L'Autorité de protection des données (APD) est l'organe de contrôle indépendant en matière de traitement de données à caractère personnel. Elle a été créée par la loi du 3 décembre 2017 (ci-après : "LCA"). Elle dispose d'un arsenal de possibilités d'action bien plus large que son prédécesseur, la Commission de la protection de la vie privée (la "Commission vie privée"). L’APD est un organisme fédéral doté de la personnalité juridique, institué auprès de la Chambre des représentants.


Compétences de l’APD

La mission générale de l'APD est définie par l'article 4 de la LCA comme étant "le contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel".

L'APD est donc en principe compétente non seulement pour le contrôle du respect du Règlement général sur la protection des données (ci-après : "RGPD") ou de la législation générale relative à la protection des données (comme par exemple la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ci-après : "LTD"), mais elle peut aussi exercer un contrôle du respect d'autres législations et réglementations plus spécifiques comme par exemple la législation relative aux caméras.

La surveillance de l’APD ne porte toutefois pas sur les traitements effectués par les cours et tribunaux ainsi que par le ministère public dans l'exercice de leur fonction juridictionnelle. L'APD n'est pas non plus compétente pour les traitements de données à caractère personnel effectués par les services de police.

L'APD est compétente à l'égard d'acteurs et instances du secteur public et du secteur privé et a la possibilité d'infliger des sanctions administratives de manière autonome.


Composition de l'APD

Selon l'article 7 de la LCA, l'APD est composée d'un Comité de direction, d'un Secrétariat Général, d'un Service de Première Ligne, d'un Centre de Connaissances, d'un Service d'Inspection et d'une Chambre Contentieuse. Tant la Chambre Contentieuse que le Centre de Connaissances comptent également six membres externes qui contribuent avec leur expertise aux travaux et délibérations de ces organes.

Le Comité de direction de l'APD est à nouveau au complet depuis le 26 juin 2023 avec la désignation de Anne-Charlotte Recker, directrice du Service de Première Ligne et Koen Gorissen, directeur du Secrétariat Général.

En 2023, l’APD se composait comme suit :

Comité de direction

  • Cédrine Morlière
    Présidente et Directrice du Centre de Connaissances
  • Peter Van den Eynde
    Inspecteur Général du Service d’Inspection
  • Hielke Hijmans
    Président de la Chambre Contentieuse
  • Anne-Charlotte Recker (depuis le 26 juin 2023)
    Directrice du Service de Première Ligne
  • Koen Gorissen (depuis le 26 juin 2023)
    Directeur du Secrétariat Général

Centre de Connaissances

Le Centre de Connaissances est composé de six membres et de la Directrice du Centre de Connaissances :

  • Yves-Alexandre de Montjoye
  • Bart Preneel
  • Nathalie Ragheno
  • Gert Vermeulen
  • Griet Verhenneman
  • Juline Deschuyteneer (depuis le 06/07/2023)

Chambre Contentieuse

La Chambre Contentieuse est composée de six membres et du Président de la Chambre Contentieuse, Hielke Hijmans.

  • Yves Poullet
  • Romain Robert
  • Dirk Van der Kelen
  • Jelle Stassijns
  • Christophe Boeraeve
  • Frank De Smet

Le Comité de direction

Les compétences et activités du Comité de direction sont reprises à l'article 9 de la LCA et englobent, outre l'approbation des comptes annuels, la décision quant au budget annuel, l'organisation interne et la composition interne ainsi que les plans de gestion annuels de l'APD.

Le Comité de direction a également une importante responsabilité opérationnelle dans le domaine de la protection de la vie privée des citoyens, car conformément à l’article 63, 1° de la LCA, il peut décider de saisir le Service d’Inspection s’il constate des indices sérieux de l'existence d'une pratique susceptible de donner lieu à une violation des principes fondamentaux de la protection des données à caractère personnel. En 2023, le Comité de direction a eu recours à cette compétence à 3 reprises. La manière dont le Comité de direction constate et traite l’existence d’indices d’atteintes au sens de l’article 63 § 1, 1° LCA, a été revue par le Comité de direction renouvelé en 2022 et sera profondément modifiée suite à l’entrée en vigueur de la nouvelle LCA.

