Le 16 novembre 2017, le projet de loi portant création de l'Autorité de protection des données a été adopté par la Chambre des représentants. Ce projet de loi a pour objectif de mettre la Commission de la Protection de la Vie Privée (Commission vie privée) en conformité avec le nouveau Règlement européen sur la protection des données.
A partir du 25 mai 2018, le nouveau cadre législatif européen en matière de protection des données sera d'application. Toutes les entreprises qui traitent des données personnelles devront se conformer au Règlement européen sur la protection des données (« RGPD »). Les sanctions en cas de non-respect, dont des lourdes amendes qui peuvent atteindre 20.000.000 EUR ou jusqu'à 4 % du chiffre d'affaires annuel mondial total d'une entreprise sont maintenant bien connues (article 83 du RGPD).
Le 23 août 2017, le gouvernement a présenté un projet de loi qui transforme la Commission vie privée en une Autorité de protection des données (« APD ») et qui lui confère les pouvoirs nécessaires pour (entre autres) pouvoir appliquer ces nouvelles sanctions (voir Exposé des motifs). Le 16 novembre 2017, ce projet de loi a été adopté en séance plénière de la Chambre des représentants (voir texte adopté).
En d'autres termes, la Commission passera d'un simple organe d'avis à une autorité de contrôle et de sanction. Donner des conseils et fournir de l'information aux particuliers, aux entreprises et aux responsables politiques demeure une compétence prioritaire de l'APD. Si, toutefois, la législation n'est pas respectée, l'APD peut entamer une enquête et effectuer des inspections pouvant mener à des mesures contraignantes et, en fin de compte, à une amende administrative.
Afin d'être en mesure d'effectuer ces nouvelles compétences de manière efficace, le projet de loi prévoit une structure particulière. L'APD sera composée à l'avenir de six organes:
- Le comité de direction: il est chargé de déterminer la politique générale et les priorités annuelles de l'APD.
- Le secrétariat général: il gère des tâches quotidiennes internes de l'Autorité.
- Le service de première ligne: il est chargé de recevoir les plaintes et requêtes introduites auprès de l'APD, de les qualifier et d'en examiner la recevabilité.
- Le centre de connaissances: il a une compétence d'avis et de recommandation sur toute question liée aux traitements de données personnelles et aux développements sociaux, économiques et technologiques pouvant avoir une incidence en la matière.
- Le service d'inspection: on lui octroie des pouvoirs importants d'enquêtes, d'identification et d'audition, d'examen sur place, d'accès à des informations par voie électronique, de consultation et de copie des données ou encore de saisie et de mise sous scellés de systèmes informatiques.
- La chambre contentieuse: en tant qu'organe juridique administratif de l'APD, elle est, entre autres, habilitée à imposer des amendes administratives lorsqu'elle constate des violations à la législation. Un recours contre une décision de la chambre contentieuse peut être formé devant la Cour des marchés (Cour d'appel) à Bruxelles.
L'Autorité sera par ailleurs épaulée par un conseil de réflexion, afin de veiller à ce qu'elle reste en contact avec la réalité de tous les jours. Il devra être représentatif de toutes les composantes de la société (représentants du monde des entreprises, fédérations professionnelles, organisations de consommateurs ou monde académique) et aura essentiellement pour rôle de fournir des avis non contraignants sur tous sujets relatifs à la protection des données à caractère personnel.
Enfin, contrairement à la Commission vie privée qui l'a précédée, l'Autorité de protection des données ne comptera plus en son sein de comités sectoriels qui octroient les autorisations pour le traitement de données à caractère personnel. Pour des raisons de sécurité juridique pour les responsables du traitement et les sous-traitants, toutes les autorisations accordées par le passé gardent leur validité juridique, sans préjudice d'un éventuel contrôle par l'APD.
L'Autorité de protection des données doit en principe être active au plus tard le 25 mai 2018. Néanmoins, de nombreux aspects doivent encore être réglés en détail. L'entrée en vigueur de la réforme pour le 25 mai 2018 se pourrait dès lors voir compromise.