a à nouveau observé en 2021 que la grande majorité des dossiers traités lui parvenaient soit via la Chambre Contentieuse, et ce dans le cadre du traitement des plaintes (demande d'enquête ou d'enquête complémentaire), soit via une saisine par le Comité de direction car certaines pratiques (dont l'APD apprenait l'existence surtout via les médias) amenaient à constater "des indices sérieux de l'existence d'une pratique susceptible de donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la LCA et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel”.

De ces deux options, les demandes de la Chambre Contentieuse constituent la plus fréquente.

Une constatation récurrente à cet égard est que le Service d'Inspection dispose de peu de marge de manœuvre pour intervenir de façon proactive et ouvrir des dossiers d'initiative. Ce dernier point est un élément qui préoccupe à la fois l'Inspecteur général et les inspecteurs. Le Service d'Inspection avait pourtant déclaré clairement par le passé que son intention était de travailler non seulement de manière réactive mais aussi de manière proactive (un aspect qui a jusqu'à présent été relégué au second plan, vu la pression).

Il convient d'observer à cet égard qu'en 2021, le Service d'Inspection et par extension l'APD n'ont à nouveau pas eu l'occasion de se développer de manière significative dans le cadre de leur charge de travail. Cela contraint le Service d'Inspection à faire des choix sur la priorisation des affaires. Vu que le flux entrant de dossiers via le Comité de direction mais surtout via la Chambre Contentieuse demeure important, le Service d'Inspection fait remarquer que développer une politique propre en 2021 n'était pas évident et s'est avéré impossible jusqu'à présent. Néanmoins, la motivation des inspecteurs et la conscience de la valeur ajoutée d'ouvrir des dossiers d'initiative demeurent.

Quoi qu'il en soit, les dossiers sont toujours traités de manière qualitative. Il n'existe en outre pas d'enquête type et les délais de traitement par dossier sont très divers vu la variété de thèmes et leur complexité. Il y a une différence entre les enquêtes qui sont devenues une routine depuis les débuts en 2019 (par ex. les enquêtes relatives aux cookies, la vérification de la déclaration de confidentialité, …) et qui nécessitent dès lors moins de temps que les nouveaux dossiers pour lesquels une expertise doit encore être développée en raison de l'évolution constante de la technologie et des pratiques du marché (par ex. le commerce de données, l'outsourcing, les traitements plus complexes (souvent internationaux) auxquels de nombreux partenaires participent comme le "real time bidding", …).

En 2021, un inspecteur a quitté le service, notamment parce que tous les membres du Service d'Inspection ne peuvent pas encore être engagés de manière structurelle. Cette situation incertaine joue évidemment un rôle dans une telle décision.

2021 a aussi été l'année où la Cour des comptes a réalisé un audit de l'APD. L'une des recommandations spécifiques de cet audit concernait le Service d'Inspection. La Cour des comptes a recommandé que le Service d'Inspection élabore une "charte" afin de permettre au grand public d'apprendre à mieux connaître le service.

Pour l'Inspecteur général et les inspecteurs, il est un fait que le Service d'Inspection est celui qui a le moins de visibilité parmi les services de l'APD.  Ce service doit en effet tenir compte du "secret de l'enquête" ancré dans la législation.

Sur le terrain également ainsi que dans de précédents contacts du Service d'Inspection avec des externes, il est apparu que le rôle du Service d'Inspection n'était pas toujours clair. Le proverbe "on n'aime que ce qu'on connaît" prend en effet ici tout son sens.

Pour toutes les raisons susmentionnées, le Service d'Inspection s'est donc attelé dans le courant de 2021 à rédiger une telle "charte" publique.  Cette charte n'a certainement pas vocation à remplacer la législation en tant que telle.  En outre, il ne faut pas non plus partir du principe que cette charte décrit en détail tous les aspects d'une inspection et du Service d'Inspection proprement dit. Cette charte entend par contre informer le grand public ainsi que toute personne ayant affaire au Service d'Inspection à propos du déroulement concret d'une inspection et des différents actes d'enquête éventuels du Service d'Inspection ainsi que  leurs conséquences ultérieures. Pour ces raisons, cette charte est publiée en toute transparence sur le site Internet de l'APD et le texte peut être consulté via le lien suivant : https://www.autoriteprotectiondonnees.be/publications/charte-du-service-d-inspection.pdf.  

Il est important de souligner le caractère évolutif de la charte, en fonction notamment du développement futur du Service d'Inspection et du recours aux diverses possibilités d'enquête.  Des mises à jour sont dès lors probables.

Un autre élément sur lequel le Service d'Inspection souhaite se concentrer davantage est la prise de mesures provisoires. Vu les moyens limités déjà évoqués (budget et personnel), l'APD et le Service d'Inspection doivent faire des choix et la conséquence en est souvent que les enquêtes de ce dernier (ainsi que la décision subséquente de la Chambre Contentieuse) prennent souvent plus de temps que prévu.  Un acte d'enquête intéressant qui peut permettre de pallier cet inconvénient est la prise de mesures provisoires dans certaines circonstances exceptionnelles et légitimes.

