Portrait de David Stevens le président de l'APD

Introduction de la Présidente

Introduction de la Présidente

L’année 2022 s’est achevée par l’octroi fin décembre à l’APD d’un budget et d’un cadre renforcés, sur base d’un exercice de défense budgétaire rigoureux, exposant les défis de l’APD dans un environnement légal en profonde mutation, tant au niveau national qu’international.

L’APD doit se préparer à jouer un rôle de régulateur dans le cadre légal multiforme en préparation au niveau européen le « Digital Package ».

  • Ainsi par exemple, le règlement européen Data Governance Act (DGA), adopté en mai 2022 et qui sera applicable dès fin septembre 2023, vise à fluidifier les échanges de données, à travers de nouveaux mécanismes de partage.
  • Le Digital Services Act (DSA), adopté en octobre 2022 et qui sera applicable dès février 2024, comporte entre autres des mesures visant à protéger les citoyens contre la désinformation, ainsi que des dispositions relatives à la publicité ciblée et la transparence des systèmes algorithmiques de recommandations de contenu utilisées par les plateformes numériques
  • Ou encore, en complément du « Digital package », un futur règlement européen en matière d’intelligence artificielle (AI Act) est annoncé, avec pour ambition d’encadrer la conception de produits ou services « AI » et permettre un contrôle des divers risques entrainés par ces technologies.

Ces législations européennes en devenir impacteront les compétences de l’APD ainsi que celles de différents régulateurs (autorités de la concurrence, régulateurs télécoms, etc). Une coopération accrue devra être organisée entre ces autorités et l’APD, notamment dans le cadre de la gestion des plaintes que les citoyens pourraient former sur base de ces nouvelles règles.

A cet égard, l’APD aime souligner qu’en 2022, la Cour de Justice de l’Union européenne a clairement indiqué, à travers les conclusions de son avocat général (conclusions Rantos, C-252/21), que les autorités de protection des données compétentes sont incontournables, en particulier lorsqu’il s’agit de faire aboutir des actions coercitives relatives à un traitement de données personnelles, même lorsque de telles actions légales sont initiées par d’autres autorités.

Cette coopération devra inévitablement avoir lieu au niveau international lorsque des plaintes, produits ou services comportent un aspect transfrontalier. Il y aura lieu d’intégrer dans cette approche une information transparente au citoyen sur le cheminement et l’aboutissement de ses éventuelles plaintes ou questions. À cet égard, l’APD est enthousiaste à l’idée de faire bénéficier ses partenaires belges de son expérience en matière de coopération entre autorités, acquise au sein du Comité européen de protection des données (EDPB).

  • Ainsi par exemple, avant même l’entrée en vigueur du Digital Services Act, la Chambre Contentieuse a traité en collaboration avec son homologue français, la CNIL, plus de 200 plaintes, tant belges que françaises, dans un litige relatif à la transparence de l’information (décision du 27 janvier 2022 dans l’affaire dite ‘Benalla’), après une enquête du Service d’Inspection. A cette occasion, la Chambre Contentieuse a précisé les règles en matière de traitement de données personnelles à des fins statistiques ou scientifiques aux fins de lutte contre des « fake news » présumées. En l’occurrence, le gonflage artificiel d’informations sur Twitter avait été étudié au moyen d’un logiciel de veille décrit comme « intelligent ».

En 2022, l’APD a donc démontré son expertise en vue d’intervenir sous l’angle des règles RGPD dans les futurs débats liés aux traitements de données personnelles régulés par le « Digital Package » ou l’ « AI Act ». Après la récente décision d’interdiction de « Chat GPT » par l’autorité italienne, il est incontestable que les attentes de clarification de la part des citoyens et parties prenantes sont énormes dans ce domaine des algorithmes et de l’intelligence artificielle. Dans l’attente d’un aboutissement de la législation européenne, l’APD est déjà appelée à fournir des avis en la matière.

  • Ainsi par exemple, le Centre de Connaissances s’est exprimé sur des projets normatifs visant à déployer des traitements de données algorithmiques par des autorités publiques, comme par exemple, les projets de coups de sonde automatisés du SPF Finances à des fins de contrôle de fraude au domicile.

Au niveau national belge, en 2022, l’APD est devenue le contrôleur attitré des dispositions relatives aux techniques de traçage en ligne usuellement désignées comme des « cookies », au départ du stockage d’information ou l’obtention d’accès à des informations stockées sur les équipements tels que des ordinateurs ou téléphones portables.

Cette compétence était auparavant en partie logée à l’IBPT. Depuis le 10 janvier 2022, la loi du 21 décembre 2021 portant transposition du Code des communications électroniques européen est entrée en vigueur, offrant à l’APD l’entière compétence pour interpréter ces règles dont les premières décisions de la Chambre Contentieuse en la matière ont démontré la complexité.

