L'Autorité de protection des données (APD) est l'organe de contrôle indépendant en matière de traitement de données à caractère personnel. Elle a été créée par la loi du 3 décembre 2017 (ci-après : "LCA"). Elle dispose d'un arsenal de possibilités d'action bien plus large que son prédécesseur, la Commission de la protection de la vie privée (la "Commission vie privée"). L’APD est un organisme fédéral doté de la personnalité juridique, institué auprès de la Chambre des représentants.
Compétences de l’APD
La mission générale de l'APD est définie par l'article 4 de la LCA comme étant "le contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel".
L'APD est donc en principe compétente non seulement pour le contrôle du respect du Règlement général sur la protection des données (ci-après : "RGPD") ou de la législation générale relative à la protection des données (comme par exemple la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ci-après : "LTD"), mais elle peut aussi exercer un contrôle du respect d'autres législations et réglementations plus spécifiques comme par exemple la législation relative aux caméras.
La surveillance de l’APD ne porte toutefois pas sur les traitements effectués par les cours et tribunaux ainsi que par le ministère public dans l'exercice de leur fonction juridictionnelle. L'APD n'est pas non plus compétente pour les traitements de données à caractère personnel effectués par les services de police.
L'APD est compétente à l'égard d'acteurs et instances du secteur public et du secteur privé et a la possibilité d'infliger des sanctions administratives de manière autonome.
Composition de l'APD
Selon l'article 7 de la LCA, l'APD est composée d'un Comité de direction, d'un Secrétariat Général, d'un Service de Première Ligne, d'un Centre de Connaissances, d'un Service d'Inspection et d'une Chambre Contentieuse. Tant la Chambre Contentieuse que le Centre de Connaissances comptent également six membres externes qui contribuent avec leur expertise aux travaux et délibérations de ces organes.
Le Comité de direction de l'APD a été partiellement renouvelé en juillet 2022 suite à la démission de la précédente directrice du Centre de Connaissances et à la levée des mandats des directeurs du Service de première Ligne et SecrétariatGénéral. En juillet 2020, Cédrine Morlière a été nommée comme nouvelle directrice du Centre de Connaissances et la Présidence de l’APD lui a été confiée à la suite du précédent Président du Secrétariat Général, conformément à l’alternance prévue dans la loi organique du 3 décembre 2017 portant création de l’APD. Le Comité de direction assure collégialement la direction des deux départements pour lesquels une procédure de désignation de deux nouveaux mandataires a été lancée le 27 septembre 2022.
En 2022 l’APD se composait comme suit :
Comité de direction
- David Stevens
Président jusqu'au 24 avril 2022 et Directeur du Secrétariat Général jusqu’au 20 juillet 2022
- Charlotte Dereppe
Directrice du Service de Première Ligne jusqu’au 20 juillet 2022
- Cédrine Morlière
Présidente et Directeur du Centre de Connaissances, désignée le 18 juillet 2022
- Peter Van den Eynde
Inspecteur Général du Service d’Inspection
- Hielke Hijmans
Président de la Chambre Contentieuse
Centre de Connaissances
Le Centre de Connaissances est composé de six membres et de la Directrice du Centre de Connaissances. En 2022, un certain nombre de postes était vacant et seuls les membres suivants étaient en fonction :
- Yves-Alexandre de Montjoye
- Marie-Hélène Descamps (démission présentée en 2023)
- Bart Preneel
- Frank Robben (démission présentée le 8 février 2022)
- Gert Vermeulen (membre depuis juillet 2022)
- Nathalie Ragheno (membre depuis juillet 2022)
- Griet Verhenneman (membre depuis juillet 2022)
Chambre Contentieuse
La Chambre Contentieuse est composée de six membres et du Président de la Chambre Contentieuse, Hielke Hijmans.
- Yves Poullet
- Romain Robert
- Dirk Van der Kelen
- Jelle Stassijns
- Christophe Boeraeve
- Frank De Smet
Le Comité de direction
Les compétences et activités du Comité de direction sont reprises à l'article 9 de la LCA et englobent, outre l'approbation des comptes annuels, la décision quant au budget annuel, l'organisation interne et la composition interne ainsi que les plans de gestion annuels de l'APD.
Le Comité de direction a également une importante responsabilité opérationnelle dans le domaine de la protection de la vie privée des citoyens, car conformément à l’article 63, 1° de la LCA, il peut décider de saisir le Service d’Inspection s’il constate des indices sérieux de l'existence d'une pratique susceptible de donner lieu à une violation des principes fondamentaux de la protection des données à caractère personnel. En 2022, le Comité de direction a eu recours à cette compétence à 9 reprises.
En 2022, le Comité de direction s’est réuni à 29 reprises.
Collaborateurs et budget
Fin 2022, l'APD comptait 66 collaborateurs, contre 70 à la fin de l'année précédente, soit une diminution de de 5,7 %.
Pour financer son fonctionnement, l’APD a pu disposer en 2022 d’un crédit de fonctionnement s’élevant à 9.993.740,56 EUR (contre 9.535.251,52 EUR en 2021, soit une augmentation de 4,8 %). Les crédits de fonctionnement ont principalement été financés par la dotation proprement dite de 9.328.000 EUR et par les bonis reportés des années précédentes.
Coopération
Coopération au niveau national
L'APD partage des connaissances et des informations avec de nombreux acteurs publics dont les compétences touchent à la protection des données. Elle contribue ainsi également au quatrième objectif de son Plan Stratégique ("Une meilleure protection des données grâce à la coopération").
En voici quelques exemples :
- En 2022, l'APD a de nouveau collaboré avec le SPF Justice pour que ce dernier puisse répondre à des dizaines de questions parlementaires concernant la protection des données. Elle entend ainsi soutenir aussi le travail parlementaire le plus qualitativement et adéquatement possible.
- L'APD a rendu un avis sur le projet de loi modifiant la loi organique de l’APD.
- L'APD collabore régulièrement au niveau fédéral avec plusieurs contrôleurs spécifiques à certains secteurs, notamment l'Organe de contrôle de l’information policière, le Comité R et le Comité P. Le protocole de coopération conclu entre ces derniers sert ainsi de fil conducteur.
Coopération internationale
L’APD entretien de nombreux contacts, formels et informels, avec d’autres autorités de protection des données. Cela lui permet d’échanger des bonnes pratiques et d’améliorer ses procédures internes, partager de l’expertise, résoudre des questions ou litiges de portée internationale et s’assurer que les règles soient appliquées de manière cohérente et uniforme, mettant ainsi en œuvre le Plan Stratégique 2020-2025.
Le Comité Européen de la Protection des Données (EDPB)
L’APD a contribué activement aux travaux de l’EDPB en participant aux sous-groupes d’experts suivants :
Les collaborateurs de l’APD ont également œuvré comme (co-)rapporteurs des lignes directrices suivantes :
En 2022, l’APD a activement participé à la rédaction de l’EDPB Data protection guide for small business, qui sera lancé en avril 2023.
L’APD formule régulièrement des commentaires sur les projets préparés par d’autres autorités de contrôle.
Les membres du comité de direction et des collaborateurs de l’APD ont assisté à 15 séances plénières de l’EDPB. Certains membres du Comité de direction ont également participé à une réunion de l’EDPB qui a eu lieu à Vienne en avril 2022 et qui visait à renforcer la coopération entre les autorités de contrôle. Une déclaration portant sur la coopération en matière d’enforcement a été publiée par l’EDPB à la suite de cette réunion.
La Cour de justice de l’Union européenne (CJUE) s’est prononcée le 15 juin 2021 dans l’affaire qui opposait l’APD à Facebook depuis 2015. Selon la CJEU, une autorité de contrôle nationale peut, sous certaines conditions (prévues par le RGPD), exercer sa compétence afin de porter une violation présumée du RGPD à la connaissance des autorités judiciaires d'un État membre, même si elle n'est pas l'autorité chef de file pour ce traitement. La Cour a interprété largement les compétences de l'autorité (nationale) qui n'est pas chef de file, comme le plaidait l'APD.
Global Privacy Assembly (GPA)
Du 25 au 28 octobre 2022 inclus s’est tenue à Istanbul la réunion annuelle de la Global Privacy Assembly (GPA, Assemblée mondiale pour la protection de la vie privée), ayant pour thème "A Matter of Balance: Privacy in The Era of Rapid Technological Advancement." La GPA est l’organisation mondiale des contrôleurs de la vie privée. Lors de cette réunion, l’APD était représentée par le Président de la Chambre Contentieuse.
Comme à l’accoutumée, la réunion comportait un volet public, consacrant une grande attention à l’intelligence artificielle, mais également à d’autres thèmes comme les transmissions de données à caractère personnel et les questions relatives à l’application de la législation, ainsi que la blockchain et le métavers. La réunion comportait aussi un volet à huis clos, réservé aux contrôleurs. Les discussions ont notamment porté sur le développement de la capacité ("capacity building") pour l’application internationale de la législation.
Des résolutions ont été adoptées sur le développement de la capacité pour une coopération internationale visant à améliorer la réglementation en matière de cybersécurité et la compréhension des dommages résultant d’incidents de cybersécurité, ainsi que sur les principes et attentes pour une utilisation appropriée des données à caractère personnel dans la technologie de reconnaissance faciale.
Dans les coulisses, le renforcement et la coordination de la contribution européenne ont constitué une question centrale.
La prochaine réunion aura lieu aux Bermudes en octobre 2023.
Outre la réunion à Istanbul, l’APD a également participé activement à plusieurs groupes de travail de la GPA, qui se réunissent régulièrement en ligne. On peut notamment citer deux groupes de travail : l’International Enforcement Working Group, dans le cadre duquel ont eu lieu des échanges sur l’application de la législation à l’égard de sociétés opérant souvent à l’échelle mondiale, et le Digital Citizen and Consumer Working Group, qui s’occupe du rapport entre le contrôle de la vie privée et d’autres formes de contrôle, par exemple dans le domaine de la concurrence.
De plus amples informations sont disponibles sur le site https://globalprivacyassembly.org/.
Spring Conference
La conférence de printemps annuelle de tous les contrôleurs européens - y compris des pays ne faisant pas partie de l’Espace économique européen - a de nouveau eu lieu en 2022, après une interruption de deux ans due à la pandémie. La conférence était organisée par le contrôleur croate du 20 au 22 mai à Dubrovnik. Un grand nombre de sujets actuels ont été passés en revue. Le Directeur du Secrétariat Général et le Président de la Chambre Contentieuse ont assisté à la conférence. La conférence était précédée d’une session de travail sur les règles d’entreprise contraignantes (BCR) à laquelle a participé un collaborateur du Secrétariat Général.
L’Association francophone des autorités de protection des données personnelles (AFAPDP)
L’APD est membre de l’AFAPDP.
Conférence de l’International Bar Association (Association internationale du barreau ou IBA)
Le 31 octobre 2022, l’APD a participé en tant qu’orateur à la conférence annuelle de l’Association internationale du barreau (IBA) à Miami. Elle y a précisé les points de vue européens actuels quant à l'utilisation des cookies. Elle a également expliqué quel pourrait être l'impact du projet de Règlement ePrivacy. Plus particulièrement, différents avocats actifs au niveau international ont été encouragés à mettre leurs clients en garde contre certains pièges, dont : (1) la large portée des "dispositions relatives aux cookies" (l'article 5.3 de la directive ePrivacy concerne aussi d'autres technologies que les "cookies") ; et (2) le caractères illicite de certaines pratiques "bien établies" (bannières de cookies incorrectes, en ce compris les dark patterns). Suite à cette conférence, l'APD a également entrepris diverses actions afin de préciser et d'aligner davantage certains points de vue, aussi bien au niveau national qu'au niveau européen