Portrait de David Stevens le président de l'APD

Avant-propos

Réfléchir avant d’agir : l’analyse d’impact relative à la protection des données

Comme la vie quotidienne de la plupart d’entre nous, 2021 a été placée pour l’Autorité sous le signe de la lutte contre le COVID ou du moins de la protection de notre vie privée dans ce cadre. Alors qu'en début d'année, la Chambre Contentieuse annonçait ses premières décisions (concernant encore à cette époque notamment la vidéosurveillance à la côte), nous sommes intervenus d'initiative en fin d’année dans le cadre de potentielles fuites de données au sein de la plateforme Bruvax ou encore concernant la validation et la lecture des Covid Safe Tickets via l’application CovidScan. Par cette attitude proactive, l’APD entend non seulement mieux protéger les citoyens mais aussi inciter les responsables de traitements à effectuer une analyse approfondie de leurs projets avant d’entreprendre un traitement de données risqué. Dans de très nombreux cas, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est d’ailleurs obligatoire. Il s’agit dès lors d’un des documents que l’APD réclame presque systématiquement dans le cadre de ses contrôles pour avoir une meilleure idée du caractère problématique ou non de certains traitements de données. Mieux vaut réfléchir avant d’agir !

En 2021, l’APD a produit des décisions de fond bien respectées. La qualité du travail du Service d’Inspection (concernant un réseau hospitalier qui réclamait le statut vaccinal des candidats) a été confirmée en appel par la Chambre Contentieuse. La Cour de justice nous a aussi donné raison (du moins partiellement) quant au fait que des circonstances exceptionnelles peuvent justifier qu'en tant qu’autorité de contrôle, nous intervenons à l’encontre d’un responsable du traitement pour lequel nous ne sommes pourtant pas l’autorité chef de file dans un contexte européen.

2021 n’a pas uniquement été placée sous le signe du COVID ou de la répression. Comme annoncé dans son Plan Stratégique 2020-2025 et dans les plans de gestion y afférents, l’APD a également continué à développer et à élaborer de nouveaux instruments de contrôle. Ainsi, peu avant le troisième anniversaire de l’entrée en vigueur du RGPD (le 20 mai 2021), l’APD a approuvé à l’unanimité de l’ensemble des 26 homologues contrôleurs européens, le tout premier code de conduite transnational. L’ "EU Cloud CoC" regroupe les bonnes pratiques en matière de protection des données pour les cloud service providers (fournisseurs de services dans le cloud) afin de contribuer à une meilleure protection de tous les citoyens européens.

Outre la répression et de nouveaux instruments de contrôle, notre Centre de Connaissances a également émis au cours de l’année 2021 249 avis sur des législations et des réglementations, et le Service de Première Ligne a traité 3.735 demandes d’information, 116 demandes de médiation et 1.928 plaintes de citoyens ou de responsables du traitement.

En dépit de circonstances parfois difficiles en 2021, tous les collaborateurs ont continué à donner le meilleur d’eux-mêmes en vue de rendre le meilleur service possible à toutes les parties prenantes. Au nom de l’ensemble du Comité de direction, j’aimerais à nouveau les en remercier chaleureusement.

Les réalisations de l’APD relatées dans le présent Rapport annuel reflètent pour partie les contributions de directeurs ayant quitté l’APD, et dont le crédit leur revient également.

Cédrine Morlière
Présidente