Organisation
L'Autorité de protection des données (APD) est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. L'Autorité a été créée au sein de la Chambre des représentants belge par la loi du 3 décembre 2017 portant création de l'Autorité de protection des données et succède à la Commission de la protection de la vie privée.
L’Autorité se compose de cinq organes et d'un Comité de direction :
Le Secrétariat Général a pour tâches d'appui de :
- gérer les questions relatives aux ressources humaines, au budget et à l'informatique de l'Autorité de protection des données;
- gérer toute question juridique relative à la gestion et au fonctionnement de l'Autorité de protection des données;
- gérer la communication interne et externe.
Le Secrétariat Général a également pour tâches exécutives de :
- surveiller les développements sociaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel (article 20, § 1er, 1° de la LCA);
- établir la liste des traitements qui requièrent une analyse d'impact relative à la protection des données;
- formuler des avis dans le cadre d'une analyse d'impact relative à la protection des données à un responsable du traitement dans le cadre d'une consultation par le responsable du traitement de l'Autorité de protection des données;
- approuver les codes de conduite;
- promouvoir l'introduction de mécanismes de certification et approuver les critères de certification;
- établir et faire connaître les critères pour l'agrément d'un organe de contrôle des codes de conduite;
- veiller à l'agrément d'un organe de contrôle des codes de conduite;
- approuver les clauses contractuelles types et les règles d'entreprises contraignantes;
- la gestion des notifications de violations de données à caractère personnel (article 33 du RGPD);
- la transmission d’informations concernant le fonctionnement de l’APD au ministre compétent pour répondre aux questions parlementaires;
- la gestion des notifications de délégués à la protection des données (article 37.7 du RGPD);
- la coordination des modalités de collaboration avec d'autres institutions, dans la mesure où il s’agit de collaborations ayant un impact transversal sur tous les organes internes de l’APD;
- la coordination des travaux de l’APD au niveau du Comité européen de la protection des données (EDPB) et au niveau d’autres forums internationaux.
Le Service de Première Ligne :
- reçoit les plaintes et demandes adressées à l'Autorité de protection des données;
- peut lancer une procédure de médiation;
- promeut la protection des données auprès du public, en accordant une attention spécifique aux mineurs;
- promeut auprès des responsables de traitement et des sous-traitants la prise de conscience de leurs obligations;
- fournit des informations relatives à l'exercice de leurs droits aux personnes concernées.
Le Service d’Autorisation et d’Avis émet soit d'initiative, soir sur demande :
- des avis sur toute question relative aux traitements de données à caractère personnel;
- des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.
Le Service d’Autorisation et d’Avis prononce également des recommandations législatives de portée générale, incluses dans les avis législatifs.
Le Service d’Autorisation et d’Avis a également comme tâches :
- l'octroi d'autorisations d'accès aux métadonnées de communication relatives au trafic ou à la localisation (hormis pour les finalités relevant de l'exercice des missions de prévention, de recherche, de détection ou de poursuite d'un fait qui constitue une infraction pénale, la recherche des personnes disparues, ou la sécurité nationale);
- l'approbation d’arrangements administratifs visés à l’article 46 du RGPD, § 3, point b) du RGPD.
Composition
Le Service d’Autorisation et d'Avis est composé de six membres et du directeur du Service d’Autorisation et d’Avis.
Membres
-
Yves-Alexandre de Montjoye
-
Bart Preneel
-
Nathalie Ragheno
-
Gert Vermeulen
-
Griet Verhenneman
-
Juline Deschuyteneer
La pratique d’avis du Service d’Autorisation et d’Avis
Le Service d'Autorisation et d'Avis a publié une brochure illustrative de sa pratique d'avis.
Le Service d'Inspection est "l'organe d'enquête de l'Autorité de protection des données". Cela signifie qu'il est chargé d'examiner les plaintes relatives à la législation en matière de données à caractère personnel ainsi que les indices d'infractions à cette législation. En vertu de la loi du 3 décembre 2017, le Service d’Inspection dispose de collaborateurs propres, de possibilités d'enquête, d'une carte de légitimation et fonctionne selon une procédure.
