Voici le projet de loi belge créant l’Autorité pour la Protection des Données
Publié le 22/09/2017 par Olivia Guerguinov, Thierry Léonard, Etienne Wery
Le projet de loi réformant la Commission de la protection de la vie privée (« CPVP ») a été déposé devant la Chambre des représentants. Ce projet de loi « portant création de l’Autorité de protection des données » a pour objectif de mettre en conformité la CPVP avec le nouveau Règlement européen sur la protection des données (« GDPR »). La révolution est donc en cours…
La CPVP (Commission pour la protection de la vie privée) a pour principale mission de veiller au respect de la vie privée des citoyens et notamment à la protection de leurs données à caractère personnel. Instituée en Belgique par la loi du 8 décembre 1992 transposant la directive 95/46/CE, la CPVP n’a actuellement qu’une compétence d’avis et de recommandation et est obligée de saisir une autorité judiciaire pour obtenir d’éventuelles sanctions.
A compter du 25 mai 2018, le nouveau cadre législatif européen en matière de protection des données sera d’application et la CPVP se verra doter d’importants pouvoirs en terme non seulement d’enquête et de contrôle mais aussi de sanction. En d’autres mots, elle passera d’un simple organe d’avis à une autorité de contrôle et de sanction.
Modification de la structure de la CPVP et disparition des comités sectoriels
Actuellement, la CPVP est composée de 8 membres effectifs (dont un président et un vice-président) et de 8 membres suppléants : ils se réunissent en vue d’émettre des avis et des recommandations. A ce collège de 16 commissaires s’additionne un organe de contrôle et 5 comités sectoriels (destinés à des matières sépcifiques comme la banque-carrefour de la sécurité sociale).
Le projet de loi modifie la structure de la CPVP sur le modèle d’autorités administratives indépendantes comparables (Autorité belge de la concurrence, IBPT etc.). Elle sera composée à l’avenir de six organes:
- un comité de direction composé des dirigeants des 5 autres organes (mandatés pour 6 ans, renouvelable une fois): le comité de direction est réduit en vue de le professionnaliser et de renforcer la cohésion de l’institution; il est chargé notamment de déterminer la politique générale, l’affectation du budget et le futur ROI de l’Autorité (qui comprendra certains délais d’intervention de celle-ci). Il représente l’Autorité devant les instances de contrôle parlementaire et juridictionnel ;
- un secrétariat général; il gère des tâches quotidiennes internes de l’autorité (budget, organisation IT, ressources humaines, service juridique..) mais aussi la communication externe. Il exerce aussi un grand nombre des nouvelles tâches nouvelles prévues par le GDPR : établir les listes de traitements qui requièrent une analyse d’impact, approuver les codes de conduite, approuver les critères de certification etc ;
- un service de première ligne: il sera chargé de recevoir les plaintes et requêtes introduites auprès de l’APD, de les qualifier et d’en examiner la recevabilité. Il doit également promouvoir la protection des données et sa prise de conscience par les responsables et sous-traitants ;
- un centre de connaissances: ayant une compétence d’avis et de recommandation, sa mission sera de conseiller les autorités belges à leur demande ou d’initiative sur des mesures législatives, administratives et sur toute question liée aux traitements de données personnelles et aux technologies pouvant avoir une incidence en la matière;
- un service d’inspection (soit l’organe d’enquête de l’APD) ; c’est un peu le bras armé de la nouvelle autorité, saisi d’initiative par le comité de direction ou par la chambre contentieuse. On lui octroie des pouvoirs très importants d’enquêtes, d’identification et d’audition, d’examen sur place, d’accès à des informations par voie électronique, de consultation et de copie de données ou encore de saisie et de mise sous scellés de systèmes informatiques. Il peut même prendre des mesures conservatoires allant jusqu’à la suspension temporaire du traitement s’il considère qu’il convient d’éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable.
- une chambre contentieuse: cet organe juridique administratif sera en mesure d’adopter les mesures correctrices prévues par le GDPR (avertissement, rappel à l’ordre, injonction de mise en conformité etc. jusqu’à la condamnation à une amende administrative) ;
- Le conseil de réflexion, indépendant de l’autorité, il représentera la société dans son ensemble et aura essentiellement pour rôle de fournir des avis non contraignants sur tous sujets relatifs à la protection des données personnelles.
Le projet consacre tout un chapitre aux conditions de nomination des membres de l’autorité, pour garantir leur compétence et indépendance. Il s’agira le plus souvent de mandats de 6 ans renouvelables une fois. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés par la Chambre des représentants sur proposition des ministres après délibération en Conseil. On reste donc dans un système de nomination purement politique, ce qui n’est pourtant pas inévitable. La parité linguistique devra être respectée.
Le cadre du personnel, le statut et le mode de recrutement sont fixés par la Chambre sur proposition de l’autorité. Pour le reste, le personnel de l’Autorité est soumis aux règles légales et statutaires applicables aux agents définitifs de l’Etat.
