Le 10 janvier 2018 , la loi du 3 décembre 2017 portant création de l'Autorité de protection des données a été publiée au Moniteur belge. La loi a pour objectif de mettre la Commission de la Protection de la Vie Privée (Commission vie privée) en conformité avec le nouveau Règlement européen sur la protection des données.
A partir du 25 mai 2018, le nouveau cadre législatif européen en matière de protection des données sera d'application. Toutes les entreprises qui traitent des données personnelles devront se conformer au Règlement européen sur la protection des données (« RGPD ») . Les sanctions en cas de non-respect, dont des lourdes amendes qui peuvent atteindre 20.000.000 EUR ou jusqu'à 4% du chiffre d'affaires annuel mondial total d'une entreprise sont maintenant bien connues (article 83 du RGPD). La loi du 3 décembre 2017 transforme la Commission vie privée en une Autorité de protection des données (« APD ») et lui confère les pouvoirs nécessaires pour (entre autres) pouvoir appliquer ces nouvelles sanctions.
À quoi ressemble la nouvelle Autorité de protection des données?
Afin d'être en mesure d'effectuer ces nouvelles compétences de manière efficace, la loi prévoit une structure particulière. L'APD sera composée à l'avenir de six organes (article 7):
- Le comité de direction: il est chargé de déterminer la politique générale et les priorités annuelles de l'APD.
- Le secrétariat général: il gère des tâches quotidiennes internes de l'Autorité.
- Le service de première ligne: il est chargé de recevoir les plaintes et requêtes introduites auprès de l'APD, de les qualifier et d'en examiner la recevabilité.
- Le centre de connaissances: il a une compétence d'avis et de recommandation sur toute question liée aux traitements de données personnelles et aux développements sociaux, économiques et technologiques pouvant avoir une incidence en la matière.
- Le service d'inspection: on lui octroie des pouvoirs importants d'enquêtes (cf. infra).
- La chambre contentieuse: en tant qu'organe juridique administratif de l'APD, elle est, entre autres, habilitée à imposer des amendes administratives lorsqu'elle constate des violations à la législation. Un recours contre une décision de la chambre contentieuse peut être formé devant la Cour des marchés (Cour d'appel) à Bruxelles.
L'Autorité sera par ailleurs épaulée par un conseil de réflexion, afin de veiller à ce qu'elle reste en contact avec la réalité de tous les jours. Il devra être représentatif de toutes les composantes de la société (représentants du monde des entreprises, fédérations professionnelles, organisations de consommateurs et monde académique) et aura essentiellement pour rôle de fournir des avis non contraignants sur tous sujets relatifs à la protection des données à caractère personnel.
Quels sont les pouvoirs de l'Autorité de protection des données?
La Commission passera d'un simple organe d'avis à une autorité de contrôle et de sanction, avec le pouvoir de conseiller, enquêter et poursuivre.
La mission générale de l'APD est de contrôler le respect des principes de base de la protection des données personnelles et des lois qui contiennent des dispositions sur la protection du traitement des données personnelles (article 4). En outre, l'APD peut signaler les infractions aux autorités judiciaires (article 6) et même engager des actions en justice afin de faire respecter la législation relative à la protection des données personnelles (article 7).
En particulier, l'APD peut:
- Donner des conseils et fournir des informations aux particuliers, aux entreprises et aux responsables politiques sur la façon dont ils peuvent se conformer à la législation sur la protection des données.
- Guider les entreprises afin qu'elles utilisent au maximum les instruments de prévention prévus dans l'RGPD, tels que la certification, le respect des codes de conduite ou l'intervention du délégué à la protection des données.
- Vérifier les responsables du traitement et leurs sous-traitants via le service d'inspection. Ce service d'inspection peut imposer des mesures provisoires (par exemple la suspension du traitement des données personnelles), recueillir des informations, identifier ou interroger des personnes, effectuer des enquêtes sur place (avec la permission du résident ou l'autorisation d'un juge d'instruction), consulter et copier des systèmes informatiques et saisir ou sceller des marchandises (articles 64-91).
- Imposer un large éventail de sanctions, y compris les amendes administratives notoires (article 100).
La loi entrera en vigueur le 25 mai 2018 (à l'exception du chapitre III sur la nomination des membres de l'APD qui entre en vigueur lors de sa publication au Moniteur belge). Le Roi peut cependant fixer une date d'entrée en vigueur antérieure pour chacune des dispositions de la loi.
Souhaitez-vous en savoir plus sur l'RGPD et comment votre entreprise peut-elle se préparer?
Consultez notre site Web ou contactez un de nos spécialistes.