Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Publication de la loi créant l’Autorité Belge de protection des données

Publié le par

La loi portant création de l’Autorité de protection des données a été publiée au Moniteur belge ce 10 janvier 2018. Le texte définitif de la législation appelle plusieurs commentaires ; la Commission de la protection de la vie privée (CPVP) a également rendu un avis à cet égard, qui n’a été que partiellement suivi par le législateur. Analyse des principaux changements et des questions soulevées.

Pour rappel, la CPVP (Commission pour la protection de la vie privée), instituée en Belgique par la loi du 8 décembre 1992 transposant la directive 95/46/CE, se voit profondément modifiée suite à l’entrée en vigueur du GDPR. L’Autorité de protection des données remplace la CPVP et devient un véritable autorité de contrôle et de sanction. Pour une analyse plus complète, nous renvoyons à notre nouvelle sur le projet  ici .

Indépendance de l’Autorité et procédure de nomination des membres

L’article 52 du GDPR  prévoit que l’Autorité de protection des données est indépendante. L’article 53 du GDPR prévoit quant à lui la nécessité d’une procédure de nomination des membres qui soit transparente.

La procédure de nomination des membres de l’Autorité de protection des données a été revue suite à l’avis de la CPVP.

L’article 39 initial du projet de loi prévoyait la nomination des membres par la Chambre des représentants, après audition de ces derniers, les candidats devant être repris sur des listes établies sur proposition des ministres qui ont délibéré en Conseil.

Le nouvel article 39 de la loi modifie la procédure de nomination en supprimant la nomination sur base de proposition des ministres, et en supprimant la nécessité d’audition et de présentation des candidats sur des listes.

La CPVP considérait en effet que la procédure telle qu’elle était prévue initialement ne garantissait pas une indépendance suffisante de l’Autorité de protection des données, et que la procédure de nomination des membres n’était pas suffisamment transparente.

C’est chose faite avec l’ajout d’un alinéa 2 à l’article 39 qui précise que les postes vacants sont publiés au Moniteur belge sous forme d’un appel à candidats.

Cette même procédure est applicable aux mandats qui sont devenus vacants, une publication devant avoir lieu au Moniteur belge au plus tard dans le mois après la vacance du mandat (article 41, alinéa 2). La procédure prévue à l’article 39 s’applique.

La procédure et les pouvoirs de la chambre contentieuse

Au titre des pouvoirs dévolus à la chambre contentieuse, l’on notera l’ajout de la procédure de transaction.

Ce rajout a eu lieu suite à une critique de la CPVP quant à l’absence de procédure de transaction, qui a l’avantage de permettre de traiter rapidement un dossier lorsque les faits sont peu contestables.

La CPVP précisait en effet dans son avis que « Il est tout à fait incompréhensible que la transaction soit absente de la “procédure light”. La transaction requiert de suivre toute une procédure de fond devant la chambre contentieuse (article 100, § 1, 4° du projet de loi). Cela signifie qu’il faut systématiquement inviter les parties à présenter leurs moyens de défense. Le projet passe à côté de l’objectif de la transaction: traiter les affaires rapidement lorsque les faits sont peu contestables ».

La critique aura été entendue et un amendement a été adopté dans le projet final (Article 95,§1, 2°).

Le Règlement général sur la protection des données donne à l’Autorité de protection des données le pouvoir « d’ordonner que le traitement soit temporairement gelé, limité ou interdit » ou « d’ordonner la suspension de flux transfrontaliers de données vers un autre État ou une institution internationale ». En l’espèce, cette possibilité n’est offerte que dans le cadre de mesures provisoires prises par le service d’inspection, ce qui n’est pas souhaitable, surtout en cas d’urgence. La CPVP a formulé cette critique dans son avis, mais n’a pas été suivie par le législateur à ce sujet.

On notera également que la chambre contentieuse était décrite dans le texte initial du projet de loi comme « l’organe juridique administratif de l’Autorité de protection des données ». Le texte définitif qualifie à présent la chambre contentieuse d’ « organe contentieux administratif ».

