La loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après la "LCA") décrit le Service d'Inspection de manière plutôt sommaire comme étant "l'organe d'enquête de l'Autorité de protection des données". Concrètement, cela signifie que le Service d'Inspection est chargé d'examiner les plaintes ayant pour objet une violation de la législation européenne et belge en matière de protection des données, dont le Règlement général sur la protection des données (ci-après le "RGPD"), ainsi que les indices sérieux d'une telle violation.

Le Service d'Inspection est dirigé par l'Inspecteur général, Peter Van den Eynde, et se compose d'inspecteurs. Les inspecteurs ont différents profils (auditeurs, experts en sécurité de l'information et juristes), de manière à garantir une approche pluridisciplinaire. Cela permet d'analyser les aspects à la fois techniques, organisationnels et juridiques.

Le Service d'Inspection exerce ses activités de contrôle de manière indépendante, planifiée, professionnelle, efficace et discrète. Pour ce faire, il réalise un monitoring (non) périodique ainsi que des missions d'inspection au sujet de traitements (inter)nationaux dans le secteur public et privé, en se basant sur les risques pertinents, en vertu du RGPD ainsi que des législations et réglementations connexes concernant la protection des données (par exemple la législation relative aux caméras).

Le Service d'Inspection dispose d'un arsenal étendu de possibilités d'enquête. Pour analyser un dossier, l'Inspecteur général et les inspecteurs peuvent, s'ils l'estiment nécessaire et conformément à la LCA :

  • identifier des personnes ;
  • auditionner des personnes ;
  • mener une enquête écrite ;
  • procéder à des examens sur place ;
  • consulter des systèmes informatiques et copier les données qu'ils contiennent ;
  • accéder à des informations par voie électronique ;
  • saisir ou mettre sous scellés des biens ou des systèmes informatiques ;
  • requérir l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé.

La LCA prévoit différentes manières de faire ouvrir un dossier par le Service d'Inspection. Un dossier peut principalement être ouvert :

  • à l'initiative du Comité de direction lorsqu'il existe des indices sérieux d'une infraction, s'il est nécessaire de coopérer avec une autorité de protection des données étrangère ou à la demande d'une instance judiciaire ou d'un organe de contrôle administratif ;
  • à l'initiative de la Chambre Contentieuse si une plainte nécessite une enquête ou si une enquête complémentaire est nécessaire ;
  • à l'initiative du Service d'Inspection lui-même s'il existe des indices sérieux d'une infraction.

La loi sur les lanceurs d'alerte prévoit un complément à la compétence d'enquête de la LCA. Les notifications externes qui relèvent de la réglementation sur les lanceurs d'alerte peuvent faire l'objet d'une enquête du Service d'Inspection, qu'elles soient introduites directement auprès du Service d'Inspection ou via un transfert au Service d'Inspection de la notification faite initialement auprès du Médiateur fédéral, et ce dans le cadre d'un protocole de coopération établi entre le Médiateur fédéral et l'APD.

Une Charte du Service d'Inspection a également été élaborée par le passé, laquelle fait l'objet de mises à jour périodiques sur la base de nouvelles pratiques et connaissances. Cette charte entend informer le grand public ainsi que toute personne ayant affaire au Service d'Inspection à propos du déroulement concret d'une inspection, des différents actes d'enquête éventuels du Service d'Inspection ainsi que de leurs conséquences ultérieures.

De manière générale, le Service d'Inspection remarque (voir également les données chiffrées plus loin) que les dossiers se complexifient, non seulement sur le fond, mais aussi au niveau procédural. Après quelques années de pratique, le Service d'Inspection reçoit de temps en temps la remarque que le nombre de questions posées ne semble pas toujours proportionné par rapport au dossier ou que les questions sont très générales.

Indépendamment de la technique d'enquête générale qui commence par la demande d'accès aux documents qui sont censés être présents dans le cadre d'une "gestion de la protection des données" ordinaire eu égard au principe de responsabilité (par ex. le registre de traitement, le registre des incidents, ...), les autres questions sont de nature plutôt générale ou professionnelle.

Certaines questions générales visent d'abord à comprendre le contexte du traitement et à connaître les moyens dont un responsable du traitement peut disposer (par exemple, des questions sur le chiffre d'affaires, le rapport annuel, ...). Chaque cas est différent et nécessite donc une évaluation et une estimation uniques en fonction des risques liés à la nature et à l'étendue du traitement, aux activités "principales" d'un responsable du traitement et aux règles juridiques ou déontologiques auxquelles celui-ci est ou n'est pas soumis (par exemple, une autorité locale ou régionale, un cabinet médical ou un hôpital, un "data broker", un opérateur télécom, ...).

Le contenu des questions peut aussi être considéré sous un angle plus positif. Souvent, la raison sous-jacente de certaines questions est de nature éducative (par exemple, des questions sur la signification de certains mots dans une déclaration de confidentialité ou sur l'installation technique de cookies ou du traçage sur un site Internet, ...). Ces questions facilitent dès lors la prise de conscience de certains problèmes et permettent à la personne interrogée de déjà procéder à un ajustement du traitement pendant la durée de l'enquête. La responsabilité, un des éléments clés du RGPD, oblige également le responsable du traitement à réfléchir en détail à chaque traitement concret, à documenter ce processus en interne et à vérifier s'il est effectivement conforme au RGPD.

En d'autres termes, les questions ne servent pas uniquement l'examen d'un dossier "à charge" mais peuvent aussi avoir effet de sensibiliser ce même responsable du traitement, ce qui lui permet déjà de procéder à quelques ajustements au cours de l'enquête. Le responsable du traitement est ainsi invité à réfléchir de manière approfondie à toutes sortes d'aspects de son (ses) traitement(s) et il peut évaluer plus précisément si son (ses) traitement(s) est (sont) conforme(s) ou pas au RGPD et à l'y (les y) adapter, le cas échéant.

En outre, le caractère proportionnel ou non de la quantité de questions ne peut pas toujours être déterminé dès le début d'un dossier. Le Service d'Inspection ne fonctionne donc pas avec une approche "fixe" des mêmes questions pour tous les dossiers. Comme mentionné ci-avant, il doit parfois d'abord saisir la problématique générale (par ex. si l'APD n'a pas publié de directives récentes sur un certain type de technique ou de traitement) avant de pouvoir effectuer une analyse équilibrée d'un point ou d'un problème spécifique. Les responsables du traitement qui font preuve d'une plus grande transparence via les moyens que le RGPD leur propose (comme par exemple la déclaration de confidentialité pour le citoyen ou le registre des activités de traitement) doivent en général répondre à moins de questions du Service d'Inspection de sorte que la phase d'enquête est aussi moins laborieuse.  Comme indiqué, le nombre de questions peut en outre inciter le responsable du traitement interrogé à réfléchir à l'évaluation d'un certain nombre de risques qui n'avaient pas été pris en compte auparavant.


Que nous ont appris les "audits Schengen" jusqu’à présent ?

Dans le cadre du mécanisme d'évaluation et de surveillance pour le contrôle de l'application de l'acquis Schengen, l'APD, et en particulier le Service d'Inspection, réalise des "audits".

Ces audits se composent d'un volet national et d'un volet européen. Le volet national porte sur l'audit d'un certain nombre d'acteurs au niveau de la protection des données. Ainsi, le Service d'Inspection contrôle actuellement le SPF Affaires Étrangères et l'Office des Étrangers. Ceci principalement via un programme d'audit. Dans ce cadre, il réalise des audits sur le territoire belge, mais aussi dans les ambassades et consulats belges à l'étranger.

Le Service d'Inspection a entre-temps clôturé un premier cycle d'audits de quatre ans. De cette manière, l’APD peut remplir son obligation d’audit imposée tous les quatre ans. Les traitements VISA des ambassades de Dublin, Paris, La Haye, Londres, le Consulat général d'Istanbul et le service ICT du SPF Affaires étrangères à Bruxelles ont été audités, de même que le sous-traitant concret – appelé ESP "external service provider") qui étaient impliqués à Istanbul et à Londres dans les traitements VISA. Pour chacune des visites sur place, un parcours d'audit a été suivi (comprenant des questionnaires à compléter envoyés au préalable, une visite sur place et des informations et de la documentation à fournir par la suite) et un rapport d'audit a été remis avec des recommandations tant pour le SPF Affaires étrangères que pour les ESP avec lesquels le Service d'Inspection a coopéré. Par ces recommandations, le Service d'Inspection tente de sensibiliser le SPF Affaires étrangères sur les points d'attention qui découlent du Règlement n° 767/2008 concernant le système d'information sur les visas (ci-après le Règlement VIS) et du Règlement n° 810/2009 Code des visas d'une part, et du RGPD d'autre part.

Le Service d'Inspection fait remarquer que la collaboration avec les différents acteurs au sein du SPF Affaires étrangères est qualifiée de très constructive, avec une tendance qui évolue positivement. Il n'empêche que la mission d'audit est en soi complexe : un expert doit maîtriser à la fois le RGPD, le SISII européen et le Règlement VIS n° 767/2008 ou encore le Règlement Code des visas 810/2009. Il doit avoir une maîtrise suffisante de l'anglais et disposer des connaissances juridiques et techniques, ainsi que des compétences en matière d'audit pour mener à bien l'évaluation sur place en respectant une méthodologie et un calendrier strictement définis.

Des rapports annuels précédents ont régulièrement fait état, en termes généraux, de ce qu'impliquent les audits en tant que tels. Le Service d'Inspection souhaite toutefois communiquer dans le présent rapport annuel quelques résultats pour mieux exposer et concrétiser sa mission d'audit. À ce jour, la coopération volontaire avec les entités auditées est remarquable, ainsi que le fait que les audits engendrent effectivement des résultats, non seulement pendant l'audit lui-même, mais aussi par la suite tout au long du processus d'audit.

Ces résultats se situent sur 3 grands niveaux.

Premièrement au niveau des "services centraux". Le Service d'Inspection a estimé que ;

  • le SPF Affaires étrangères et l'Office des Étrangers intervenaient en tant que responsables conjoints du traitement pour le traitement VISA et devaient remplir l'obligation d'information, ce qui a été fait au moyen de la signature d'un protocole de coopération, suivie d'une communication à ce sujet sur leurs sites Internet respectifs ;
  • des protocoles de coopération entre le SPF Affaires étrangères et des services publics externes (exclusions Office des Étrangers – voir point précédent) doivent être prévus ou adaptés lorsque des données à caractère personnel sont transmises ou qu'un accès est donné à l'environnement physique des ambassades et consulats et/ou des conventions de sécurité techniques pour le système lorsque des services publics externes sont hébergés dans le même bâtiment et utilisent les mêmes appareils techniques (matériel et/ou logiciels) et ont accès aux locaux physiques ;
  • un renforcement du délégué à la protection des données du SPF Affaires étrangères, en prévoyant plus de soutien matériel et humain, et prévoir, outre la sensibilisation et la formation, que le délégué à la protection des données soit plus impliqué en interne en cas de nouvelles activités de traitement ou de modifications de ces dernières. Le Service d'Inspection note également la bonne coopération constructive avec le délégué à la protection des données ;
  • des instructions ont été mises en conformité avec le Règlement Code des visas 810/2009 au niveau du délai de conservation des archives de 2 ans en vertu de l'article 37, 3 du Code des visas, les dossiers de demande individuels étant conservés pour une période d'au moins 2 ans à compter de la date de la décision relative à la demande, et la formation des collaborateurs des sous-traitants a été prévue ; Le Service d'Inspection note également que la Direction Visas a fait prendre rapidement des mesures appropriées ;
  • la transparence concernant les traitements VISA et les droits et libertés des demandeurs de visas, via des formulaires et déclarations de confidentialité, a été actualisée ;
  • les contrats centraux avec les sous-traitants (ESP ou les "external service providers) via des dossiers d'adjudication doivent tenir compte plus formellement des diverses obligations du RGPD et du Règlement VIS n° 767/2008/le Règlement n° 810/2009 Code des visas, mais le contrôle du respect des conventions établies avec les ESP doit également être vérifié et documenté périodiquement ;
  • le Service d'Inspection a indiqué qu'il entendait formaliser davantage les plans de continuité des activités (PCA) et les plans "Disaster recovery" (DR) et de rendre le "high-availability" (HA) plus mesurable. Par ailleurs, on a également souligné l'importance de finaliser la politique de sécurité formalisée afin de garantir l'intégrité et la confidentialité des données. L'attention a également été attirée sur de potentiels points d'amélioration au niveau des pratiques actuelles en matière de sécurité technique, dans le but de renforcer notre statut de sécurité global et de mieux gérer les risques.

Deuxièmement, au niveau (du fonctionnement) des ambassades et consulats (belges), un contrôle des traitements procéduraux, physiques et techniques des demandes de visas dans les lieux concernés a été effectué via une consultation des dossiers concrets de demandes de visas. Le contrôle du flux d'informations entre les différents partenaires externes de cette activité de traitement ainsi que l'utilisation des formulaires centraux appropriés et la transparence prévue à l'égard du demandeur de visa étaient également à l'ordre du jour. Pour chaque site, des recommandations ont été formulées pour optimiser davantage l'activité de traitement. Les ambassades et consulats belges étant souvent hébergés dans des bâtiments plutôt historiques, les solutions possibles ont été envisagées de manière pragmatique. La bonne volonté a toujours été élevée et les informations fournies de grande qualité. Les points d'attention pour les ambassades et les consulats restent les interactions physiques et techniques avec les services publics externes au sein de leur organisation, le contrôle de la convention contractuelle (conformément aux obligations issues du RGPD) lors de la collaboration avec des sous-traitants locaux (par exemple, pour la destruction des documents à la fin du délai de conservation et les contrats de vidéosurveillance) et la fourniture et le contrôle du niveau de connaissances des employés des sous-traitants externes (ESP), comme le prescrit le Code des visas, ainsi que la documentation de ces actions.

Troisièmement, en ce qui concerne le fonctionnement de ce que l'on appelle les ESP (external service providers ou prestataires de services externes) qui agissent souvent en tant que sous-traitants concrets dans les locaux des ambassades et des consulats. Le Service d'Inspection a visité sur place la section locale de ces ESP et les a interrogés à l'aide de questionnaires de base. Une attention supplémentaire a été accordée au positionnement de cette section locale au sein de la structure générale de ces organisations internationales, en mettant l'accent sur l'accessibilité et la position du délégué à la protection des données. Outre la visite physique sur place, les canaux d'information pour les demandeurs de visa, les procédures et les systèmes techniques de traitement des données à caractère personnel des demandeurs de visa ont également été examinés. Le Service d'Inspection a ainsi formulé diverses recommandations concernant l'accès technique prévu aux données à caractère personnel des demandeurs de visa, la transparence à l'égard des demandeurs de visa au sujet des traitements VISA, l'indication correcte des droits et libertés et, le cas échéant, l'utilisation de formulaires mis à jour. Le Service d'Inspection a également recommandé que le SPF Affaires étrangères supervise et prévoie des formations de qualité au personnel du sous-traitant, car son personnel externe doit avoir des connaissances suffisantes pour pouvoir fournir un service de qualité et donner des informations adéquates aux demandeurs. Les accords contractuels, lorsque ces ESP travaillaient avec des sous-traitants, et la manière dont les informations sur les (nouveaux) sous-traitants étaient transmises au SPF Affaires étrangères, ainsi que la possibilité d'approbation du SPF Affaires étrangères ont également fait l'objet de recommandations d'audit de la part du Service d'Inspection.

Dans le cadre de cet acquis de Schengen et de la participation aux groupes de travail européens plus orientés vers la politique en la matière, le Service d'Inspection a déjà été en mesure d'apporter sa contribution nécessaire/utile.


Une nouvelle compétence suite à la législation sur les lanceurs d'alerte

Depuis la mi-2023 environ, l'APD, et plus particulièrement le Service d'Inspection, dispose d'une nouvelle compétence en ce qui concerne la législation sur les lanceurs d'alerte. Cette compétence vaut pour la réglementation que l'APD supervise conformément à sa loi organique (voir spécifiquement l'article 4 de la LCA : "L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel"). Un protocole d'accord a également été conclu à cette fin avec le Médiateur fédéral.

