GDPR : l’Autorité de protection des données, garante du respect des obligations

L’application en mai prochain du RGDP, Règlement européen sur la Protection des Données Personnelles, s’accompagnera d’un renforcement des pouvoirs de la Commission de la Protection de la Vie Privée. Elle prendra le nom d’ « Autorité de protection des données ». Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.

S’il était relativement peu risqué (peu de contrôle, faible sanction, etc.) de traiter des données personnelles à la légère, l'extension des pouvoirs de l'Autorité de protection des données ( voir la loi belge du 3 Décembre 2017) va bientôt changer la situation. Mieux vaut être prêt pour mai 2018…

Il existe dans chaque pays de l’Union européenne un organe indépendant chargé de faire respecter la législation relative à la protection des données. Pour parvenir à cet objectif, ces autorités de contrôle ont plusieurs missions :

• Informer et sensibiliser les citoyens, les responsables de traitement et les sous-traitants sur l’existence d’une légalisation spécifique en matière de protection des données ;
• Accompagner les responsables de traitement et leur(s) sous-traitant(s) dans la mise en conformité de leur(s) traitement(s) avec la législation ;
• Contrôler le respect de la législation par les responsables de traitement ;
• Traiter les réclamations introduites par une personne concernée… ; et
• Sanctionner les responsables de traitement(s) en cas de violation de la réglementation.

La Belgique a décidé d'étendre les pouvoirs de la Commission de la Protection de la Vie Privée pour remplir ces missions dès le 25 mai 2018. Elle prendra le nom d'Autorité de protection des données.

Afin de pouvoir contrôler au mieux le respect du GDPR, ces autorités de contrôle pourront :

Pour instruire le dossier, l'autorité de contrôle peut

• identifier des personnes;
• auditionner des personnes;
• mener une enquête écrite;
• procéder à des examens sur place;
• consulter des systèmes informatiques et copier les données qu'ils contiennent;
• accéder à des informations par voie électronique;
• saisir ou mettre sous scellés des biens ou des systèmes informatiques;

En cas de demande de l’Autorité de protection des données, le responsable de traitement doit coopérer pleinement avec celle-ci et ne pas entraver son travail en cachant certaines informations pertinentes.

Sur base de son enquête, l’Autorité de protection des données ( à travers sa chambre contentieuse) pourra notamment, en fonction des circonstances et de la gravité des manquements constatés :

• Avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du GDPR ;
• Rappeler à l'ordre un responsable du traitement;
• Ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits;
• Ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du GDPR;
• Ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;
• Proposer des transactions;
• Imposer une amende administrative pouvant aller - dans les cas les plus graves – jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial (le plus élevé des deux).

Un recours contre les décisions de la chambre contentieuse est possible devant la Cour des marchés (Cour d’appel de Bruxelles)

L’Autorité de Protection des Données peut également passer par la voie judiciaire en agissant en son nom propre ou transmettre le dossier au parquet du Procureur du Roi de Bruxelles.

Comme vous le voyez, l’[profiles type="single" slug="autorite-de-protection-des-donnees" display="link"]Autorité de Protection des Données[/profiles] aura maintenant les moyens de faire respecter cette législation encore trop méconnue.