Le texte a été adapté afin qu’il soit clair que la chambre contentieuse n’est pas une juridiction administrative, mais un organe administratif chargé du contrôle.

Les dispositions transitoires

En ce qui concerne les adhésions aux autorisations générales octroyées par les comités sectoriels, le projet de texte initial prévoyait qu’ « Après l’entrée en vigueur de la présente loi, plus aucune adhésion n’est possible à une autorisation générale octroyée par délibération d’un comité sectoriel ».

Cet article a été modifié et le nouveau texte prévoit à présent qu’ « Après l’entrée en vigueur de la présente loi, l’adhésion à une autorisation générale octroyée par délibération d’un comité sectoriel n’est possible que si le requérant envoie un engagement écrit et signé à l’Autorité de protection des données, dans lequel il confirme adhérer aux conditions de la délibération en question, sans préjudice des pouvoirs de contrôle que peut exercer l’Autorité de protection des données après réception de cet engagement ».

Pour les procédures ou plaintes en cours, le texte définitif prévoit désormais que les plaintes sont traitées par l’Autorité de protection des données en tant que successeur juridique de la Commission de la protection de la vie privée, selon la procédure applicable avant l’entrée en vigueur de la présente loi, là où l’ancien texte n’énonçait pour l’Autorité que la faculté de poursuivre les procédures. Les personnes ayant introduit une plainte ne devraient donc en principe pas s’inquiéter de l’issue de celle-ci, l’Autorité ayant l’obligation de les traiter, et ce conformément à l’ancienne procédure et avec les anciens pouvoirs.

Dans son avis, la CPVP critique l’absence de mesures transitoires souples et réalistes. Elle précise en effet que lorsque la nouvelle autorité entrera en fonction, plusieurs dossiers (avis, recommandations et surtout traitements de plaintes (dont la consultation indirecte en vertu de l’article 13 de la LVP)) devront encore être clôturés. Une partie de ces dossiers peut être traitée par le Secrétariat mais les dossiers qui ont fait l’objet d’une approche en application de la LVP et surtout ceux qui ont déjà été traités ou ont fait l’objet d’une audition par la Commission ne peuvent pas être repris ainsi par l’Autorité de protection des données sans porter atteinte au principe de l’unité de jurisprudence.

Un transfert de dossiers devra quoi qu’il en soit avoir lieu. En outre, il n’est pas certain que l’Autorité de protection des données pourra fonctionner le 25 mai, dès lors que personne n’est sûr que tout le monde sera nommé et disponible d’ici là. Vu le principe de la continuité du service public, la CPVP avait recommandé de ne pas mettre immédiatement un terme au fonctionnement de la Commission comme cela est actuellement prévu mais de faire dépendre cette cessation de fonctionnement d’une décision ultérieure (par exemple de l’Autorité de protection des données et/ou de la Chambre). La CPVP n’a cependant pas été suivie par la Chambre à ce sujet. Reste à voir donc comment s’effectuera la passation de pouvoirs entre les deux autorités.

Conclusion

La loi a été adoptée et débattue dans l’urgence, en vue de la deadline du 25 mai 2018 et certaines questions demeurent non résolues, plaçant certains acteurs dans un vide juridique inconfortable. La loi prévoit par exemple la suppression des comités sectoriels, mais n’aborde pas la question de savoir que vont devenir les procédures d’autorisation dans lesquelles ces Comité intervenaient et, le cas échéant, par quoi ces comités sectoriels seront remplacés. Ces questions doivent être résolues par la loi-cadre, qui a été annoncée mais pour laquelle aucun texte n’a encore été débattu en Conseil des Ministres ou déposé à la Chambre. Affaire à suivre.

Plus d’infos ?

En lisant la loi, disponible en annexe

En lisant l’avis de feu la Commission pour la protection de la vie privée au sujet de la loi, disponible en annexe.

Droit & Technologies

Annexes

Avis de la Commission sur le projet de loi

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK