L'Autorité de protection des données (APD) est l'organe de contrôle indépendant en matière de traitement de données à caractère personnel. Elle a été créée par la loi du 3 décembre 2017 (ci-après : "LCA"). Elle dispose d'un arsenal de possibilités d'action bien plus large que son prédécesseur, la Commission de la protection de la vie privée (la "Commission vie privée"). L’APD est un organisme fédéral doté de la personnalité juridique, institué auprès de la Chambre des représentants.


Compétences de l’APD

La mission générale de l'APD est définie par l'article 4 de la LCA comme étant "le contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel".

L'APD est donc en principe compétente non seulement pour le contrôle du respect du Règlement général sur la protection des données (ci-après : "RGPD") ou de la législation générale relative à la protection des données (comme par exemple la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ci-après : "LTD"), mais elle peut aussi exercer un contrôle du respect d'autres législations et réglementations plus spécifiques comme par exemple la législation relative aux caméras.

La surveillance de l’APD ne porte toutefois pas sur les traitements effectués par les cours et tribunaux ainsi que par le ministère public dans l'exercice de leur fonction juridictionnelle. L'APD n'est pas non plus compétente pour les traitements de données à caractère personnel effectués par les services de police.

L'APD est compétente à l'égard d'acteurs et instances du secteur public et du secteur privé et a la possibilité d'infliger des sanctions administratives de manière autonome.


Composition de l'APD

Selon l'article 7 de la LCA, l'APD est composée d'un Comité de direction, d'un Secrétariat Général, d'un Service de Première Ligne, d'un Centre de Connaissances, d'un Service d'Inspection et d'une Chambre Contentieuse. Tant la Chambre Contentieuse que le Centre de Connaissances comptent également six membres externes qui contribuent avec leur expertise aux travaux et délibérations de ces organes.

En 2021 l’APD se composait comme suit :

Comité de direction

  • David Stevens, Président et Directeur du Secrétariat Général
  • Charlotte Dereppe, Directrice du Service de Première Ligne
  • Peter Van den Eynde, Inspecteur Général du Service d’Inspection
  • Hielke Hijmans, Président de la Chambre Contentieuse
  • Alexandra Jaspar, Directrice du Centre de Connaissances jusqu’au 8 décembre 2021

Centre de Connaissances

Le Centre de Connaissances est composé de six membres et de la Directrice du Centre de Connaissances. En 2021, un certain nombre de postes était vacant et seuls les membres suivants étaient en fonction :

  • Yves-Alexandre de Montjoye
  • Marie-Hélène Descamps
  • Bart Preneel
  • Frank Robben
  • Séverine Waterbley (démission présentée le 5 février 2021)
  • Nico Waeyaert (démission présentée le 5 février 2021)

Chambre Contentieuse

La Chambre Contentieuse est composée de six membres et du Président de la Chambre Contentieuse, Hielke Hijmans.

  • Yves Poullet
  • Romain Robert
  • Dirk Van der Kelen
  • Jelle Stassijns
  • Christophe Boeraeve
  • Frank De Smet

Le Comité de direction

Les compétences et activités du Comité de direction sont reprises à l'article 9 de la LCA et englobent, outre l'approbation des comptes annuels, la décision quant au budget annuel, l'organisation interne et la composition interne ainsi que les plans de gestion annuels de l'APD.

Le Comité de direction a également une importante responsabilité opérationnelle dans le domaine de la protection de la vie privée des citoyens, car conformément à l’article 63, 1° de la LCA, il peut décider de saisir le Service d’Inspection s’il constate des indices sérieux de l'existence d'une pratique susceptible de donner lieu à une violation des principes fondamentaux de la protection des données à caractère personnel. En 2021, le Comité de direction a eu recours à cette compétence à 8 reprises.

En 2021, le Comité de direction s’est réuni à 25 reprises.


Collaborateurs et budget

Fin 2021, l'APD comptait 70 collaborateurs, contre 67 à la fin de l'année précédente, soit une augmentation de 4,5 %.

Pour financer son fonctionnement, l’APD a pu disposer en 2021 d’un crédit de  fonctionnement s’élevant à 9.535.251,52 EUR (contre 8.947.430,92 EUR en 2020, soit une augmentation de 6,5 %). Les crédits de fonctionnement ont principalement été financés par la dotation proprement dite de 9.002.000 EUR et par les bonis reportés des années précédentes. En 2021, l'APD a également pu disposer de subsides de la Commission européenne d'un montant de 329.446,73 EUR afin de soutenir le projet DPO Connect.

Entre-temps, une mesure de la charge de travail effectuée par PwC a tiré la conclusion (également soutenue par la Cour des comptes[1] et le gouvernement[2]) que pour mener à bien ses tâches actuelles, l'APD devrait disposer d'un nombre important de collaborateurs supplémentaires, allant même jusqu'à 64,17 équivalents temps plein supplémentaires (ce qui représente une augmentation de presque 40% par rapport  aux 45,9 équivalents temps plein mesurés actuellement). 

[1] Audit de la Cour des comptes (mai 2021) : "Organisation et fonctionnement de l'APD" (p. 70, conclusions) : "Comparée à ses pairs européens, l’APD dispose de relativement peu de personnel, en particulier en ce qui concerne le personnel spécialisé (juristes et experts informatiques) pour traiter les dossiers sur le fond. Le nombre croissant de dossiers ouverts est probablement aussi dû en partie à ce manque de personnel spécialisé capable de traiter les dossiers quant au fond."

[2] Rapport d'évaluation de la loi sur la protection de la vie privée (novembre 2021), p. 30 : "Plus de ressources pour les autorités de contrôle. Il est également préconisé d'allouer des ressources suffisantes aux autorités de contrôle, notamment pour les aider à développer leur rôle de soutien aux responsables du traitement, aux sous-traitants mais aussi aux délégués à la protection des données."


Approche de l'APD

Comme démontré en détail plus loin dans ce rapport annuel, de grandes étapes ont été franchies depuis 2021, non seulement dans la mise en place d'une autorité proactive qui partage ses connaissances et sensibilise le public, mais aussi dans l'application des dispositions légales et réglementaires.

Surveillance proactive

Le "processus de monitoring" élaboré en 2020 en application de l’article 19 de la LCA a continué à être développé en 2021 [1] . A travers ces dossiers, l’APD a souhaité collecter activement des informations concernant des évolutions tant technologiques que sociétales ayant un impact sur la protection des données afin de prendre rapidement le pouls de la situation lorsqu’elle avait connaissance de traitements potentiellement risqués pour les droits des citoyens en matière de protection des données. L'APD exécute ainsi le troisième objectif de son Plan stratégique ("Une meilleure protection des données grâce à l'identification des évolutions et aux réponses adéquates à y apporter").

Informer et sensibiliser en toute transparence

En 2021, l’APD a de nouveau mis l'accent sur l'information et la sensibilisation, conformément à son premier objectif stratégique ("Une amélioration de la protection des données grâce à la sensibilisation »).  

L'accent a été mis sur le soutien aux délégués à la protection des données (DPD ou DPO en anglais). Tout d'abord, le projet DPO-Connect a été effectivement lancé en 2021 avec la VUB et DPO-pro (Union professionnelle des délégués à la protection des données) comme partenaires. La plateforme numérique et collaborative DPO-Connect a été développée, finalisée et, finalement, en raison des retards causés par la pandémie, lancée en septembre 2021.  En outre, l'APD a poursuivi le développement et l'élaboration de sa boîte à outils pour les professionnels de la protection de la vie privée. Mais d'autres groupes cibles spécifiques ont été pris en compte dans nos efforts. En 2021, l'APD a continué à développer différents types d'outils de soutien aux petites et moyennes entreprises (voir "Boîte à outils"), et à sensibiliser les jeunes (https://www.jedecide.be/).

Application des dispositions légales

En 2021, la Chambre Contentieuse a accordé une attention importante à l'exécution cohérente de ses missions et a poursuivi le développement de sa méthodologie. La mission de la Chambre Contentieuse comporte trois éléments.

Premièrement, la Chambre Contentieuse propose, en tant qu'organe de l'autorité de contrôle, une procédure efficace et accessible. La Chambre Contentieuse a développé des procédures pour traiter les plaintes afin de rester la plus accessible possible, mais respecte toutefois dans ce cadre les garanties procédurales élémentaires comme le droit à la défense et le droit de contradiction.

Deuxièmement, la Chambre Contentieuse contribue à apporter une explication cohérente du RGPD, à travers ses décisions sur le fond, dans lesquelles la Chambre Contentieuse traite non seulement une question soumise dans un plainte ou un rapport « d’initiative » du Service d’Inspection, en apportant son interprétation du RGPD et des autres législations. La Chambre Contentieuse a été en mesure d’élaborer une "jurisprudence" cohérente et de rendre plusieurs décisions importantes, parmi lesquelles l’affaire 04/2021 (X c. la SA S.N.P.M.E., concernant notamment le marketing, la loyauté et la transparence, le délégué à la protection des données, dans laquelle le recours intenté a été déclaré recevable mais infondé) laquelle a suscité un grand intérêt parmi les commentateurs.

Troisièmement, la Chambre Contentieuse collabore au contrôle et à la sanction du non-respect de la réglementation dans des affaires transfrontalières au sein de l'Union. L’intervention de l’APD en tant qu’autorité chef de file dans des affaires transfrontalières permet à la Chambre Contentieuse de développer ses méthodes de travail en collaboration avec d’autres autorités. La contribution de la Chambre Contentieuse à l’application efficiente de la réglementation européenne se concrétise via le traitement des dossiers individuels, initiés par l'APD elle-même ou par ses homologues au sein du mécanisme de coopération européen. La Chambre Contentieuse contribue également activement au développement de guidances européennes, dans le cadre de l'EDPB.

Le développement de nouvelles méthodologies intervient sur fond d'une quantité énorme de plaintes, la Chambre Contentieuse se voyant contrainte d'établir des priorités et de les ajuster en permanence. En outre, dans le cadre du traitement de plaintes, elle doit appliquer la législation nationale qui est incomplète et/ou imprécise sur certains points.

En 2021, en plus de ses activités en cours, la Chambre Contentieuse a également amorcé les premiers pas dans le développement d’une méthodologie de traitement de nouveaux types de dossiers, comme par exemple les "plaintes en masse" (dossiers thématiques avec un grand nombre de responsables du traitement) et des dossiers présentant un caractère urgent d’un point de vue de l’intérêt sociétal. Il s’agit par exemple de plaintes en lien avec le Covid, comme le dossier 24/2021 (concernant le comptage des passants à des endroits spécifiques sur la digue et dans des zones commerçantes à la Côte au moyen de caméras intelligentes). Par ailleurs, en plus des notes stratégiques déjà existantes concernant des questions de procédure (la politique de publication des décisions  , la Politique en matière d’astreinte, la Note relative à la politique linguistique de la Chambre Contentieuse et la Note relative à la position du plaignant dans la procédure au sein de la Chambre Contentieuse), la Chambre Contentieuse a également élaboré une politique de classement sans suite.

[1] La manière dont le Comité de direction constate et traite l’existence d’indices d’atteintes au sens de l’article 63 § 1, 1° LCA, a été revue par le Comité de direction renouvelé et fera le cas échéant l’objet d’un commentaire dans le rapport annuel 2022.

Coopération

Coopération au niveau national

L'APD partage des connaissances et des informations avec de nombreux acteurs publics dont les compétences touchent à la protection des données.  Elle contribue ainsi également au quatrième objectif de son Plan Stratégique ("Une meilleure protection des données grâce à la coopération").