En 2022, la Chambre Contentieuse a émis un certain nombre de décisions relatives à l’utilisation des cookies ou technologies similaires. Plusieurs transactions ont été conclues avec des sites web déployant des cookies, sur base de rapports du Service d’Inspection listant des atteintes présumées.

Fin 2022, le Comité de direction a décidé de préciser ses recommandations en matière de cookies, jusqu’à présent affinées essentiellement à travers des rapports d’initiative du Service d’Inspection et/ou des décisions de la Chambre Contentieuse rendues sur base de plaintes. Cette action donnera lieu en 2023 à des clarifications quant aux règles applicables en collaboration avec l’EDPB. L’APD fera le bilan de ces actions dans son rapport annuel 2023.

Dans le cadre des compétences « cookies » de l’APD et de manière générale, le Comité de direction de l’APD a annoncé sa volonté d’accroitre la coordination entre les services attachés aux actions de prévention et ceux dévolus au traitement réactif des plaintes des citoyens.

Cette ambition a été formulée dans le contexte de l’annonce d’une nouvelle loi organique visant à modifier le fonctionnement de l’APD, en ce compris ses processus de traitement des plaintes, à travers un nouveau Règlement d’Ordre Intérieur que l’APD aurait la faculté de proposer en toute autonomie.

Dans l’entretemps, le Comité de direction renouvelé de l’APD s’est concentré sur l’optimalisation de ses processus de traitement des plaintes sous la loi organique actuelle. A titre d’exemple :

  • Le Service d’Inspection a développé un rôle de prévention en veillant à encourager la mise en ordre des contrevenants potentiels dans le cadre de quasi mises en demeure avant de poursuivre la phase contentieuse.
  • La Chambre Contentieuse a quant à elle développé un nouveau mécanisme de transactions en vue de réserver l’escalade contentieuse aux litiges qui requièrent le plus son attention.
  • Fin 2022, le Service de Première Ligne a également lancé une refonte de son formulaire de plaintes, en collaboration avec les autres services, afin d’encourager les plaignants à s’adresser d’abord au responsable du traitement, et, le cas échéant, son Data Protection Officer. Une telle approche vise à favoriser une solution non contentieuse, dans tous les cas où cela est possible et justifié et aboutira à un nouveau formulaire de plaintes online en mars 2023.

En complément de cette attention toute particulière portée au traitement non contentieux des plaintes, en 2022, l’APD a produit des décisions de fond marquantes dans le domaine notamment de la publicité en ligne, plus particulièrement l'enchère instantanée et automatisée en ligne de profils d'utilisateurs pour la vente et l'achat d'espaces publicitaires sur Internet (décision  IAB n°21/2022 de la Chambre Contentieuse faisant actuellement l’objet d’un recours devant la Cour de Justice).

En parallèle des décisions contentieuses, l’APD a lancé en février 2022 une action de sensibilisation et mise en carte de l’utilisation par le secteur public de services basés sur le cloud: deux importants fournisseurs ICT d’organisations publiques et six organismes publics - qui traitent de grands volumes de données de santé et ont notamment joué un rôle crucial dans le contexte de la crise du COVID-19 - ont volontairement participé à cette enquête dont les conclusions seront livrées en 2023 afin d’aboutir à des recommandations de compliance concrètes, en coordination avec l’EDPB.

Au cours de l’année 2022, le Centre de Connaissances de l’APD a également publié 278 avis sur des projets législatifs soumis à son analyse. Le Service de Première Ligne a reçu 2.985 demandes d’information, 177 demandes de médiation et 604 plaintes de citoyens ou de responsables du traitement.

Les réalisations de l’APD relatées dans le présent Rapport annuel reflètent pour partie les contributions de directeurs ayant quitté l’APD, et dont le crédit leur revient également. Le Comité de direction de l'APD a en effet été partiellement renouvelé en juillet 2022 suite à la démission de la précédente directrice du Centre de Connaissances et à la levée des mandats des directeurs du Service de première Ligne et Secrétariat Général. En juillet 2022, Cédrine Morlière a été nommée comme nouvelle directrice du Centre de Connaissances et la Présidence de l’APD lui a été confiée à la suite du précédent Directeur du Secrétariat Général, conformément à l’alternance prévue dans la loi organique du 3 décembre 2017 portant création de l’APD. Le Comité de Direction a assuré collégialement la direction des deux départements pour lesquels une procédure de désignation de deux nouveaux mandataires a été lancée le 27 septembre 2022.

En dépit de circonstances parfois difficiles en 2022, tous les collaborateurs ont continué à se surpasser afin de rendre le meilleur service possible à toutes les parties prenantes. Au nom de l’ensemble du Comité de direction, j’aimerais à nouveau les en remercier chaleureusement.

Pour le Comité de direction

Cédrine Morlière
Présidente