La loi sur les lanceurs d'alerte implique que les personnes qui sont confrontées à une violation de la réglementation sur la protection des données dans un contexte du droit du travail dans le secteur privé peuvent signaler ces violations directement ou indirectement à l'APD. Toutefois, pour les violations identifiées par un collaborateur dans le contexte du droit du travail dans le secteur public, le Médiateur fédéral reste compétent.

L'APD a donc pris des mesures supplémentaires et un protocole d'accord entre le Médiateur fédéral et l'APD a été signé par les deux parties à la fin du mois de juin 2023 d'une part, et le site Internet de l'APD a été adapté avec des informations supplémentaires pour les "lanceurs d'alerte", d'autre part.

Étant donné que le Service d'Inspection est l'organe d'enquête de l'APD, il est compétent pour le suivi de dossiers concernant les lanceurs d'alerte et depuis juin 2023, il a déjà pu acquérir de l'expérience pour ce nouvel afflux de signalements.

Les signalements qui relèvent de la réglementation sur les lanceurs d'alerte peuvent être examinés par le Service d'Inspection s'ils sont soit introduits directement auprès du Service d'Inspection de préférence via la boîte mail inspection@apd-gba.be, soit indirectement via un transfert du Médiateur fédéral au Service d'Inspection.

Au cours du deuxième semestre 2023  (ce qui correspond au moment où des informations explicites ont été reprises à ce sujet sur le site Internet), le Service d'Inspection a ainsi reçu une trentaine de signalements.

Toutefois, on constate tout d'abord que cela concerne dans la majorité des cas des signalements erronés. Ce sont plutôt des signalements "généraux" concernant des aspects liés à la vie privée sans qu'il soit question d'une quelconque relation professionnelle entre l'auteur de signalement et le signalement de lanceurs d'alerte.

On peut citer par exemple une personne qui a vu des caméras de surveillance dans son quartier, la problématique de la caution/du système de paiement pour les gobelets aux fêtes de Gand, le placement de cookies sur un site Internet …

L'absence d'un contexte de droit du travail et d'une occupation dans le secteur privé a impliqué que plusieurs auteurs de signalement ne pouvaient pas recourir à cette réglementation sur les lanceurs d'alerte. Le Service d'Inspection souligne toutefois que ces informations sont conservées et peuvent servir de signal quant à un certain traitement ou (une pratique d'un) responsable du traitement. Une réponse générale est ainsi souvent envoyée, indiquant les différentes possibilités d'action auprès de l'APD (comme par exemple la possibilité de poser une question ou d'introduire une demande de médiation ou une plainte).

Le deuxième constat est qu'en ce qui concerne les "vrais" signalements (limités jusqu'à présent) qui doivent effectivement être analysés en profondeur, le problème se pose d'un accompagnement concret très insuffisant du signalement pour justifier un traitement ultérieur quant au fond (description trop vague, plutôt des "bruits de couloir", absence de documents étayant le signalement, …). Ce constat s'applique même si le Service d'Inspection réclame explicitement des éléments complémentaires à un auteur de signalement (demande qui n’est pas toujours suivie d’une réponse).

En vertu, entre autres, du RGPD et de la LCA, le Service d'Inspection doit en effet respecter la proportionnalité de l'enquête. Comme le Centre de Connaissances de l'APD l'a affirmé dans son avis n° 69/2022 du 22 avril 2022 concernant l'avant-projet de loi relatif à un avant-projet de loi sur la protection des personnes qui signalent des violations au droit de l’Union ou au droit national constatées au sein d’une entité juridique du secteur privé, un signalement au sens de la loi sur les lanceurs d'alerte peut en effet "avoir des conséquences importantes pour les personnes visées”.

Le Service d'Inspection a contacté dans ces cas l'auteur de signalement mais ce dernier n'a pas pu apporter de preuves étayant ses propos. Pour le Service d'Inspection, l'élément de preuve reste essentiel et les enquêtes ne peuvent pas être initiées sur la base de de simples présomptions ou récits. La Charte du Service d’Inspection précise : "L’inspecteur général et les inspecteurs doivent respecter le principe de proportionnalité et de nécessité. Concrètement, les enquêtes ne peuvent pas aller au-delà de ce qui est nécessaire compte tenu du dossier”.

