Le Secrétariat Général a un double rôle au sein de l’APD.
Il réalise d'une part plusieurs tâches horizontales, comme la gestion des services d'appui de l'APD – à savoir l'informatique, la comptabilité, les ressources humaines, le délégué à la protection des données, l'accueil et le service traduction – ainsi que la gestion de la communication interne et externe. En 2023, les actions suivantes ont notamment été entreprises en appui des activités de toute l'APD :
- Le statut du personnel de l'APD a fait l'objet d'une mise à jour ;
- Le cadre du personnel – qui a été augmenté de 20 ETP au début de cette année suite à une décision de la Chambre des représentants – a pu être intégralement complété après l'aboutissement de procédures de recrutement.
- Des travaux préparatoires ont été réalisés en vue de remplacer le système de gestion des documents (Document Management System). Concrètement, une analyse des besoins a été réalisée et un cahier spécial des charges a été rédigé, lequel sera publié début 2024 dans le cadre d'une procédure de marché public.
D'autre part, le Secrétariat Général exerce aussi plusieurs tâches de fond. Pour 2023, le Secrétariat Général souhaite mettre en évidence les réalisations essentielles suivantes :
Transferts internationaux
L’une des compétences du Secrétariat général en matière de transferts internationaux est l’approbation des règles d’entreprise contraignantes, ou « BCR » (pour « Binding Corporate Rules »). En 2023, 4 nouvelles BCR ont ainsi été approuvées et les décisions sont désormais publiées.
Le SG a également prêté son soutien à plusieurs reprises à ses homologues européens durant les phases de co-révision (« co-review ») et de coopération de BCR pour lesquelles d’autres autorités de supervision agissaient comme autorité chef de file.
En juin 2023, l’EDPB, dont l’APD est un membre, a publié la version finale des « Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) ». Ce nouveau document intègre des exigences supplémentaires (pour faire suite, notamment, à l’arrêt « Schrems II » de la CJUE – voir ci-dessous) et fusionne l’ancien référentiel (WP256 rev. 01) avec l’ancien formulaire de demande (WP 264). Il s’applique désormais aux groupes qui souhaitent soumettre des BCR-C, c’est-à-dire des règles d’entreprise contraignantes pour responsable du traitement.
Par la suite, l’APD a informé les groupes concernés qu’ils devront mettre en conformité leurs BCR-C avec les nouvelles recommandations dans le courant de l’année 2024. Toute nouvelle BCR-C introduite à partir du 1er janvier 2024 doit également en tenir compte.
De façon générale, le Secrétariat Général a continué en 2023 à contribuer activement aux divers travaux de l’EPDB en matière de transferts internationaux de données.
Le Secrétariat Général a notamment assuré le suivi des discussions touchant à l’adoption par la Commission européenne d’une nouvelle décision d’adéquation concernant les Etats-Unis (« US-EU Data Privacy Framework », ou « DPF »). Cette dernière, finalement adoptée le 10 juillet 2023, conclut que les Etats-Unis offrent un niveau de protection essentiellement équivalent et fait suite à l’ancien « Privacy Shield », annulé par la CJUE en 2020 (arrêt « Schrems II »). A noter que la décision d’adéquation ne s’applique qu’aux transferts de données personnelles depuis l’UE vers les organisations situées aux Etats-Unis qui participent au DPF.
Plus d’informations ainsi que le texte de la nouvelle décision d’adéquation peuvent être consultés sur le site de l’APD.
Il est également utile de mentionner que l’EDPB a commencé en 2023 à travailler sur la mise en place d’un nouvel outil de transfert prévu par le RGPD : la certification en tant qu’outil de transfert (art. 46(1)(f) RGPD ; à ne pas confondre avec la certification comme outil de conformité aux art. 42 et s. RGPD).
Action coordonnée 2023 de l’EDPB
L’APD a participé à la deuxième action coordonnée annuelle de l’EDPB organisée dans le cadre du « Coordinated Enforcement Framework ». Cette deuxième édition s’est focalisée sur la désignation et le rôle du délégué à la protection des données (« DPO »).
Au cours de l'année 2023, 25 autorités de contrôle dans l'Espace économique européen (EEE) (y compris le Contrôleur européen de la protection des données) ont lancé des enquêtes coordonnées sur ce thème. Diverses organisations ainsi que des DPO ont été contactés dans l'EEE, couvrant un large éventail de secteurs (entités publiques et privées), et plus de 17.000 réponses ont été reçues et analysées. De nombreuses données ont été collectées, offrant un aperçu utile du profil, de la position et du travail des DPO cinq ans après l'entrée en vigueur du RGPD. Pour sa part, l’APD avait décidé de procéder à un sondage à grande échelle auprès de tous les DPO dont elles disposent des coordonnées. Les centaines de réponses apportées par les DPO en Belgique ont servi à la rédaction d’un rapport national.
Les résultats des enquêtes nationales ont ensuite été analysés de manière coordonnée et l'EDPB a publié un rapport sur les résultats de cette analyse. Afin de relever les défis identifiés dans le rapport, celui-ci énumère des recommandations à l'intention des organisations, des DPO et des autorités de contrôle, entre autres pour renforcer l'indépendance des DPO et faire en sorte qu'ils disposent des ressources nécessaires à l'accomplissement de leurs tâches.
Un résumé de ce rapport et des observations de l’APD est disponible sur le site web de l’APD.
Traitement des violations de données
En 2023, il a semblé que les attaques de ransomware touchaient particulièrement les villes et communes belges. Dans le rapport annuel 2022, nous avions quelque peu nuancé cet état de fait en soulignant le caractère global de ce type de violation de données, tant dans le secteur privé que dans le secteur public.
Dans le cadre de cette problématique, l'APD s'est penchée sur ce type de violations de données dans sa neuvième newsletter, dans la rubrique récurrente "Recommandations pour éviter les violations de données". Celle-ci mettait surtout en avant une approche programmatique et structurelle. L'APD conseille ainsi d'élaborer un incident response plan et/ou un disaster recovery plan, d'en contrôler le respect et de les mettre à jour. De plus, des exercices ciblés de phishing et des campagnes de sensibilisation sont également nécessaires. Il est également indispensable de dresser un inventaire des différents composants matériels et logiciels et de les mettre à jour. Les organisations sont en effet encore victimes de vulnérabilités documentées, comme le LOG4J. En outre, les organisations doivent savoir quelles données à caractère personnel sont conservées et à quel endroit. Si ces données ne sont plus nécessaires pour atteindre la finalité, elles doivent être effacées ou anonymisées (voir recommandation 03/2020 de l’APD).
Dans sa dixième newsletter, l'APD a également donné quelques conseils pratiques. Elle a abordé la problématique de la protection insuffisante des environnements de test en ligne, mais aussi celle du traitement de données à caractère personnel contenues dans un fichier papier ou appelées à y figurer. Enfin, les organisations ont été appelées à faire preuve de vigilance pendant les jours fériés, étant donné que l'on constate des pics récurrents de violations de données à l'approche de jours fériés ou lors de ceux-ci.
Enfin, la version définitive de la "targeted update of the Guidelines on data breach Notification" (mise à jour ciblée des Lignes directrices sur la notification de violations de données), qui avait fait l'objet d'une consultation publique en octobre 2022, a été publiée par l'EDPB le 4 avril 2023. L'APD est intervenue en tant que co-rapporteur pour ces Lignes directrices.
Surveiller les développements sociétaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel
Le Secrétariat Général suit les développements sociaux, économiques et technologiques qui peuvent avoir un impact sur la protection des données à caractère personnel et fait rapport à cet égard au Comité de direction de l'APD.
En vertu de cette compétence, le développement de l'achat de produits et/ou services en utilisant les données à caractère personnel comme "moyen de paiement", par exemple, a été abordé, en concertation avec les contrôleurs d'autres États membres européens.
L'APD a également publié une "Check-list Cookie", un outil destiné à encourager une utilisation correcte des cookies.
Réalisations en chiffres
En 2023, le Secrétariat Général a traité 10 dossiers d'approbation.
dosiers d'approbation
Type de dossier |
Résultat |
Nombre |
BCR (Binding corporate rules) |
Approuvé |
4 |
Traitement arrêté (par le demandeur) |
3 |
Dossier non recevable |
1 |
AIPD (analyse d'impact relative à la protection des données) |
Avis rendu |
1 |
Dossier non recevable |
1 |
Total |
|
10 |
En 2023, le Secrétariat Général a mis en état 1080 dossiers relatifs à des violations de données. Dans plusieurs cas, ces dossiers ont été inscrits à l'ordre du jour du Comité de direction, suite à quoi 3 dossiers ont été transmis au Service d'Inspection de l'APD. Dans le cadre des dossiers d'initiative, le Secrétariat Général a contacté un responsable du traitement sur la base d'un signal qu'elle avait capté, concernant une violation de données présumée qui n'avait pas été notifiée.
Type de dossier |
Résultat |
Nombre |
Violation de données notifiée par le responsable du traitement |
Annulation de la notification |
8 |
Pas de violation grave constatée suite à l'analyse de la notification |
1001 |
Pas de violation grave constatée suite à l'analyse de la notification et prise de contact avec le responsable du traitement |
68 |
Dossier de violation de données à l'initiative du Secrétariat Général |
Transmis au Service d’Inspection via le Comité de direction |
3 |
Total |
|
1080 |