1. C’est la quatrième fois, depuis avril 2019, que l’Autorité de protection des données sanctionne un candidat aux élections pour ce type de comportement, qui viole la protection des données à caractère personnel des citoyens et, partant, leur droit fondamental à la vie privée. C’est dire qu’il est important que cessent ces pratiques qui nuisent à la confiance du citoyen en l’État, mais aussi combien les règles en la matière étaient peu connues jusqu’ici.
Ces décisions mettent en avant le rôle majeur de l’Autorité de protection des données pour donner une crédibilité et une effectivité aux règles de protection des données à caractère personnel.
2. L’Autorité de protection des données est l’institution qui a succédé à la Commission de la protection de la vie privée (la « CPVP »).
Cette dernière était instituée depuis 1992. Elle jouait déjà un rôle de chien de garde pour protéger la vie privée des citoyens à l’occasion des traitements de leurs données par les entreprises et les pouvoirs publics, appelés « responsables de traitement ». Malheureusement, le législateur n’avait pas jugé utile de lui donner de réels pouvoirs de sanction, et en particulier, le pouvoir d’imposer une amende. La Commission de la protection de la vie privée apparaissait donc comme un chien de garde sans dent, qui ne faisait pas peur aux responsables de traitements.
Pour le public, les règles juridiques de protection des données, déjà très nombreuses, passaient pour des règles de « bonnes pratiques », sans force contraignante.
3. À l’occasion de l’adoption du Règlement européen général sur la protection des données à caractère personnel (dit « RGPD »), le législateur belge n’a plus eu le choix : il a été contraint de clarifier le statut et de renforcer les compétences de notre autorité de contrôle nationale.
La Commission de la protection de la vie privée a alors été rebaptisée « Autorité de protection des données » et encadrée par une nouvelle loi, celle du 3 décembre 2017 ‘portant création de l’Autorité de protection des données’ (la « LCA »).
4. Au niveau de son statut, l’Autorité de protection des données est aujourd’hui une autorité administrative indépendante conçue selon le modèle des autres autorités de régulation que sont la Commission de régulation de l’électricité et du gaz (CREG, dans le secteur de l’énergie) et l’Institut belge des services postaux et des télécommunications (IBPT).
Elle est désormais dotée de la personnalité juridique, ce qui signifie notamment qu’elle peut elle-même être assignée en justice et condamnée si, par exemple, une abstention fautive d’agir devait lui être reprochée.
5. Les compétences de l’Autorité de protection des données sont renforcées, notamment grâce à la création, en son sein, de la chambre contentieuse qui fait de l’APD une autorité administrative quasi-juridictionnelle.
Cette chambre contentieuse peut prononcer différentes sanctions, une amende administrative mais aussi une réprimande, une interdiction de traitement, un effacement de données, etc. (article 100 de la loi dite « LCA » du 3 décembre 2017). Au niveau de la procédure devant la chambre contentieuse, le plaignant et le défendeur sont invités à échanger des conclusions et peuvent demander à être entendus.
6. Les décisions de l’Autorité de protection des données sont susceptibles d’un recours juridictionnel, comme l’exige l’article 78 du RGPD.
Si le recours est dirigé contre la décision d’imposer une amende, celui-ci doit être introduit devant la Cour des marchés (article 108 de la loi dite « LCA » du 3 décembre 2017). Ce choix du législateur est regrettable à notre sens. Cette Cour est composée de juges spécialisés dans le droit économique. Or, la protection des données est un moyen de protéger les droits fondamentaux des citoyens. Le but n’est pas de stimuler une concurrence économique entre entreprises. En outre, il existe des cas d’amendes, comme en l’espèce, qui ne concernent pas les entreprises mais le fonctionnement de l’État, ce qui renforce encore le caractère peu adéquat de la Cour des marchés comme instance de recours.
Pour les recours contre les autres types de sanction, le législateur est silencieux. Il est raisonnable de penser que le Conseil d’Etat sera le juge naturel de ces recours, comme il aurait d’ailleurs dû l’être pour les recours contre les amendes.
7. Notons enfin que, pour œuvrer à la pleine effectivité de la protection des données à caractère personnel de chacun, le travail de l’Autorité de protection des données doit se nourrir de la collaboration des citoyens.
À cet égard, il est important que chaque individu ait conscience qu’il a des droits sur ses données, comme l’explique d’ailleurs l’autorité de protection des données sur son site internet , qu’il ne doit pas avoir peur de les exercer auprès des responsables de traitement (en demandant, par exemple, la copie des données enregistrées à son sujet et la raison de cet enregistrement), voire de porter plainte gratuitement auprès de l’autorité de protection des données.
Ainsi peut-on espérer que, petit à petit, la protection des données à caractère personnel des citoyens et, partant, de leur vie privée, s’ancre dans la culture et les pratiques quotidiennes de chacun.
Votre point de vue
Justice en ligne Le 7 septembre 2020 à 13:13
Par la même occasion, Élise Degrave précise que, « pour porter plainte auprès de l’Autorité de protection des données, on peut utilement vous rendre sur le site internet www.autoriteprotectiondonnees.be et cliquer sur l’onglet « AGIR ». On peut alors sélectionner le lien « Introduire une plainte » et y trouver les explications utiles sur la marche à suivre ainsi qu’un formulaire ad hoc à compléter"
Répondre à ce message
Justice en ligne Le 7 septembre 2020 à 13:13
En réponse au message de Jean, Élise Degrave nous fait part des informations suivantes :
« Le pouvoir d’amende de l’Autorité de protection des données est récent. Il est organisé par la loi du 3 décembre 2017.
Concrètement, la mise en place de l’Autorité de protection des données a pris un certain temps si bien que la première amende fixée par celle-ci date de décembre 2019, comme en atteste son site internet.
Il est préférable d’attendre encore un peu pour pouvoir dresser les traits d’une ‘jurisprudence constante’, s’agissant notamment de l’intensité des amendes imposées.
Récemment, l’Autorité de protection des données a montré que, dans certains cas, une amende d’un montant élevé est justifiée. À cet égard, permettez-moi de vous renvoyer à la décision n° 37/2020 du 14 juillet 2020 imposant une amende de 600.000 euros à Google, amende doublée d’autres sanctions, comme la cessation de certaines pratiques »
Répondre à ce message
Jean Le 21 février 2020 à 16:07
Chère Mme Degrave,
Merci pour cet article très intéressant. J’aurais une question à propos de laquelle j’aurais aimé obtenir votre avis :
Comment se fait-il que les amendes infligées par la DPA belge soient si nombreuses et surtout si peu élevées comparées à ce qui se fait dans d’autres pays européens ?
Ne risque t’on pas de voir les entreprises préférer prendre le risque de recevoir une amende qui, au final, leur coûterait moins cher que de mettre en place les mécanismes permettant d’être conforme au GDPR ?
Merci d’avance de votre réponse,
Bien à vous,
Jean
Répondre à ce message