Enfin, le Service d'Inspection constate que l'anonymat (souhaité) de l'auteur de signalement peut aussi constituer un obstacle pour la suite du traitement. On peut de nouveau se référer à l'avis précité n° 69/2022 du Centre de Connaissances : "Il n'empêche que l'Autorité estime qu'un signalement anonyme doit rester optionnel et exceptionnel. Une telle méthode complique non seulement la communication entre l'auteur de signalement et le destinataire du signalement (qui est nécessaire pour un suivi adéquat), mais elle peut en outre donner lieu à des abus dans le chef des auteurs de signalement et au traitement illicite de données à caractère personnel y afférent. Bien que la responsabilité finale relative au traitement de données à caractère personnel repose toujours sur les responsables du traitement respectifs (l'entreprise dans le cas d'un signalement interne / les autorités compétentes ou le coordinateur fédéral pour les signalements externes), l'auteur de signalement doit également faire preuve du sens des responsabilités qui s'impose ; un signalement peut en effet avoir des conséquences importantes pour les personnes visées. L'auteur de signalement ne peut pas se sentir empêché de faire un signalement, mais si le signalement anonyme devient la norme, on glisse vers une culture de la dénonciation, avec les excès qui en découlent. Il est donc regrettable (une telle obligation ne découle en effet pas de la directive) que le demandeur [càd l’auteur du projet de norme] ait choisi de prévoir un droit généralisé de procéder à un signalement anonyme. À la lumière du principe de proportionnalité, il semble par contre recommandé, sans préjudice des obligations existantes de prévoir un signalement anonyme sur la base du droit de l'Union, de limiter le droit de faire un signalement anonyme aux cas dans lesquels les risques pour l'auteur de signalement l'emportent clairement sur les conséquences potentiellement négatives pour les personnes visées par le signalement". Le législateur en a tenu compte (mais de manière limitée seulement) – les travaux parlementaires affirment en effet notamment que l'anonymat doit rester "exceptionnel" : "En tout état de cause, l’anonymat doit cependant rester optionnel et exceptionnel dès lors qu’il peut, notamment, rendre difficile la communication entre l’auteur de signalement et le destinataire de signalement, alors qu’une telle communication peut être nécessaire afin de réaliser un suivi diligent (en particulier, pour évaluer l’exactitude des allégations et remédier à la violation signalée)." En principe, en vertu de la législation en matière de vie privée et de son application par l'APD, une plainte/un signalement peut en effet être traité(e) de manière anonyme, mais cela complexifie généralement sensiblement les choses sur le fond et au niveau de la procédure. Un autre problème se pose aussi régulièrement : même si le nom de l'auteur de signalement n'est pas mentionné, il est possible que l'instance visée puisse déduire indirectement son identité d'après le contexte du cas concret. On ne sait pas clairement si les auteurs de signalements en sont effectivement conscients ni quelles sont les conséquences possibles par exemple pour l'autorité compétente qui aurait dans ce cas quand même examiné l'affaire plus avant.

L'anonymat qui est demandé en vertu de la réglementation sur les lanceurs d'alerte constitue pour le Service d'Inspection un point d'attention et est respecté lors de la phase d'enquête conformément à l'obligation de secret de l'article 20, § 1er de la loi sur les lanceurs d'alerte. La LCA prévoit également une obligation de secret explicite (certainement en ce qui concerne la phase d'inspection), l'article 64 affirmant ce qui suit :  "§ 3. L'enquête est secrète sauf exception légale, jusqu'au moment du dépôt du rapport de l'inspecteur général auprès de la chambre contentieuse.

Le Service d'Inspection souligne toutefois que la loi sur les lanceurs d'alerte prévoit une exception possible à cette obligation de secret si la divulgation directe ou indirecte de l'identité à la fin de l'enquête (par la Chambre Contentieuse de l'APD) était considérée comme une obligation nécessaire et proportionnée en vue de sauvegarder les droits de la défense du responsable du traitement concerné, voir l'article 20, § 2 de la loi sur les lanceurs d'alerte. Dans certains cas, la divulgation (sans que l'identité soit mentionnée) peut aussi être déduite indirectement du contexte,  par exemple suite à la communication de pièces et à la consultation du dossier. Il en résulte qu'un auteur de signalement doit être conscient de cette situation impliquant qu'une enquête puisse être interrompue à la demande du plaignant. Le traitement d'un signalement en vertu de la réglementation sur les lanceurs d'alerte n'est dès lors pas toujours évident à mettre en œuvre même si l'anonymat est garanti.


(Premières) expériences à la suite d'un recours accru aux classements sans suite

Dans des rapports annuels précédents, la charge de travail non négligeable au sein de l'APD et du Service d'Inspection, a déjà été soulignée. Bien que le RGPD vise un traitement plus accessible des dossiers liés à la protection des données et que l'APD ne soit pas défavorable à cette idée, il convient toutefois de trouver des mécanismes pour garder la charge de travail sous contrôle et ne pas laisser des dossiers en attente trop longtemps. Ceci vaut non seulement pour les personnes concernées mais aussi pour l'APD en général et pour le Service d'Inspection en particulier.

L'une des possibilités (légales) dont dispose le Service d'Inspection est en effet de classer un dossier sans suite, comme prévu dans la LCA. Le Service d'Inspection a déjà eu recours à cette option par le passé, par exemple s'il n'obtenait pas d'informations détaillées complémentaires du plaignant pour pouvoir traiter correctement le dossier, si le plaignant déclarait lui-même au cours de l'enquête que la plainte pouvait être clôturée (si par ex. le plaignant avait déjà obtenu une solution satisfaisante de la partie adverse) ou s'il s'avérait (après enquête complémentaire ou non) que l'APD n'était pas compétente.

Entre-temps, cet outil a donc aussi été mis en œuvre comme une sorte d'outil stratégique.

Le but d’une telle intervention est en effet tout d'abord de veiller à l'application du RGPD, sans que l'amende ou toute autre sanction ne soit nécessairement un but en soi. L'APD ambitionne toujours d' "être un guide vers un monde numérique où la vie privée est une réalité pour tous”.

Le Service d'Inspection examine en effet différents éléments liés à la vie privée "dans le cadre" du dossier mais le cas échéant aussi "en dehors de son cadre". Dans bon nombre de ces cas, il s'agit concrètement de moyens spécifiques du responsable du traitement destinés à accroître la transparence à l'égard du citoyen en général et de la personne concernée en particulier.

On peut citer comme exemple la publication d'une politique de confidentialité et de cookies claire, complète et conforme au RGPD, la tenue (en interne) d'un registre des activités de traitement et le fait de permettre un exercice correct des droits des personnes concernées (par exemple le droit d'accès ou d'opposition).

Le Service d'Inspection constate toutefois que, dans la pratique, ces moyens laissent encore souvent à désirer, même si le RGPD est déjà d'application depuis le 25 mai 2018 (et même en vigueur depuis 2016). Un responsable du traitement ne peut en effet plus les ignorer.

Dans ses enquêtes, le Service d'Inspection attire dès lors régulièrement l'attention sur ces instruments favorisant la transparence, étant donné qu'ils sont bénéfiques pour tous les citoyens.

Les responsables du traitement qui se sont ainsi retrouvés dans le viseur sont très variés :  par exemple un organisateur de festival, un bureau d'intérim, des jeux de hasard en ligne, des communes, des banques, …

Si le Service d'Inspection remarque que le responsable du traitement fait d'emblée preuve de collaboration et se montre constructif en cherchant des solutions et en tenant compte des remarques du Service d'Inspection, ce dernier classe alors régulièrement des dossiers concrets à son niveau.

Les résultats concrets obtenus après l'intervention du Service d'Inspection donnent en effet lieu à une plus grande conformité au RGPD. Un traitement plus rapide de ces dossiers est en outre constaté au sein de l'APD, ce qui est positif non seulement pour l'APD elle-même (au niveau de la charge de travail par exemple), mais aussi pour les parties concernées (pour le responsable du traitement, on obtient plus rapidement des certitudes quant au traitement de son dossier et aux conséquences pour celui-ci mais pour le citoyen, il y a aussi une plus grande conformité au RGPD dans le chef des instances qui traitent des données à caractère personnel).

Cette manière de faire génère donc effectivement une valeur ajoutée d'un point de vue pratique. Dans certains cas, les termes "classement sans suite" peuvent parfois avoir une connotation négative mais dans de nombreux cas, ils signifient qu'une enquête a mené aux résultats souhaités et entraîne une meilleure conformité au RGPD. Un classement sans suite ne signifie donc pas d'emblée qu'un dossier fait l'objet d'un "classement vertical".

Dès lors, le Service d'Inspection examinera plus avant si de tels classements sans suite ne peuvent pas être étendus à d'autres domaines du RGPD, sans se limiter nécessairement aux outils favorisant la transparence.


Réalisations en chiffres

  • 70 nouveaux dossiers ont été soumis au Service d’Inspection par la Chambre Contentieuse. Ces dossiers découlent de plaintes entrantes. Parmi ces plaintes, on relève plusieurs groupes de thèmes d'inspection récurrents :
    • Plusieurs dossiers traitent des caméras de surveillance et de la législation relative aux caméras en Belgique. Nous constatons que des personnes et des entreprises qui installent des caméras de surveillance ne sont toujours pas conscientes de l'impact sur la vie privée des personnes visées par ces caméras de surveillance. Les habitants d'immeubles d'appartements et de logements d'étudiants ont par exemple été concernés en 2023. Quelques jeunes et des moins jeunes ont eu le courage de monter au créneau pour soulever ces questions.
      Afin de limiter la charge de travail et de permettre un déroulement plus efficace de l'enquête, il a systématiquement été fait appel de la même manière aux services de police locaux afin de procéder aux constatations. Ceci permet une répartition de la propre charge de travail et s'explique aussi par le fait que les services de police locaux sont mieux informés de la situation locale concrète. Le Service d'Inspection constate également que les constatations de la police locale sur le terrain ont également une incidence et un impact évidents et permettent une protection plus effective que lorsque la situation est abordée "à distance". Bien que les dossiers concernaient souvent d'autres zones de police (locale), la coopération avec la police locale dans les dossiers caméras s'est toujours parfaitement déroulée. Une formation a aussi été dispensée cette année à la police locale dans le cadre de la "Journée de l'agent de quartier". Le Service d'Inspection tente ici aussi de soutenir les services de police et a commencé l'élaboration d'une documentation supplémentaire qui expliquera les cas dans lesquels une enquête relative aux caméras de surveillance sera menée ;
    • Vu qu'un site Internet représente souvent une carte de visite pour le responsable du traitement et constitue un premier accès à ce même responsable du traitement, le Service d'Inspection continue à se montrer attentif à une déclaration de confidentialité suffisamment qualitative ainsi qu'à la politique de protection des données qui en découle. Parallèlement, il demeure également prioritaire de vérifier la gestion des cookies et du traçage. Le Service d'Inspection observe à cet égard que les responsables du traitement doivent encore régulièrement procéder à des ajustements et que le placement de ces cookies n'est pas toujours effectué d'une manière qui respecte la vie privée. Dans ce cadre, une attention particulière a également été accordée en 2023 au traitement de plaintes initiées par des groupes d'intérêts étrangers qui représentent des personnes concernées. Le Service d'Inspection remarque que lorsque la représentation d'une personne concernée est assurée par un groupe d'intérêts, quelques particularités sont relevées. Étant donné que le Service d'Inspection examine les plaintes tant à charge qu'à décharge, il remarque entre autres que les mandats ne sont pas toujours rédigés de manière suffisamment spécifique, que l'intérêt des personnes concernées pouvait être mis en doute ou encore qu'il y avait un conflit d'intérêts potentiel entre la personne concernée et le représentant. Le Service d'Inspection a dressé dans ce cadre diverses constatations dans des dossiers d'enquête individuels qui ont ensuite été traités par la Chambre Contentieuse et par ailleurs, le Service d'Inspection a également classé lui-même quelques-uns de ces dossiers sans suite car soit l'objet de la plainte avait disparu en raison de diverses actions du responsable du traitement, soit parce que le représentant de la personne concernée avait introduit une plainte générale à l'encontre du responsable du traitement sans toutefois recourir aux canaux de communication et à l'exercice préalable de ses droits à l'égard du responsable du traitement (ce qui peut d'ores et déjà donner lieu dans de nombreux cas à une conformité accrue) ;
    • Le thème du marketing direct continue également à requérir une attention particulière. Ces traitements peuvent être comparés à un iceberg dont l'impact de la partie émergée ne semble pas toujours causer de gros problèmes, mais dont la partie immergée, moins transparente, continue après analyse à requérir l'attention particulière du Service d'Inspection. Dans ce contexte, la problématique des "data brokers" en particulier occupe une position centrale, où non seulement le fondement correct mais aussi la transparence nécessaire requièrent une attention particulière.
  • 1 nouveau dossier a été soumis au Service d’Inspection par le Comité de direction.
  • 13 nouveaux dossiers ont été ouverts à l'initiative du Service d'Inspection (incluant 4 signalements directs de lanceurs d'alerte réalisés via l'adresse e-mail du Service d'Inspection) et 2 nouveaux signalements de lanceurs d'alerte ont été adressés au Service d'Inspection via le Médiateur fédéral. Au total, ce sont donc 6 dossiers de lanceurs d'alerte qui ont été ouverts.
  • Une mesure provisoire a de nouveau été imposée en 2023. Il s'agissait d'une mesure à l'égard d'un site Internet géré en dehors de l'UE/EEE sur lequel des coordonnées privées de politiciens belges avaient été publiées.
  • La nouveauté 2023 réside dans les signalements relatifs à la législation sur les lanceurs d'alerte (déjà abordée ci-avant). En 2023 (de facto à partir du deuxième semestre 2023), 24 signalements ont été reçus à cet égard, dont seulement 6 dossiers étaient effectivement liés à cette législation (voir également ci-avant).

Plus de chiffres peuvent être retrouvés dans le tableau ci-dessous.  On remarque que l'afflux de nouveaux dossiers est inférieur par rapport aux années 2021 et 2022.

Pour l'équipe actuelle de 11 personnes (un nombre atteint seulement en décembre 2023), il est apparu qu'un équilibre suffisant dans la charge de travail (et le bien-être au travail) devait être trouvé entre le nombre d'inspecteurs et le nombre de dossiers :

  • Le nombre de dossiers mentionnés concerne uniquement le "travail d'inspection". Comme déjà indiqué précédemment, le Service d'Inspection effectue également des audits, dont l'importance ne cesse de croître, ce qui exerce également une pression sur le nombre de dossiers d'inspection pouvant être traités. En effet, différents inspecteurs doivent partager leur temps entre ce travail d'audit et les missions d'inspection - une baisse des chiffres permet donc de consacrer plus de temps à ces audits (en effet, le Service d'Inspection constate également au niveau européen que la nouvelle législation nécessite une attention accrue) - voir également ci-avant pour une explication supplémentaire ;
  • Le Service d'Inspection (ne) compte 11 inspecteurs (que) depuis la fin 2023, dont 2 possèdent un profil spécifique ICT. Les deux profils soutiennent essentiellement les autres collègues, car de plus en plus, les enquêtes comportent à la fois une composante juridique et une composante technique. Ces enquêtes techniques spécifiques prennent un certain temps ;
  • La diminution du nombre de dossiers entrants a de nouveau également permis un examen approfondi des dossiers les plus importants - non seulement les problématiques deviennent plus complexes en termes de contenu mais aussi au niveau de divers éléments de procédure, le Service d'Inspection note que certains dossiers nécessitent une attention plus soutenue.
  • Le travail en profondeur permet au Service d'Inspection de fournir des rapports de plus grande qualité à la Chambre Contentieuse et au responsable du traitement, ce qui engendre une diminution des litiges (de fond) évitables devant la Cour des marchés. Des confrontations plus ciblées du responsable du traitement au cours de l'enquête avec les conclusions des rapports techniques ou des rapports sur les sites Internet permettent d'obtenir des décisions mieux motivées et moins contestables devant la Chambre Contentieuse et la Cour des marchés. Le fait de se concentrer davantage sur la qualité des enquêtes plutôt que sur leur quantité permet également un gain de temps et de ressources.

En 2023, le Service d'Inspection avait clôturé 85% des dossiers. Bien qu'une période de traitement (plus) longue ne puisse être exclue pour diverses raisons, il est préférable, dans la mesure du possible, de ne pas laisser traîner les dossiers trop longtemps. En raison d'une diminution du nombre de dossiers à traiter, grâce à l'expérience / au professionnalisme et à une plus grande efficacité, par exemple par le biais de classements sans suite, ce pourcentage a pu être augmenté.

  • Le ratio entre les dossiers néerlandophones et francophones reste globalement plus ou moins égal en ce sens qu'il y a de plus en plus de dossiers néerlandophones, ce qui fait parfois fluctuer la différence.
  • Il est également particulièrement important que le délai d'exécution et l'arriéré n'augmentent pas. Le nombre de dossiers entrants étant inférieur, les inspecteurs ont pu également clôturer plusieurs anciens dossiers et s'occuper de nouveaux dossiers.
  • Le pourcentage de dossiers ouverts par le Service d'Inspection lui-même reste toutefois encore (trop) faible. Ce qui est nouveau cette année, c'est que le Service d'Inspection a également commencé à vérifier la manière dont le responsable du traitement a donné suite à la décision quant au fond de la Chambre Contentieuse. Cette surveillance augmente d'ores et déjà le pourcentage actuel.

Une autre constatation récurrente est faite à cet égard, à savoir qu’en raison de la persistance de la charge de travail élevée, le Service d'Inspection dispose encore de (trop) peu de marge de manœuvre pour intervenir de façon proactive et ouvrir des dossiers d'initiative.

Cependant, le Service d'Inspection indique encore plus clairement qu'auparavant qu'il y a des inconvénients à être principalement réactif et à fonctionner à "haut volume" et que l'intention de travailler de façon plus "proactive" en ayant recours à davantage de pouvoirs d'enquête est jusqu'à présent restée reléguée au second plan, vu la pression, et est donc encore (trop) limitée.

Un taux de classement sans suite encore plus élevé pourrait y remédier si la tendance de classement sans suite se poursuit, ainsi que l'approbation, fin 2022, par la Chambre des représentants d'une extension de cadre pour l'APD. Cette extension de cadre a permis (en pratique) l'engagement effectif de quelques personnes à la fin 2023, lesquelles ont également pu bénéficier d'une période de familiarisation nécessaire.

Le fil conducteur reste que les inspecteurs voient la plus-value de l'ouverture de dossiers plus ciblés de leur propre initiative par rapport à l'approche plus réactive visant principalement à traiter un volume élevé de plaintes, telle qu'elle a été appliquée lors du lancement du Service d'Inspection en 2019.

Par ailleurs, plusieurs missions ad hoc ont également été menées en 2023 concernant la participation à des groupes de travail internationaux relatifs à des traitements pour VIS et Eurodac et l'élaboration de méthodologies d'audit et d'inspection. Ces missions spécifiques n’ont pas été ajoutées au tableau ci-dessous :

Totalité des dossiers   Saisine Résultat Langue Coopération
    ChC DIRCO Ins Med Clôturés Popre classement sans suite En cours FR NL Niveau international COC
2018 70 67 2 1   70 30 0 20 50 12 1
2019 86 67 11 8   86 13 0 33 53 13 2
2020 153 129 17 7   147 27 6 75 78 7 0
2021 147 134 9 4   136 28 11 62 85 4 0
2022 102 87 9 6   77 35 25 36 66 8 0
2023 86 70 1 13 2 32 25 54 40 46 3 0
Total 644 554 49 39 2 548 158 96 266 378 47 3

(Rem. Les données des années précédentes ont encore été légèrement adaptées. Certains dossiers sont soumis en fin d'année et peuvent dès lors être comptabilisés différemment, d'où la nécessité de légères corrections dans les statistiques pour ajuster l'aperçu).

Au terme de l’enquête, l’inspecteur concerné établit en concertation avec l’Inspecteur général un rapport qui est joint au dossier. Outre les possibilités d’enquête utilisées, le rapport mentionne les constatations du Service d’Inspection et la décision de l’Inspecteur général.

Compte tenu des constatations mentionnées, l’Inspecteur général peut prendre une des décisions suivantes :

  • transmettre le dossier au président de la Chambre Contentieuse ;
  • transmettre le dossier au procureur du Roi lorsque les faits peuvent constituer une infraction pénale ;
  • classer le dossier sans suite ;
  • transmettre le dossier à une autorité de protection des données d'un autre État.

Sur le plan technique, plusieurs dossiers d’enquête ont été finalisés en 2022 et transmis à la Chambre Contentieuse pour suite utile. On peut retrouver le résultat de ces enquêtes dans les informations sur le fonctionnement de la Chambre Contentieuse et sur le site Internet de l’APD. Durant la phase d'inspection, le secret de l'enquête s'applique, ce qui explique donc pourquoi de manière générale, le Service d'Inspection a peu ou n'a pas la possibilité de communiquer à propos des dossiers en cours.

Pendant son enquête, le Service d'Inspection continue à recevoir diverses questions des parties concernées (plaignants et avocats). Ces questions concernent le statut et/ou le déroulement d'une enquête, une demande de concertation pendant la durée de l'enquête, la remise en question de la possibilité - pourtant prévue dans la LCA - pour le Service d'Inspection d'approfondir l'enquête au-delà du cadre de la plainte.

En réponse à ces diverses questions, le Service d'Inspection a dû se référer à plusieurs reprises à l'article 64 de la LCA qui prévoit que l'enquête d'inspection est secrète jusqu'au moment où l'Inspecteur général dépose son rapport auprès de la Chambre Contentieuse.

Afin de répondre à certaines de ces questions courantes de façon transparente et cohérente, celles-ci ont été traitées dans la charte publique du Service d'Inspection. Le Service d'Inspection invite à parcourir ce document car il explique de manière concise et non technique ce que l'on peut/doit attendre d'une inspection (enquête) et ce que l'on ne peut/doit pas en attendre.

À cet égard, il convient toutefois de tenir compte du fait que l'explication apportée par le Service d'Inspection dans sa Charte ne confère pas de droits subjectifs à la personne interrogée, tels qu'un "droit de classement sans suite", et n'implique pas non plus que le Service d'Inspection doive discuter avec le responsable du traitement de la façon dont l'enquête est menée. En effet, le législateur a donné au Service d'Inspection un pouvoir discrétionnaire pour accomplir ses missions d'enquête comme il l'entend, et dès lors il n'appartient a priori pas aux personnes interrogées de remettre la méthode d'enquête en question.

Toutefois, toute préoccupation éventuelle concernant la méthode d'enquête peut être communiquée à la Chambre Contentieuse pendant la phase contradictoire. La Chambre Contentieuse reste en effet totalement indépendante de l'enquête menée, ce qui offre une garantie suffisante au responsable du traitement qui aurait éventuellement des objections quant aux modalités de l'enquête.