Les collaborateurs
Le Service d'Inspection est dirigé par l'inspecteur général et se compose d'inspecteurs. Ils sont assistés par un secrétariat. Les inspecteurs ont différents profils (auditeurs, experts en sécurité de l'information et juristes), de manière à permettre une approche pluridisciplinaire. Cela permet d'analyser les aspects à la fois techniques, organisationnels et juridiques.
La procédure de lancement d'une enquête
Il existe plusieurs manières de faire débuter une enquête par le Service d'Inspection, entre autres :
- à l'initiative de la Chambre Contentieuse
- s'il y a une plainte nécessitant une enquête (par exemple si la plainte n’est pas claire ou si des points techniques doivent être clarifiés), ou
- si une enquête complémentaire est nécessaire.
- à l'initiative du Service d’Inspection lui-même :
- s'il existe des indices de l’existence d’une pratique pouvant donner lieu à une violation de la législation applicable (ex. RGPD, loi caméra, etc.). Ces indices peuvent notamment lui être communiqués par le Comité de direction, le Secrétariat Général, le Service de première ligne ou par la Chambre Contentieuse ; ou
- s’il souhaite mener une enquête thématique (ex. concernant un thème qui est considéré comme prioritaire par le Service d’inspection dans le plan de gestion ou du plan stratégique de l’APD).
- à l'initiative d’un tribunal ou d’un organe administratif de contrôle.
Les possibilités d'enquête lors d'une enquête
Durant une enquête, le Service d’Inspection dispose de plusieurs possibilités d'enquête. L'inspecteur général et les inspecteurs peuvent, au besoin :
- identifier des personnes;
- auditionner des personnes;
- mener une enquête écrite;
- procéder à des examens sur place;
- consulter des systèmes informatiques et copier les données qu'ils contiennent;
- accéder à des informations par voie électronique;
- saisir ou mettre sous scellés des biens ou des systèmes informatiques;
- requérir l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé.
La carte de légitimation
Dans l'exécution de leurs missions, l'inspecteur général et les inspecteurs doivent être en possession de la carte de légitimation de leur fonction qu'ils doivent immédiatement produire sur demande.
Le modèle de la carte de légitimation a été publié au Moniteur belge du 15 janvier 2019.
La charte du Service d'Inspection
La charte vise à informer le grand public ainsi que toute personne ayant affaire au Service d’Inspection à propos du déroulement concret d'une inspection et des différents actes d'enquête éventuels du Service d’Inspection ainsi que de leurs conséquences ultérieures. La charte sera actualisée en fonction des nouvelles pratiques et connaissances.
La procédure pour clôturer une enquête
Au terme de l'enquête, l'inspecteur concerné rédige un rapport en concertation avec l'inspecteur général. Ce rapport est joint au dossier. Le rapport mentionne les possibilités d'enquête utilisées, les constatations et la décision de l’inspecteur général.
Compte tenu des constatations mentionnées, l’inspecteur général peut prendre une des décisions suivantes :
- transmettre le dossier au président de la Chambre Contentieuse;
- transmettre le dossier au procureur du Roi lorsque les faits peuvent constituer une infraction pénale;
- classer le dossier sans suite;
- transmettre le dossier à une autorité de protection des données d'un autre État.
Appel
Les décisions du Service d'Inspection imposant une mesure provisoire peuvent faire l’objet d’un recours auprès de la Chambre Contentieuse de l'APD dans un délai de 30 jours suivant la notification de la décision. Les décisions du Service d'Inspection classant un dossier sans suite peuvent faire l’objet d’un recours auprès du Conseil d'Etat dans un délai de 60 jours suivant la notification de la décision.
Qu’est-ce que la Chambre Contentieuse ?
La Chambre contentieuse est l'organe administratif de règlement des litiges de l'Autorité de protection des données. Elle a pour mission d’intervenir afin de faire appliquer les règles dans des affaires qui lui sont soumises sur la base d’une plainte d’un citoyen ou dans le cadre d’une inspection demandée par l’APD. Elle traite également des affaires qui sont soumises à l’APD par les autorités des autres États membres de l’UE dans le cadre du mécanisme de guichet unique du RGPD et pour lesquelles l’APD est l’autorité chef de file ou autorité concernée.
