Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

RGPD : sur quoi l’APD va-t-elle se concentrer en 2023 ?

Publié le par

Pour l’Autorité belge de Protection des Données (APD), 2021 était l’année de l’explosion des dossiers, et 2022 l’année des conflits d’intérêts… Quelle route l’autorité prendra-t-elle en 2023 ? On en sait un peu plus à la lecture du plan stratégique récemment dévoilé.

2021, l’explosion des dossiers

Si l’on s’en réfère au rapport publié récemment par l’APD, l’année 2021 était l’année de l’explosion des dossiers, avec une augmentation de 87% du nombre de dossiers reçus et de 181% du nombre de plaintes déposées. Le Covid et le passe vaccinal l’expliquent : plaintes, inspections, dossiers de contrôle, lignes directrices et avis  relatifs à des textes normatifs.

L’augmentation presqu’exponentielle du nombre de dossiers peut aussi être vue comme le signe d’une meilleure conscientisation. D’une part les entreprises communiquent davantage leurs analyses d’impact et leurs fuites de données à l’APD (+ 36 %), et d’autre part les citoyens connaissent mieux leurs droits et n’hésitent plus à les exercer.

2022 : l’APD dans le viseur de la Commission européenne

2021 s’est clôturée dans la douleur avec la démission de la codirectrice de l’APD, consternée par l’incapacité de l’autorité à remplir ses objectifs légaux. 2022 a été un long chemin de croix, la Commission européenne ayant été amenée à se pencher sur les dysfonctionnements et conflits d’intérêts qui rongeaient l’autorité.

L’image de marque du pays a été sérieusement abimée, ce dont le pouvoir politique est grandement responsable.

Le dossier n’est pas clos, la nouvelle loi se faisant toujours attendre, mais ce contexte déprimant n’a pas empêché l’APD d’adopter un plan stratégique. Sur quoi va-t-elle se concentrer en 2023 ? L’APD a défini trois priorités transversales.

Les DPO

En plus d’être le conseil pour les employés, le Data Protection Officer (DPO ou délégué à la protection des données) est aussi le point de contact avec l’autorité, permettant notamment une bonne coopération en cas de contrôle par celle-ci. Il y a, parmi les DPO, à boire et à manger : de nombreuses entreprises désignent à cette fonction des personnes qui n’ont, soit pas les compétences, soit pas l’indépendance, requises. Pour 2023, l’APD annonce clairement un resserrement des contrôles.

Pour rappel, le RGPD exige la désignation d’un délégué à la protection des données dans au moins trois hypothèses :

  1. Lorsque le traitement est effectué par une autorité publique ou un organisme public – à titre de responsable ou de sous-traitant –  à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (Art. 37, § 1, a)).
  2. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (art. 37, § 1, b)).
  3. Lorsque des données sensibles visées à l’article 9 et 10 du GDPR sont traitées à grande échelle (art. 37, § 1, c)).

L’exigence ne s’arrête pas à nommer un DPO lorsqu’il est obligatoire, encore faut-il que la personne désignée soit en mesure d’exécuter ses missions en toute indépendance et sans conflit d’intérêt, qu’elle puisse accéder efficacement aux données et qu’elle bénéficie des moyens nécessaires pour exécuter ses missions. Nous vous renvoyons à notre actualité sur le sujet pour en savoir davantage sur les questions de l’indépendance et des conflits d’intérêts.

Ces exigences sont malheureusement trop souvent négligées par les entreprises qui, à défaut de budget alloué à cette « nouvelle » fonction, se contentent d’ajouter une casquette supplémentaire de DPO à un cadre de la société.

Smart cities

L’interaction entre les services publics permet de faciliter la vie quotidienne des citoyens grâce à la mise en place d’une administration simplifiée, de transports intelligents, etc. Tout cela n’est possible qu’en traitant des données par le biais d’appareils connectés, caméras intelligentes et technologies de suivi ou de surveillance.

Ces traitements de données reposent souvent sur des bases de licéité boiteuses : tel est le constat qui a été fait par l’APD à l’occasion de la crise sanitaire (voyez notre actualité sur le sujet).

La fin ne justifiant pas (toujours) les moyens, l’APD souhaite développer des actions de prévention et de dialogue avec les acteurs de terrain en matière de Smart Cities, et désire cette fois-ci être étroitement associée aux projets législatifs en la matière.

Cookies

Les cookies sont selon l’APD « un enjeu fondamental pour les citoyens, car ils sont potentiellement liés à une perte de contrôle de leurs données avec du profilage, des recommandations de contenu, etc » (Cédrine Morlière, nouvelle présidente).

Pour rappel, en attendant l’entrée en vigueur du futur Règlement, la directive ePrivacy (2002/58) est le texte de référence.

Or, elle n’offre qu’un cadre (trop) général et en retard sur l’évolution technologique.

Par ailleurs, la directive est interprétée différemment par les Etats-membres, si bien qu’il n’existe pas de consensus sur une série de questions, à commencer par la manière de collecter le consentement. L’APD compte se positionner davantage sur les zones d’ombre et veut initier une harmonisation de la position des autorités des divers Etats membres.

Bien qu’elle ne l’annonce pas clairement, l’on peut s’attendre à voir l’APD initier une nouvelle volée de contrôles. Qui sera visé ? En 2022, ce sont les sites de presse qui ont été passés au crible par le service d’inspection et ont fait l’objet de sanctions (actuellement en recours). Pour 2023, l’APD a annoncé vouloir se pencher davantage sur les « data brokers », c’est-à-dire des courtiers de données, qui collectent, agrègent et commercialisent les données.

Quel risque?

En théorie, l’amende administrative peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel total de l’exercice précédent. En pratique, il existe des outils de suivi, dont le GDPR enforcement tracker .

Comme l’explique l’APD, ses ambitions pour 2023 sont tributaires de la Chambre des Représentants qui doit lui allouer de nouveaux moyens. Objectifs : réduire par deux les délais d’avis du Centre de Connaissances, évaluer les projets normatifs dans de délais plus courts, répondre aux défis urgents et permettre un accompagnement proactif des responsables de traitement.

Plus d’info ?

En lisant le rapport annuel de l’APD de 2021, disponible au lien suivant.

En lisant la déclaration de l’APD quant à ses priorités pour 2023, disponible au lien suivant .

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK