La Commission vie privée devient l'Autorité de protection des données

Le Règlement général sur la protection des données qui entrera en vigueur le 25 mai 2018, aura également des conséquences pour notre Commission vie privée. Cette commission sera transformée en Autorité de protection des données afin de satisfaire à toutes les exigences imposées par le RGPD.

Le Règlement général sur la protection des données du 27 avril 2016, mieux connu sous le nom de GDPR (General Data Protection Regulation), prévoit une série de nouvelles mesures concernant le traitement, la gestion et la conservation de données personnelles. À partir du 25 mai 2018, toute entreprise belge qui collecte des données à caractère personnel concernant des citoyens de l'Union européenne, devra se conformer à cette nouvelle législation sur la protection de la vie privée (voir à ce sujet notre contribution parue en octobre 2017).

Ce règlement européen sur la protection des données contraint également les États membres à instituer des autorités de protection des données. En vue de satisfaire à cette obligation, notre pays a décidé de réformer l'actuelle Commission de la protection de la vie privée (la Commission vie privée instituée par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel). La Commission vie privée reçoit dès lors un nouveau nom qui reflète mieux ses missions : l'Autorité de protection des données (APD) ou l'Autorité de contrôle des traitements de données à caractère personnel.

Conseil + accompagnement et contrôle

Alors que notre Commission vie privée est un organe purement consultatif dans le domaine de la protection de la vie privée et des données à caractère personnel, l'Autorité de protection des données disposera de compétences bien plus étendues, notamment de pouvoirs d'investigation et de répression des infractions. Les compétences de l'Autorité de protection des données peuvent être réparties en quatre catégories :

informer et conseiller les particuliers, les responsables du traitement et les décideurs politiques à propos de la législation en matière de protection des données afin qu'ils puissent (faire) respecter cette législation ;

accompagner les responsables du traitement et leurs sous-traitants dans l'utilisation des outils de prévention prévus dans le RGPD, tels que la certification, le respect des codes de conduite, la désignation d'un délégué à la protection des données ;

faire contrôler les responsables du traitement et leurs sous-traitants par un service d'inspection spécifique ;

imposer des sanctions, notamment des avertissements et des sanctions financières adaptées à la gravité de la situation.

Nouvelle structure allégée composée de six organes

Les comités sectoriels de la Commission vie privée qui sont compétents pour autoriser l'accès à certaines banques de données telles que le Registre national, sont supprimés. Un fonctionnaire chargé de cette tâche gérera désormais les demandes.
La nouvelle autorité est composée de six organes, chacun doté de compétences spécifiques.

1° Le comité de direction définit entre autres la politique générale de l'Autorité de protection des données, élabore un plan stratégique, fixe les priorités et adopte un règlement d'ordre intérieur. Les directeurs des autres organes siègent au comité de direction.

2° Le secrétariat général assume essentiellement des tâches de support journalier pour l'Autorité de protection des données (communication, informatique, RH...).

3° Le service de première ligne se charge de toutes les tâches de première ligne de l'Autorité de protection des données. Ce service est le point de contact des parties concernées externes, telles que les citoyens, les responsables du traitement et les sous-traitants, il reçoit et traite les plaintes et les demandes.

4° Le centre de connaissances émet des avis sur toutes questions relatives au traitement de données à caractère personnel et des recommandations relatives aux développements, sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

5° Le service d'inspection est l'organe d'enquête de l'Autorité de protection des données, il est composé d'un inspecteur général et de plusieurs inspecteurs. Toute personne - personne physique, personne morale, association ou institution - peut, sans aucuns frais,  déposer une plainte ou une requête écrite, datée et signée.

6° La chambre contentieuse et l'organe contentieux administratif habilité à imposer des mesures correctives ou des sanctions financières (cf. le Collège de la concurrence de l'Autorité belge de la concurrence (ABC) et la Commission des sanctions de l'Autorité des services et marchés financiers (FSMA)).

L'Autorité de protection des données sera en outre assistée par un conseil de réflexion (nouveau). Celui-ci rend des avis non contraignants.
Les mandats sont désormais limités à maximum deux périodes de six ans. La révocation anticipée d'un mandat fait l'objet d'une procédure spécifique de la part de la Chambre des représentants.

Plaintes, requêtes et enquêtes

Les plaintes recevables sont transmises par le service de première ligne à la chambre contentieuse. Les requêtes recevables sont traitées par le service de première ligne lui-même.  La requête doit être interprétée au sens large (une demande d'informations, une demande de médiation...). Si aucun accord amiable ne peut être trouvé, la demande est transformée en plainte.

Les possibilités d'enquête du service d'inspection s'étendent à la possibilité d'imposer des mesures provisoires en cas de préjudice grave, immédiat et difficilement réparable (ordre de suspension, de limitation ou de gel temporaire du traitement des données), la collecte d'informations, l'identification de personnes, l'audition, l'enquête écrite, l'examen sur place, la consultation du système informatique et la copie des données qu'il contient, la saisie et la mise sous scellés. Une fois l'enquête bouclée, le dossier peut être transmis à la chambre contentieuse ou, en cas d'infraction pénale, au procureur du Roi. Il peut être classé sans suite ou envoyé à l'Autorité de protection des données d'un autre État membre.

La chambre contentieuse intervient dans le traitement d'une plainte transmise via le service de première ligne, lorsqu'une partie concernée intente un recours contre des mesures du service d'inspection ou lorsque le service d'inspection a clôturé son enquête. Avant de prendre une décision au fond, la chambre contentieuse peut demander une enquête (complémentaire) au service d'inspection.
La chambre contentieuse a le choix entre une procédure allégée relativement rapide ou une procédure au fonds avec davantage de possibilités, comme imposer des mesures correctives (adapter, geler, limiter ou interdire le traitement de données...), infliger des astreintes et des amendes administratives. Un recours peut être intenté auprès de la Cour des marchés contre la décision de la chambre contentieuse. La Cour des marchés est une chambre spécialisée près la Cour d'appel de Bruxelles qui traite les recours contre des décisions d'organes régulateurs de marchés, tels que l'ABC et la FSMA.