Le système des comités sectoriels institués en son sein -et des autorisations préalables de traitement qui les caractérisaient- disparaît dans la transformation et l’abrogation des anciennes dispositions qui instituaient ce système dans la loi du 8 décembre 1992 (cfr les abrogations ci-après). On vise ici tous les comités créés sur la base de l’article 31bis de la loi du 8 décembre 1992 (comité sectoriel du Registra National, Comité sectoriel pour l’Autorité fédérale, Comité sectoriel de la Sécurité Sociale et de la Santé etc.).
Le projet prévoit cependant que les autorisations accordées antérieurement gardent leur valeur juridique, sans préjudice des contrôles de la nouvelle autorité.
Une révolution qui sera sans doute positivement perçues par les responsables de traitement concernés. Reste à savoir comment la nouvelle Autorité répondra au besoins de contrôle spécifique auxquels ils répondaient.
Nouvelles compétences et nouvelles procédures
On l’a vu et la nouvelle organisation l’atteste, la nouvelle Autorité voit ses compétences bouleversées par le GDPR.
C’est surtout la nature de celles-ci qui évoluent. Alors qu’elle était principalement confinée à un pouvoir d’avis, elle pourra dorénavant sanctionner les auteurs d’infractions.
Elle le fera par le biais de la chambre contentieuse qualifiée de manière ambigüe par le projet « d’organe juridique administratif » alors qu’elle présente bien des caractéristiques de type juridictionnel, principalement dans le traitement des plaintes, comme l’a relevé le Conseil d’Etat.
Dès lors que l’Autorité est amenée à prendre toutes sortes de décisions à la demande d’une partie à l’égard d’une autre, un grand nombre de dispositions du projet concernent la procédure qu’il faudra suivre pour obtenir une décision. On ne peut en rendre compte dans la présente nouvelle mais notons tout de suite sa complexité et certaines zones d’ombres comme la distinction et la portée exacte de celle-ci entre les demandes introduites -par toute personne- par plainte, celles par requête ainsi que les demandes de médiation et leurs conséquences précises en termes de procédure ou la possibilité de recours contre une plainte jugée irrecevable.
Quoiqu’il en soit, notons que la palette de sanctions que peut prendre la chambre contentieuse à l’issue d’une procédure de plainte est extrêmement variée : classement sans suite et prononcé de non-lieu ou suspension du prononcé, avertissements et réprimandes, injonctions diverses (faire suite à la demande d’exercice d’un droit, interdictir ou limiter le traitement de manière temporaire ou définitif, ordonner l’effacement des données etc.), impositions d’astreintes, suspension des flux transfrontières, transmission du dossier au Parquet, publication des décisions etc. Elle peut aussi infliger une amende administrative visée à l’article du GDPR dont le paiement devra intervenir dans les 30 jours.
Notons aussi qu’une prescription spécifique de 5 ans est prévue pour les faits faisant l’objet de la plainte ainsi que pour la demande en paiement des amendes.
La décision de la chambre contentieuse est susceptible d’un recours devant une chambre spécialisée de la Cour d’appel de Bruxelles, la Cour des marchés, étant entendu qu’elle est en principe exécutoire par provision, nonobstant le recours. Un recours spécifique, selon les formes du référé, est prévu devant la même Cour, en cas de mesures provisoires prises par le service d’inspection ainsi que de saisie et de mise sous scellé des documents ou systèmes informatiques ordonnés par ledit service.
Abrogation, droit transitoire et entrée en vigueur
Le projet prévoit l’abrogation de tout le chapitre VII consacré à l’ancienne Commission ainsi que le chapitre VIIbis consacré au comité sectoriel pour l’autorité fédéral.
Remarquons que les nouvelles compétences de l’autorité ne pourront pas s’appliquer aux plaintes ou demandes encore pendantes auprès de l’Autorité lors de l’entrée en vigueur de la loi. Elle « peut » néanmoins poursuivre le traitement des plaintes selon l’ancienne procédure. Un choix stratégique risque dès lors de se poser pour toutes les demandes ou plaintes envisagées à l’heure actuelle, voire celles actuellement en cours devant la CPVP, puisque celles-ci mettront probablement les demandeurs dans l’impossibilité d’obtenir une décision coercitive à l’égard du responsable ou du sous-traitant en cours.
Prochaines étapes
Le texte en projet devra donc être débattu à la Chambre étant entendu qu’il prévoit son entrée en vigueur de principe pour le 25 mai 2018 (sauf le chapitre consacré à la nomination des membres de la Commission qui entrera en vigueur le jour de sa publication au Moniteur).
Il est dense, complexe et d’une importance cruciale et devra donner lieu à une analyse approfondie si l’on veut éviter de mauvaises surprises.
Bien entendu, le futur de la nouvelle Autorité dépendra fortement des moyens qui lui seront alloués pour lui permettre de fonctionner efficacement. A ce propos, le projet ne dit évidemment rien sur l’importance de sa future dotation.
Notons aussi qu’un projet de loi-cadre (remplacement de la loi actuelle sur la protection de la vie privée) contenant les règles spécifiques faisant partie de la marge de manœuvre laissée aux Etats par le GDPR est en préparation et sera discuté au niveau du gouvernement à partir de début octobre.
La révolution opérée par le GDPR est donc maintenant bien en marche au Royaume de Belgique…