30 sep
2020

L’Autorité publie son rapport annuel 2019

L’année 2019 est celle de la transformation de l’ancienne Commission Vie Privée en véritable Autorité. Elle a été marquée par la nomination du Comité de direction et la mise en place d’un Plan Stratégique 2020-2025 solide permettant à l’APD de fixer une direction et des priorités claires pour les années à venir. Plus concrètement, 2019 fut aussi l’année des premières amendes RGPD en Belgique et de la mise en place de nouvelles procédures qui ont ouvert la voie vers les actions de l’APD en 2020.


Plan stratégique 2020-2025

Dès sa nomination, milieu de l’année 2019, le nouveau Comité de direction s’est attelé à la création d’un Plan Stratégique 2020-2025 afin d’organiser le plus efficacement possible la protection des données des belges durant toute la durée de son mandat. Ce plan fixe pour les 5 années à venir les objectifs de l’APD, les moyens nécessaires pour y parvenir, ainsi que ses grandes priorités, comme la protection de la vie privée en ligne ou encore des données sensibles comme les données biométriques ou de santé.

Vers une autorité plus proactive : les dossiers de monitoring

Fin 2019, l’APD a mis en place un système de monitoring qui lui permet d’activement se renseigner sur les évolutions technologiques et sociétales liées à la protection des données. L’APD peut ainsi rapidement réagir quand elle prend connaissance de traitements comportant de possibles risques pour les droits des citoyens en matière de protection des données via une prise de contact informelle.

Cette nouvelle procédure fut activée, entre autres, suite à l’annonce d’une école souhaitant organiser le paiement de sandwiches à l’aide d’un scan de la paume de la main, ou encore d’une chaine de magasins souhaitant lancer des paiements par empreintes digitales.

Cette prise de contact, si elle ne permet pas de répondre aux doutes de l’APD, peut être suivie du lancement par le Comité de direction de l’APD d’une enquête formelle.

Premier pas vers la transformation en véritable autorité de contrôle

Avec le développement du Service d’Inspection et de la Chambre Contentieuse, 2019 fut une année importante pour la mise en place de la tâche de contrôle de l’APD. Des premières enquêtes ont ainsi vu le jour, et, en mai 2019, l’APD prononçait sa première amende : 2000 euros à l’encontre d’un bourgmestre qui avait détourné des adresses e-mails obtenues lors de son mandat à des fins de publicité politique. Elle prononcera la même année encore deux amendes (5.000 euros chacune) pour des faits similaires. Pour l’APD, les mandataires et autorités publiques doivent faire figure d’exemple en matière de protection des données, c’est pourquoi elle a décidé de faire du secteur public l’une de ses grandes priorités stratégiques.  

D’autres sanctions marquantes de 2019 sont par exemple la réprimande du SPF Santé Publique, ou encore l’amende infligée à un site juridique pour non-respect des règles en matière de cookies (15.000 euros).

Sensibilisation : maitrisermesdonnées.be, campagne PME et Jedécide.be

Le RGPD a maintenant deux ans, mais l’APD sait que sa compréhension et son application ne sont pas toujours évidentes, surtout pour les citoyens et les petites organisations. En 2019, l’Autorité n’a donc pas ménagé ses efforts en termes de sensibilisation envers ces publics. Elle a par exemple lancé une campagne dédiée aux Petites et Moyennes Entreprises (PME) comprenant notamment la création d’une boîte à outils pour les soutenir dans leur mise en application du RGPD.  Elle lance aussi un travail de consultation des entreprises afin de rédiger une recommandation pour les accompagner dans leurs traitements de données à caractère personnel à des fins de marketing direct.

Pour les citoyens, elle lançait fin novembre maitrisermesdonnées.be qui vise à informer de manière claire et accessible sur les droits en matière de protection des données, et comment les exercer en pratique.

L’APD a également continué ses efforts pour sensibiliser les personnes plus vulnérables, notamment via son projet 'Je décide' dédié aux plus jeunes (ainsi qu’à leur parents et aux enseignants).

L’année 2019 en chiffres

Au total en 2019, l’APD a traité 6447 dossiers de fond dont 5168 demandes d’information, et 331 demandes en médiation/plaintes .

Le nombre des dossiers de fuites de données auprès de l’APD a explosé en 2019, avec 869 notifications contre 445 en 2018, soit une augmentation de 95,28 %. Celle-ci s’explique par le fait que l’obligation de notifier une fuite de données à l'APD ne s’est généralisée que moitié de l’année 2018. Cette obligation avant la mise en place du RGPD le 25 mai 2018 ne concernait en effet que le secteur des télécommunications.

Outre des questions générales sur le RGPD, les droits des personnes concernées et les principes de la vie privée, les demandes d’information portent principalement sur les caméras de surveillance, le droit à l’image et le marketing direct. Ces mêmes sujets se reflètent dans les demandes de médiation. 

Enfin, l’APD a reçu en 2019 185 demandes d’avis. Ceci représente une légère baisse par rapport à 2018 (215 demandes), qui s’explique par le fait que l’année se soit écoulée sous un gouvernement en affaires courantes.

2020 : les efforts continuent

L’année 2020 est bientôt écoulée, marquée par une crise sanitaire sans précédent, qui a eu également un impact non négligeable sur la protection des données personnelles. Cette crise n’a pas empêché l’APD de continuer sur la voie lancée en 2019. Malgré des ressources limitées, elle a mis les bouchées doubles sur la sensibilisation, notamment en créant sur son site web un dossier thématique COVID-19 alimenté régulièrement de nouvelles lignes directrices et questions-réponses afin de guider citoyens et responsables du traitement en ces temps incertains.

Elle a également rendu aux parlementaires, gouvernements, ou encore d’autres acteurs publics ou privés de nombreux avis relatifs à des initiatives liées à la crise sanitaire, en ce compris pas moins de 10 avis sur des textes normatifs encadrant le traçage des contacts, mais également des avis sur des initiatives visant à protéger temporairement les citoyens et les entreprises contre les conséquences économiques de cette crise.

Face aux diverses initiatives liées au COVID-19, elle a aussi redoublé de vigilance dans son processus de monitoring, réagissant notamment à l’installation de caméras intelligentes pour surveiller l’affluence à la côte belge, à la prise de température à Brussels Airport, à l’initiative d’une commune d’imposer des tests Covid-19 ou encore à la manière dont certains établissements horeca appliquaient l’obligation de collecter les données de contact des clients

Evolution du budget de l’APD

En 2021, l’APD espère pouvoir continuer dans sa voie, mais pour cela elle aura besoin de plus de ressources humaines et financières afin de pouvoir réaliser son Plan Stratégique 2020-2025 et d’assumer l’augmentation importante de la charge de travail qu’a impliquée l’entrée en application du RGPD. L’APD souhaiterait voir son budget et son cadre augmenter de manière structurelle afin de pouvoir garder tous ses collaborateurs actuels à durée indéterminée et d’en engager encore 14 supplémentaires dans les 5 prochaines années. Plus de détails sur l’évolution du budget de l’APD sont disponibles dans son Plan Stratégique 2020-2025.

Pour l’APD, appliquer le RGPD de manière cohérente et efficace en Belgique, mais aussi en Europe, demande que tous les états-membres investissent dans leur(s) régulateur(s).

Pour plus d'informations, consultez l'intégralité de notre rapport annuel 2019.

Liens intéressants