L’Autorité de protection des données est-elle (enfin) prête?

Un an après l’entrée en vigueur du RGPD, l’autorité de contrôle n’a pas réalisé la moindre inspection, ni prononcé la moindre sanction. Rencontre avec deux directeurs fraîchement nommés, qui veulent insuffler une nouvelle dynamique à l’institution.

Le comité de direction de l’Autorité de protection des données (APD) vient d’entrer en fonction. La nomination de la nouvelle équipe était en rade depuis de nombreux mois, notamment en raison d’exigences linguistiques qui ont perturbé le recrutement d’un responsable maîtrisant l’allemand. Résultat : pendant une année complète, l’institution a tourné au ralenti. L’APD avait pourtant du pain sur la planche. L’institution, qui remplace l’ancienne Commission Vie privée, est notamment chargée de mettre en oeuvre et de contrôler le respect du RGPD, le règlement européen pour la protection des données, entré en vigueur il y a un an.

Les nouveaux directeurs sont prêts : ” Il y a une nouvelle dynamique, un nouveau souffle “, assure Charlotte Dereppe, membre du comité de direction de l’APD. Directrice du service de première ligne, Charlotte Dereppe est chargée des contacts directs avec les entreprises et les citoyens qui sollicitent l’institution. Son service les conseille et les accompagne dans toutes leurs questions relatives à la protection des données personnelles.

Et des questions, les entreprises en ont beaucoup. Or, depuis l’entrée en vigueur du RGPD, l’Autorité belge de protection des données n’a pas brillé par sa proactivité. Alors que d’autres régulateurs européens ont rapidement tracé leurs priorités et n’ont pas tardé à sévir, l’APD est restée plutôt discrète. Voire amorphe ? ” Il est faux de dire que rien n’a été fait. Plus de 60 personnes extrêmement qualifiées travaillent ici. La machine a fonctionné, mais sans véritable direction, ou avec une direction de transition. On a sans doute un petit retard, mais je suis hyper optimiste. On va vite le rattraper “, assure David Stevens, président du comité de direction de l’APD.

La nouvelle équipe s’attelle à la rédaction d’une feuille de route pour remettre l’autorité sur les rails : ” Nous sommes occupés à dresser un plan stratégique proche des besoins du terrain, des citoyens, des entreprises et des responsables de traitement des données. Ça ne peut pas se faire en trois jours “, commente Charlotte Dereppe. De ce plan stratégique, attendu pour octobre prochain, découleront les orientations de l’Autorité de protection des données. L’institution fixera notamment les secteurs prioritaires dans lesquels les premières inspections auront lieu.

Fin de l’impunité

Du côté de l’APD, les choses sont claires : les entreprises doivent désormais s’attendre à voir débarquer les fonctionnaires de l’Autorité. Ceux-ci peuvent venir contrôler les registres des activités de traitement, que toute entreprise a dû constituer en application du RGPD. Ils peuvent aussi vérifier concrètement que les données personnelles sont correctement stockées et manipulées au sein de l’entreprise. Pour faire ce travail, l’APD dispose de moyens légaux importants, y compris la saisie de documents ou de matériel informatique. Jusqu’à présent, l’autorité n’a pas encore montré les crocs. Mais ce temps-là est révolu : ” Il n’y a plus d’impunité, avertit Charlotte Dereppe. Les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. On ne prononcera pas de sanctions pour le plaisir, mais le jour où ce sera nécessaire pour faire respecter des droits, elles seront prononcées. ”

Outre cette activité de ” gendarme des données “, l’APD veut aussi accentuer son rôle de ” coach ” auprès des entreprises. D’autres autorités européennes comme, en France, la CNIL (Commission nationale de l’informatique et des libertés) ont développé des guides de bonnes pratiques à l’intention des sociétés, notamment des PME, qui se retrouvent parfois démunies face à des législations qu’elles ne maîtrisent pas. ” En tant qu’autorité, nous ne nous sommes pas suffisamment tournés vers l’extérieur, notamment vers le secteur privé “, reconnaît David Stevens.

Ce juriste spécialisé dans la protection des données, qui a travaillé chez Nielsen et Telenet, présidera le comité de direction de l’APD au cours des trois prochaines années. Son expérience dans le secteur privé le pousse vers le pragmatisme : ” Je ne suis certainement pas anti-entreprises, explique-t-il. Mais je ne vais pas tout permettre non plus. Mon expérience professionnelle, c’est celle de l’efficacité. J’ai rejoint l’Autorité parce que je suis convaincu que c’est un beau défi de faire appliquer le RGPD de façon efficace au profit de tous nos citoyens “.

Le président veut changer l’image de l’institution auprès des entreprises, qui semblent se méfier de l’Autorité. Elles sont ainsi très peu nombreuses à signaler leurs data breaches, ces failles de sécurité qui touchent les données personnelles dont elles ont la responsabilité. ” Nous avons enregistré 400 notifications en 2018 en Belgique pour des data breaches, contre plus de 22.000 aux Pays-Bas ! “, s’étonne David Stevens. Le président de l’APD invite les entreprises à entrer en dialogue avec ses services. ” Quand je travaillais dans le privé, on pensait que si on évoquait un problème avec la Commission Vie privée, on risquait de rentrer avec cinq problèmes supplémentaires. Ce que je dis aujourd’hui aux entreprises, c’est que nous sommes dynamiques, jeunes, compétents… et ouverts à la discussion. ”

David contre Goliath

L’Autorité de protection des données veut aussi développer la médiation avec les entreprises, et éviter au maximum de passer par la case sanction.

” La médiation est un moyen efficace de régler les dossiers, plutôt que d’introduire des procédures juridiques qui n’aboutissent parfois à rien. On verra ce que donne notre affaire Facebook… ” L’ancienne direction de la Commission Vie privée s’est en effet engagée dans une croisade judiciaire contre Facebook, sur la question délicate de la gestion des cookies, ces petits traqueurs numériques. Un dossier qui grève le budget de l’APD de façon significative (la procédure a déjà coûté 785.000 euros), pour une efficacité qui reste à démontrer. ” Nous sommes un petit régulateur, argumente David Stevens. Aux Pays-Bas, ils sont 200, bientôt 300. Nous sommes 66. L’affaire Facebook nous a coûté beaucoup d’argent : c’est un peu David contre Goliath. Vous me direz que David a ses chances ! ( rires) C’est vrai, nous ne devons pas capituler, mais si nous voulons être efficaces face à des entreprises globales comme Facebook, nous devons collaborer avec nos partenaires européens. ” Des régulateurs européens qui envisagent de se répartir la charge de travail, pour éviter de disperser leurs efforts. ” Un régulateur pourrait par exemple se spécialiser dans la question des cookies, ou dans celle du consentement. Ce serait plus efficace “, estime David Stevens.

Le nouveau président de l’APD, qui revendique être un utilisateur intensif des services de grandes plateformes comme Google, joue la carte de la modération : ” Avec le RGPD, on peut facilement tuer tout esprit d’entreprise ou toute avancée technologique. Mais ce n’est pas le but. Nous devons trouver une synergie entre l’application des principes posés par le RGPD et le développement des outils technologiques que nous aimons tous “.