La Chambre contentieuse dispose du pouvoir d’imposer un éventail de mesures correctrices et d’amendes administratives. La procédure se déroule dans le respect des garanties procédurales.
Rôle dans la protection des données personnelles
La Chambre contentieuse, en tant qu’organe de l’APD porte dès lors une grande responsabilité de la surveillance de l’application et du respect du RGPD. Bien que la procédure devant la Chambre contentieuse présente des caractéristiques quasi-judiciaires, la Chambre Contentieuse n’est pas un organe du pouvoir judiciaire.
La Chambre Contentieuse est tributaire des affaires qui lui sont soumises et ne prend pas d’initiative propre.
L’action de la Chambre Contentieuse est guidée par les principes suivants :
- La philosophie du contenu. La Chambre Contentieuse accorde de l’importance à ce que l’innovation technologique se fasse dans le respect des droits en matière de vie privée des citoyens. Elle tient naturellement compte aussi de la protection d’autres droits (fondamentaux). Par ailleurs, la Chambre Contentieuse peut classer des affaires sans suite en raison de l’absence d’intérêt stratégique, dans la mesure où cela ne porte pas préjudice aux principes formulés aux points 2 à 6 ci-dessous et que les exigences de la jurisprudence de la Cour des marchés de Bruxelles soient respectées.
- Une protection juridique accessible à tous. Le droit de porter plainte auprès de l’APD est une alternative à un recours au juge civil ou administratif et doit rester aisé pour le citoyen. Le législateur n’a par exemple pas voulu que les parties soient toujours assistées d’un avocat.
- Impartialité. Lors de l’examen des litiges, il faut éviter toute forme de partialité et de parti pris. Le principe du contradictoire occupe une place centrale lors du traitement des litiges.
- Efficacité. La Chambre Contentieuse doit pouvoir traiter les affaires rapidement, dans le respect des garanties procédurales, comme le principe du contradictoire et les droits de la défense.
- Transparence. Dans la mesure où cela est pertinent et possible, la Chambre Contentieuse veille à la transparence de ses principes, procédures et décisions. En principe, toutes les décisions de la Chambre Contentieuse sont publiées sur le site Internet (voir ci-dessous).
- Coopération. Dans la mesure où cela est pertinent et possible, la Chambre Contentieuse coopère avec d’autres contrôleurs en Belgique et avec des collègues contrôleurs dans l’EEE et parfois en dehors de celui-ci (comme le Royaume-Uni).
Composition
La Chambre Contentieuse se compose, outre le président, de six membres externes qui sont nommés par la Chambre des représentants sur la base de leur expertise particulière. En outre, elle est assistée par une équipe de conseillers juridiques ainsi que par un greffe.
Dans les affaires portées à sa connaissance, le président ou l'un des membres de la Chambre Contentieuse siège seul, à moins que le président de la Chambre Contentieuse ne décide de siéger à trois membres, conformément aux dispositions du règlement intérieur.
Dans la pratique, la Chambre Contentieuse siège à trois membres dans toutes les affaires qui sont traitées sur le fond. Normalement, le président siègera seul lorsqu’il s’agit d’une procédure dite « light » qui mènera par exemple à un classement sans suite, ou à une ordonnance imposant au responsable de traitement de répondre à la demande de la personne concernée d’exercer ses droits (voir ci-dessous).
Membres
-
Yves Poullet
-
Romain Robert
-
Dirk Van der Kelen
-
Jelle Stassijns
-
Christophe Boeraeve
-
Frank De Smet
Fonctionnement et pouvoirs
La Chambre Contentieuse peut-être saisie pour le traitement d’une plainte, qui lui est transmise par le Service de première ligne, ou sur base d’un rapport d’enquête fourni par le service d’inspection.
Lorsque le traitement de données est transfrontalier, la Chambre Contentieuse peut également être saisie par une autorité de protection des données d’un autre pays de l’EEE (Espace économique européen). Ce sera notamment le cas, lorsque cette autre autorité a reçu une plainte, mais que le responsable de traitement est en réalité situé en Belgique.
Ce dossier sera alors traité dans le cadre du mécanisme de guichet unique du RGPD et pour lesquelles l’APD est l’autorité chef de file ou autorité concernée. Le traitement de ce dossier transfrontalier se fera alors en étroite coopération avec les autorités impliquées au sein de l’EEE, dans le cadre d’une procédure particulière.