En voici quelques exemples :

  • En 2021, l'APD a de nouveau collaboré avec le SPF Justice pour que ce dernier puisse répondre à des dizaines de questions parlementaires concernant la protection des données. Elle entend ainsi soutenir aussi le travail parlementaire le plus qualitativement et adéquatement possible.
  • L'APD a largement participé à l'évaluation de la législation relative à la protection des données, organisée par le Secrétaire d'État chargé de la protection de la vie privée.
  • L'APD collabore régulièrement au niveau fédéral avec plusieurs contrôleurs spécifiques à certains secteurs, notamment l'Organe de contrôle de l’information policière, le Comité R et le Comité P. Le protocole de coopération conclu entre ces derniers sert ainsi de fil conducteur.
  • L'APD et la Banque Nationale ont organisé un échange de points de vue sur le thème de la "Surveillance des systèmes d'intelligence artificielle dans le monde bancaire".
  • L'APD participe à la “Plateforme des droits de l'homme". Une vingtaine d'organisations jouant un rôle dans la protection de certains droits de l'homme sont membres de cette plateforme. Elles se concertent plusieurs fois par an afin de s'informer mutuellement des évolutions importantes dans ce domaine.
  • L'APD siège également au "Conseil Consultatif de la Sécurité Privée", créé par le Ministre de l'Intérieur.

Coopération internationale

En 2021, l’APD a de nouveau été très active sur le plan de la coopération internationale afin d’échanger des bonnes pratiques, partager de l’expertise, résoudre des questions ou litiges de portée internationale et s’assurer que les règles soient appliquées de manière cohérente et uniforme, mettant ainsi en œuvre le Plan Stratégique 2020-2025.

Le Comité Européen de la Protection des Données (EDPB)

En raison de la crise du Covid-19, les réunions de l’EDPB ont majoritairement eu lieu à distance en 2021. Cela n’a toutefois pas freiné les activités de l’EDPB.

L’APD a contribué activement aux travaux de l’EDPB en participant aux sous-groupe d’experts suivants :

  • Borders, Travel & Law Enforcement subgroup
  • Compliance, e-Government and Health
  • Cooperation
  • Enforcement
  • International Transfers
  • IT Users
  • Key Provisions
  • Social Media
  • Strategic Advisory
  • Technology

Suite à la décision de l’EDPB de mettre en place un cadre d’application coordonné en octobre 2020, l’EDPB a sélectionné le thème de sa première action coordonnée : l’utilisation des services cloud par le secteur public. L’APD participe à cette première action coordonnée et a également lancé des actions nationales. Les résultats des actions nationales seront ensuite regroupés et analysés, ce qui permettra de mieux cerner les enjeux et d'assurer un suivi ciblé au niveau national et européen.

Une « taskforce 101 » a été créée en novembre 2020 afin d’examiner les 101 plaintes déposées auprès des autorités de contrôle de l’EEE à la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne contre plusieurs responsables du traitement dans les États membres de l’EEE concernant leur utilisation des services de Google/Facebook impliquant le transfert de données à caractère personnel. Les membres de la taskforce, dont l’APD, ont collaboré étroitement dans le courant de l’année 2021, afin d’analyser les questions juridiques et techniques soulevées dans ce contexte et d’adopter une position cohérente.

Les collaborateurs de l’APD ont également œuvré comme (co)rapporteurs ou formulé des commentaires sur les projets préparés par d’autres autorités de contrôle. L’APD a continué son travail comme (co)rapporteur pour les lignes directrices suivantes :

  • Le renouvellement des lignes directrices sur l’anonymisation et la pseudonymisation ;
  • le renouvellement des lignes directrices sur l’intérêt légitime ;
  • les lignes directrices sur l’application de l’article 65(1) du RGPD (publiées pour consultation publique en avril 2021).

Le président de l’APD et, dans certains cas, d’autres directeurs ou collaborateurs de l’APD ont pris part à 15 séances plénières de l’EDPB.

 

Le mécanisme de guichet unique (One-stop-shop)

La Cour de justice de l’Union européenne (CJUE) s’est prononcée le 15 juin 2021 dans l’affaire qui opposait l’APD à Facebook depuis 2015. Selon la CJEU, une autorité de contrôle nationale peut, sous certaines conditions (prévues par le RGPD), exercer sa compétence afin de porter une violation présumée du RGPD à la connaissance des autorités judiciaires d'un État membre, même si elle n'est pas l'autorité chef de file pour ce traitement. La Cour a interprété largement les compétences de l'autorité (nationale) qui n'est pas chef de file, comme le plaidait l'APD.

En 2021, l’APD a ouvert 19 enquêtes en tant qu’autorité chef de file et a exprimé son avis en tant qu’autorité concernée sur 51 projets de décision d’autres autorités.

Par ailleurs, le 28 juillet 2021, l’EDPB a adopté sa deuxième décision contraignante sur base de l’article 65 du RGPD. La décision adoptée vise à remédier à l’absence de consensus sur un projet de décision de l’autorité de contrôle irlandaise au sujet de WhatsApp Ireland Ltd. et à répondre aux objections subséquentes formulées par plusieurs autorités de contrôle concernées. Ces objections concernaient notamment les atteintes relevées au RGPD, la question de savoir si les données spécifiques en jeu devaient être considérées comme des données à caractère personnel et les conséquences d’un tel constat, ainsi que le caractère approprié des mesures correctives envisagées. L’APD a activement participé aux discussions entourant l’adoption de cette décision contraignante.

Activités du Conseil de l’Europe

Dans le courant de l’année 2021, le Comité consultatif de la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe a poursuivi ses travaux sur de nombreux thèmes d’intérêt pour l’APD, notamment :

  • le profilage ;
  • le traitement des données à caractère personnel dans le cadre et pour des campagnes politiques ;
  • la protection de la vie privée des enfants dans l’environnement numérique, et ;
  • la reconnaissance faciale.

En 2021, cinq états supplémentaires ont ratifié la « Convention 108+ » et le Comité a également poursuivi ses discussions sur le futur mécanisme d’évaluation et d’examen de la Convention 108+.

Le SPF Justice est le représentant officiel de l’État belge auprès du Comité mais l’APD suit, dans la mesure du possible, les activités du Comité étant donné leur pertinence pour les travaux de l’APD.

Global Privacy Assembly (GPA)

La GPA réunit les autorités de protection des données de plus de 130 pays. En raison de la crise du Covid-19, la 43e réunion annuelle qui devait se dérouler au Mexique a eu lieu par voie électronique en octobre 2021. Le président de la Chambre Contentieuse a représenté l’APD à cette occasion.

Lors de cette réunion, l’Assemblée a adopté d’importantes résolutions :

L’APD a suivi attentivement les discussions autour de ces résolutions et a formulé plusieurs propositions d’amendements.

L’Assemblée a également adopté un plan stratégique 2021 à 2023 et la résolution sur l’avenir de la conférence et du Secrétariat, qui prévoit que la GPA sera désormais dotée d’un secrétariat permanent, financé par les contributions des membres.

La réunion fut également l’occasion d’échanger sur différentes thématiques très actuelles, notamment les « bacs à sable » données personnelles, le partage de données et l’innovation, l’intelligence artificielle et le traitement de données dans le cadre de la crise du Covid-19.

En cours d’année, l’APD a également activement suivi les sous-groupes suivants :

  • coopération internationale en matière d’« enforcement » ;
  • citoyen digital et consommateur.

European Case Handling Workshop

L’APD a participé au European Case Handling Workshop qui était organisé en novembre 2021 par l’autorité de contrôle de Gibraltar (Gibraltar Regulatory Authority). En raison de la crise du Covid-19, celle-ci a eu lieu par voie électronique.

Le « European Case Handling Workshop » rassemble chaque année plus de 30 autorités de protection des données européennes afin d’échanger des « bonnes pratiques » et de partager l’expertise acquise par les autorités de contrôle.

A cette occasion, l’APD a eu l’opportunité d’assister à des ateliers instructifs sur des sujets variés qui concernent les tâches de l’APD : les notifications de violations de données à caractère personnel, les procédures relatives au traitement des plaintes, les enquêtes et les décisions de fond ainsi que les conséquences de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne.

Echanges bilatéraux avec d’autres autorités de contrôle européennes

L’APD a organisé des réunions bilatérales avec ses homologues de la Commission nationale de l'informatique et des libertés (CNIL, France) et de l’Autoriteit Persoonsgegevens (AP, Pays-Bas) afin de se pencher sur la gestion des plaintes. L’objectif de ces réunions était de permettre un partage d’expérience et d’améliorer les procédures internes de l’APD.

L’Association francophone des autorités de protection des données personnelles (AFAPDP)

L’APD a participé aux activités de l’AFAPDP tout au long de l’année 2021.