Lawyerz

15/06/18 à 11:55 - Mise à jour à 11:55

RGPD : faut-il avoir peur de la nouvelle Autorité de protection des données ?

Le nouveau gendarme belge des données, censé contrôler le respect du RGPD, est-il prêt à assumer son rôle ? S'apprête-t-il à dégainer ses premières amendes ? Rien n'est moins sûr...

RGPD : faut-il avoir peur de la nouvelle Autorité de protection des données ?

© Mellon

Un nouvel organisme belge de contrôle des données vient de faire son apparition. L'Autorité de protection des données (APD) a été créée par la loi du 3 décembre 2017, transposant en droit belge les articles du RGPD (Règlement général sur la protection des données) relatifs aux autorités de contrôle. Un projet de loi vient - enfin - d'être déposé pour compléter la mise en oeuvre du règlement[1].

L'APD doit contrôler la manière dont nos données sont utilisées et nous informer de nos droits et obligations à cet égard. L'autorité traite les demandes et réclamations qui lui sont adressées, peut procéder à des inspections... et imposer des sanctions lorsque le RGPD n'est pas respecté.

On le sait, le montant des amendes a de quoi faire frémir même les membres du GAFA (Google, Apple, Facebook et Amazon), dans la mesure où celles-ci peuvent s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires mondial total de l'exercice précédent (le montant le plus élevé étant retenu).

Plutôt dissuasif... et inquiétant pour les entreprises qui sont encore occupées à se mettre en conformité avec le règlement européen. Doivent-elles craindre les premiers coups de bâton du nouveau gendarme des données ? Pas sûr, tant l'APD ne semble pas encore prête.

Des organes pas encore en place

La nouvelle autorité qui comptera, à terme, une cinquantaine de collaborateurs n'en est qu'à ses premiers soubresauts. Le site de l'APD signale d'ailleurs que les membres de certains de ces organes clés doivent encore être nommés par la Chambre des représentants. Durant cette période transitoire, ce sont les membres de l'ancienne "Commission Vie Privée" qui exerceront les compétences de l'APD.

Des formalités préalables

Une fois ses organes en place, l'APD ne pourra pas immédiatement tourner à plein régime. Son comité de direction devra encore, entre autres, se prononcer sur le plan stratégique et le plan de gestion de l'APD, y compris ses priorités annuelles. Au préalable, il devra solliciter l'avis du conseil de réflexion - organe "périphérique" indépendant qui assiste l'APD et dont la composition doit refléter la société dans son ensemble - et soumettre le plan stratégique à la consultation publique pendant au moins deux semaines.

De nombreuses exigences pour les collaborateurs... mais pas de poste ouvert

En outre, même si l'APD ne semble pas s'en inquiéter pour l'instant (aucun poste n'est actuellement ouvert sur son site), le recrutement de ses collaborateurs devrait lui faire perdre un temps précieux, tant les exigences légales en termes de compétences, expérience, indépendance et probité morale des futurs candidats sont nombreuses.

Au vu de ces éléments, beaucoup expriment déjà des doutes quant à la capacité du successeur de la Commission Vie Privée à faire face à l'avalanche de questions, réclamations et autres requêtes qui vont lui être adressées durant les premiers mois d'application du RGPD.

Plusieurs possibilités pour éviter les sanctions

Les tant redoutées sanctions administratives ne risquent donc pas d'être prononcées avant un certain temps, d'autant plus que la loi du 3 décembre 2017 prévoit plusieurs possibilités pour les éviter : médiation, respect des injonctions de mise en conformité, conclusion d'une transaction, suspension du prononcé, ... Soit autant de mesures alternatives qui illustrent l'esprit de collaboration et de dialogue - et non de sanction systématique - censé, d'après la loi, imprégner l'action de l'APD.

Informer, accompagner et conseiller sont les priorités

Pour illustrer l'intention du législateur, Peter Dedecker, parlementaire impliqué dans l'élaboration de la loi, déclarait en mars dernier : "Soyons clairs : il pourra y avoir des sanctions, mais cette arme ne sera brandie qu'en tout dernier ressort. Informer, accompagner et conseiller comptent plus". Philippe De Backer, Secrétaire d'Etat en charge du respect de la vie privée, abondait également dans son sens : "Si après avoir constaté une infraction, l'entreprise concernée apporte les corrections nécessaires, on n'ira pas plus loin. L'objectif n'est vraiment pas d'alimenter les caisses de l'état."

Premières plaintes

Forte du RGPD et de ses 500 millions de consommateurs, l'Union européenne dispose à présent d'un "market power" susceptible de faire plier les géants du net. Premier coup de semonce : quelques heures à peine après l'entrée en vigueur du RGPD, l'ONG "NOYB" (pour "None of your business") de l'activiste autrichien Maximilien Schrems a lancé trois plaintes devant les autorités de protection des données autrichienne, allemande et belge contre respectivement Facebook, WhatsApp et Instagram (toutes deux filiales de Facebook) pour un montant total de 3,9 milliards d'euros[2]. Il leur est reproché de contrevenir au RGPD en ne donnant pas le libre choix aux utilisateurs d'accepter ou de refuser leurs nouvelles règles en matière de données personnelles.

Cette plainte constitue le premier test "grandeur nature" pour notre jeune APD. Durant les prochains mois, il sera intéressant de comparer le sort réservé à ces plaintes par les différentes autorités européennes. Dans quels délais vont-elles être traitées ? Pour quel résultat ? Quel sera le montant des amendes, le cas échéant ? Les autorités saisies vont-elles collaborer pour assurer une certaine cohérence dans l'application du RGPD ?

Dans l'attente, que les autres entreprises traitant des données personnelles de citoyens belges se rassurent : le prononcé de sanctions faramineuses à leur égard n'est sans doute pas pour demain.

Miguel Mairlot - Avocat

Thomas Faelli - Avocat

Ethikos Lawyers

[1] Projet de loi du 11 juin 2018 relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

[2] Une plainte a également été déposée contre Google devant la CNIL (autorité française de protection des données) pour des motifs similaires, mais distincts (https://noyb.eu/wp-content/uploads/2018/05/pa_forcedconsent_en.pdf).

Nos partenaires