Dans la pratique, la majeure partie des affaires traitées par la Chambre Contentieuse le sont à la suite d’une plainte transmise par le Service de première ligne.
La Chambre Contentieuse peut également être saisie lors d’un recours contre certaines mesures du Service d’inspection.
Une fois saisie, la Chambre Contentieuse peut :
- demander au service d'inspection d'effectuer une enquête
- traiter la plainte sans avoir saisi le service d'inspection
Lorsqu’elle a décidé de traiter une plainte, la Chambre contentieuse peut opter pour une procédure dite « light » ou une procédure sur le fond.
Dans le cadre d’une procédure dite « light », la Chambre Contentieuse peut notamment ordonner au responsable de traitement de répondre à la demande de la personne concernée d’exercer ses droits. Elle peut également classer le dossier sans suite, formuler des avertissements ou transmettre le dossier au Parquet du procureur du Roi de Bruxelles par exemple.
Dans le cadre d’une procédure sur le fond, la Chambre Contentieuse demandera aux parties de faire valoir leurs arguments respectifs par échanges de conclusions. Elle pourra souvent s’appuyer sur un rapport d’enquête remis par le Service d’inspection et qui aura effectué certains constats.
A la suite de ces échanges, la Chambre Contentieuse pourra prendre une décision sur le fond, qui lui permettra, entre autres de :
- classer la plainte sans suite;
- ordonner le non-lieu;
- prononcer la suspension du prononcé;
- proposer une transaction;
- formuler des avertissements et des réprimandes;
- ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;
- donner des astreintes;
- donner des amendes administratives.
Si la plainte concerne un traitement transfrontalier, tel que décrit plus haut, l’adoption de la décision de la Chambre Contentieuse devra se faire en coopération avec les autorités des autres pays concernés.
Appel
Les décisions de la Chambre Contentieuse sont susceptibles d’appel auprès de la Cour des marché (Cour d’appel de Bruxelles) dans un délai de 30 jours suivant la notification de la décision.
Politique en matière de publication des décisions
La loi du 3 décembre 2017 donne à la Chambre Contentieuse de l’APD le pouvoir de publier ses décisions. La politique de la Chambre Contentieuse en la matière est développée dans une note.
Les décisions de la Chambre Contentieuse se trouvent sur le site web de l’APD sous l’onglet « Publications ».
Politique en matière d’astreintes
La loi du 3 décembre 2017 donne à la Chambre Contentieuse de l’APD le pouvoir d’infliger des astreintes. La politique de la Chambre Contentieuse en matière d’astreintes est développée dans une note.
Dans l'exercice de ses missions la Chambre Contentieuse est assistée par un secrétariat, qui assure également le rôle de greffe.
Politique linguistique
La Chambre Contentieuse a établi une politique linguistique quant à la langue utilisée lors de l'exécution de ses compétences en accord avec la loi du 3 décembre 2017.
Cette politique de la Chambre Contentieuse est élaborée dans une note.
Politique relative à la position du plaignant
Les décisions (intermédiaires) de la Chambre Contentieuse se basent sur la législation en vigueur. Mais là où la législation lui laisse cette marge d’appréciation, la Chambre Contentieuse cherche toujours à trouver des solutions qui contribuent à l’utilité de l’effet du droit européen.
La Chambre Contentieuse a développé dans une note la politique qu’elle mène en la matière.
Politique de classement sans suite
La loi du 3 décembre 2017 octroie à la Chambre Contentieuse de l’APD le pouvoir de classer des plaintes sans suite. Le citoyen est invité à consulter les critères de classement sans suite avant d’introduire sa plainte. La Chambre Contentieuse a explicité ces critères dans un résumé de sa politique de classement sans suite, et plus en détail dans la version intégrale de sa politique en la matière.
Les 10 et 11 mai 2023, la Chambre Contentieuse a classé sans suite plusieurs dossiers plus anciens. Le contexte de ces classements sans suite est expliqué dans ce document.
Politique de transaction
La loi du 3 décembre octroie également à la Chambre Contentieuse le pouvoir de proposer des transactions. La procédure est expliquée dans la politique de transaction.