Ces mesures provisoires créent toutefois une charge de travail supplémentaire. C'est en partie pour cette raison, combinée au fait que la législation indique que de telles mesures provisoires ne sont possibles que "s'il convient d'éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable", que le Service d'Inspection recourt à cette possibilité avec parcimonie. En 2001, cette option a à nouveau été utilisée. C'était aussi la première fois qu'un recours était intenté contre une mesure provisoire. Étant donné que la législation n'est pas totalement claire à propos du déroulement exact de la procédure, cette expérience a servi d'apprentissage tant pour le Service d'Inspection que pour la Chambre Contentieuse (qui a traité le recours). Dans ce cas concret, la mesure provisoire a toutefois été confirmée.

En 2021 :

  • 131 nouveaux dossiers ont été soumis au Service d’Inspection par la Chambre Contentieuse. Ces dossiers découlent de plaintes entrantes.
    ​ Parmi les plaintes entrantes, on remarque plusieurs groupes de thèmes d'inspection récurrents concernant :
  • le marketing direct (avec une attention particulière pour la problématique des cookies) ;
  • les plaintes relatives au Covid-19 ;
  • le fonctionnement des villes et des communes ;
  • l'utilisation de caméras et la nouvelle législation relative aux caméras.
  • 6 nouveaux dossiers ont été soumis au Service d'Inspection par le comité de direction, dont une majorité concernait des fuites de données mais aussi le marketing direct et des dossiers relatif au Covid.
  • 5 nouveaux dossiers ont été ouverts d’initiative par le Service d’Inspection :

il s'agissait notamment d'une enquête auprès d'un service public fédéral sur une banque de données à grande échelle ainsi que du dossier relatif au Covid déjà mentionné concernant un réseau hospitalier qui souhaitait vérifier le statut vaccinal à l'embauche.

En 2021, ce sont surtout des dossiers nationaux qui ont été traités. En raison de la pandémie de Covid-19, les actes d'enquêtes impliquant un contact physique et les voyages ont à nouveau été limités, avec pour effet que les activités d'audit ont été temporairement mises sur "pause" et/ou réglées à distance, dans la mesure du possible. Une mission d'audit a néanmoins été entamée à propos d'un service public fédéral et de son architecture de données dans le cadre du contentieux Schengen, en commençant par une visite dans plusieurs data centers concernés en Belgique.

Par ailleurs, plusieurs missions ad hoc ont également été menées en 2021 concernant la participation à des groupes de travail internationaux relatifs à des traitements pour VIS et Eurodac et l'élaboration de méthodologies d'audit et d'inspection.

Au terme de l’enquête, l’inspecteur concerné établit en concertation avec l’Inspecteur général un rapport qui est joint au dossier. Outre les possibilités d’enquête utilisées, le rapport mentionne les constatations du Service d’Inspection et la décision de l’Inspecteur général.

Compte tenu des constatations mentionnées, l’Inspecteur général peut prendre une des décisions suivantes :

  • transmettre le dossier au président de la Chambre Contentieuse ;
  • transmettre le dossier au procureur du Roi lorsque les faits peuvent constituer une infraction pénale ;
  • classer le dossier sans suite ;
  • transmettre le dossier à une autorité de protection des données d'un autre État.

Sur le plan technique, plusieurs dossiers d’enquête ont été finalisés en 2021 et transmis à la Chambre Contentieuse pour suite utile. On peut retrouver le résultat de ces enquêtes dans les informations sur le fonctionnement de la Chambre Contentieuse et sur le site Internet de l’APD. Durant la phase d'enquête, le secret de l'enquête s'applique, ce qui explique donc pourquoi de manière générale, le Service d'Inspection a peu ou n'a pas la possibilité de communiquer à propos des dossiers en cours.

Pendant son enquête, le Service d'Inspection continue à recevoir diverses questions des parties concernées (plaignants et avocats). Ces questions concernent le statut et/ou le déroulement d'une enquête, une demande de concertation pendant la durée de l'enquête, la remise en question de la possibilité - pourtant prévue dans la LCA - pour le Service d'Inspection d'approfondir l'enquête au-delà du cadre de la plainte. En réponse à ces diverses questions, le Service d'Inspection a dû se référer à plusieurs reprises à l'article 64 de la LCA qui prévoit que l'enquête d'inspection est secrète jusqu'au moment où l'Inspecteur général dépose son rapport auprès de la Chambre Contentieuse. Afin de répondre à certaines de ces questions et comme cela a déjà été mentionné, une charte publique du Service d'Inspection a dès lors été créée.


Réalisations en chiffres

Le Service d'Inspection réalise des inspections de sa propre initiative, sur demande de la Chambre Contentieuse ou du Comité de direction. Certaines inspections nécessitent un long délai d'exécution. En 2021, 73 inspections ont été clôturées. Dans 4 cas, le Service d'Inspection a décidé de procéder à un classement sans suite.

Le Service d'Inspection a également imposé une mesure provisoire dans un cas en 2021.

Le tableau ci-dessous indique notamment le flux entrant de dossiers au Service d'Inspection ainsi que les dossiers en cours.

Totalité des dossiers   Saisine     Résultat     Taal   Samenwerking  
  ChC DIRCO INS Clôturés Classement sans suite En cours FR NL Niveau international COC
2018 70 67 2 1 68 29 2 20 50 12 1
2019 86 67 11 8 83 11 3 33 53 13 2
2020 152 127 17 8 113

17

39 74 78 7 0
2021 142 131 6 5 73 4 69 60 82 5 0
Total 450 392 36 22 337 61 113 187 263 37 3