A l’approche du 25 mai 2018, de nombreuses entreprises ont mis le turbo pour parvenir à se conformer pour cette date à la nouvelle législation européenne en matière de protection de la vie privée – le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais). Aujourd’hui, tout le monde doit comprendre que ces efforts ne peuvent pas faiblir. Certains doivent même passer à la vitesse supérieure pour être réellement conformes au GDPR. Ou pour y rester conformes.
Un long parcours
Malheureusement, nos pouvoirs publics ne semblent pas penser que cette vitesse soit nécessaire. Le 25 mai, certes, l’Autorité de protection des données (APD) était bien en place : l’ancienne Commission de protection de la vie privée a été transformée à temps grâce à la loi constitutive de 2017. Mais après cela, on a pu attendre. La nouvelle loi belge sur la protection de la vie privée, qui devait encore donner au GDPR un certain nombre d’accents belges, ainsi que modifier plusieurs lois belges, ne nous est parvenue qu’en juillet de l’année dernière.
Et ceux qui s’attendaient à un démarrage proactif et réactif immédiat de l’APD sont restés sur leur faim. En effet, les moyens de l’ancienne Commission n’ont pas vraiment été renforcés, et la nomination de la nouvelle direction a même lambiné pendant près d’un an, jusqu’en avril 2019.
Après un préambule aussi long, ce n’est que maintenant qu’une nouvelle stratégie et une nouvelle vision peuvent être élaborées. Une stratégie qui devrait déterminer comment l’APD agira en matière d’aide et de conseil aux entreprises, mais aussi avec quelle sévérité elle agira contre ceux qui commettent des infractions.
En bref, alors que les entreprises travaillent sur la conformité au GDPR depuis plus d’un an, l’APD ne peut vraiment décoller que maintenant. Du moins après la répartition du personnel de l’Autorité entre les nouvelles entités, comme le prévoit l’acte constitutif : il s’agit du secrétariat général, le suivi des réclamations (service de première ligne), le contrôle des entreprises (service d’inspection), la chambre contentieuse, et le centre de connaissances.
Alors que les entreprises travaillent sur la conformité au RGPD depuis plus d’un an, l’APD ne peut vraiment décoller que maintenant.
Rapport annuel
L’Autorité n’est cependant pas restée complètement inactive au cours de la dernière année. Un premier rapport annuel a été publié sur son site web. Ce rapport reprend encore plusieurs activités passées, telles que la fourniture d’avis et le traitement de plus de 2 000 déclarations de traitement de données.
Par la suite, le service de première ligne, le service d’inspection et la chambre contentieuse ont adapté leur fonctionnement aux tâches nouvelles et plus nombreuses. Ce faisant, ils se sont immédiatement heurtés aux limites des ressources disponibles. Par exemple, le rapport du service de première ligne dit : “Avec le même taux d’occupation, le service a dû faire face à une augmentation sans précédent de tâches et a dès lors aussi dû faire des choix au niveau du mode de traitement.” Et plus loin : “Le citoyen est invité, dans la mesure du possible, à exercer avant tout lui-même ses droits auprès du responsable du traitement, et ce dans l’esprit du RGPD.” L’année électorale 2018 a également été synonyme de travail supplémentaire, dans le contexte de la propagande électorale.
En 2018, l’APD a consacré beaucoup d’énergie à l’information sur le GDPR, tant sur son propre site web que lors de nombreuses conférences et d’exposés.
Du pain sur la planche
Maintenant que les membres du comité de direction de l’APD ont été définitivement nommés, nous attendons avec impatience le développement réel des activités. Ils doivent encore relever de nombreux défis. En effet, un certain nombre d’interprétations du GDPR sont également développées au niveau européen. Et il reste à voir avec quelle rigueur l’APD agira contre les entreprises et les organisations qui commettent des infractions. Vont-ils se consacrer principalement aux gros poissons, comme l’initiative contre Facebook ? Ou prendre aussi en compte les petites entreprises, et si oui, avec quelle sévérité ? Après tout, beaucoup de PME – peut-être même la plupart – se débattent encore avec le GDPR.
Et il y a aussi la conformité dans la pratique. Dans quelle mesure les entreprises gèrent-elles vraiment correctement les données personnelles ? Comment communiquent-elles avec les personnes concernées ? Un test de la VRT effectué dans 40 entreprises, à la fin de 2018, a montré que les demandes des personnes concernées n’obtenaient souvent pas de réponse, ou alors une réponse inadéquate. Et puis, il y a certainement déjà une lassitude envers le GDPR dans les entreprises, sans parler de celles où rien (ou pas assez) n’a été fait. En bref, après un an de l’Autorité belge de la protection des données, la montagne GDPR a accouché d’une souris, qui, espérons-le, se développera vigoureusement au cours de la prochaine année.
Photo: Jan Antonin Kolar via Unsplash
En savoir plus?