En 2023, le Comité de direction s’est réuni à 29 reprises.


Collaborateurs et budget

Fin 2023, l'APD comptait 68 collaborateurs, contre 66 à la fin de l'année précédente, soit une augmentation 2,9 %.

Pour financer son fonctionnement, l’APD a pu disposer en 2023 d’un crédit de fonctionnement s’élevant à 13.274.000 EUR (contre 9.993.740,56 EUR en 2022, soit une augmentation de 32,82 %). Les crédits de fonctionnement ont principalement été financés par la dotation proprement dite de 13.274.000 EUR et par les bonis reportés des années précédentes.


Coopération

Coopération au niveau national

L'APD partage des connaissances et des informations avec de nombreux acteurs du secteur public dont les compétences touchent à la protection des données. En voici quelques exemples :

  • En 2023, l'APD a de nouveau apporté sa contribution au SPF Justice afin que celui-ci puisse répondre à de nombreuses questions parlementaires sur la protection des données.
  • L'APD a fourni des contributions importantes au Secrétaire d'État ainsi qu'à la Chambre des représentants dans le cadre de l'examen du projet de loi modifiant la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.
  • L'APD collabore régulièrement au niveau fédéral avec plusieurs contrôleurs "spécifiques à un secteur", comme l'Organe de contrôle de l’information policière, le Comité R et le Comité P. Le protocole de coopération qu'ils ont conclu ensemble sert à cet égard de fil conducteur.
  • L'APD a conclu un protocole de coopération avec le Médiateur fédéral au sujet du nouveau règlement relatif aux lanceurs d'alerte. 
  • L'APD et le Centre pour la Cybersécurité Belgique (CCB) ont organisé un échange d'idées sur divers thèmes liés à leurs deux domaines de compétence. La future législation relative à la sécurité informatique (par exemple NIS2) a ainsi notamment été abordée et d'éventuelles opportunités de coopération ont été identifiées.

Chambre des Représentants de Belgique – Commission de l’Economie, de la protection des consommateurs et de l’agenda numérique – 20 septembre 2023

L’APD, représentée par sa Présidente, Cédrine Morlière, et le directeur de son Secrétariat Général, Koen Gorissen, est intervenue en Commission de l’Economie, de la protection des consommateurs et de l’agenda numérique de la Chambre des Représentants au sujet des "aspects éthiques et sociétaux de l’intelligence artificielle".

L'APD notamment via son Centre de Connaissances et sa Chambre Contentieuse a déjà été amenée, ou sera bientôt amenée, à fournir des avis et prononcer des décisions sur des dossiers liés à l'IA.

Coopération internationale

L’APD entretient de nombreux contacts, formels et informels, avec d’autres autorités de protection des données. Cela lui permet d’échanger des bonnes pratiques et d’améliorer ses procédures internes, partager de l’expertise, résoudre des questions ou litiges de portée internationale et s’assurer que les règles soient appliquées de manière cohérente et uniforme, mettant ainsi en œuvre le Plan Stratégique 2020-2025.

Le Comité Européen de la Protection des Données (EDPB)

L’APD a contribué activement aux travaux de l’EDPB en participant aux sous-groupes d’experts et taskforces suivants :

  • Compliance, e-Government and Health (ad hoc)
  • Cooperation
  • Enforcement
  • International Transfers
  • Key Provisions (ad hoc)
  • IT Users
  • Strategic Advisory
  • Technology
  • 101 Complaints Taskforce
  • Cookie Banner Taskforce
  • Fining Taskforce
  • Taskforce to exchange views on the international agenda on data protection
  • Task Force on the interplay between Data Protection, Competition and Consumer protection
  • Coordinated Enforcement Framework
  • Support Pool of Experts

Les collaborateurs de l’APD ont également œuvré comme (co-)rapporteurs des lignes directrices sur l’anonymisation. L’APD formule régulièrement des commentaires sur les projets préparés par d’autres autorités de contrôle.

L'APD a contribué activement à la résolution des litiges au niveau de l'EDPB, qui gagne en importance. À titre d'illustration, on peut citer les décisions contraignantes concernant TikTok (y compris le deceptive design à l'égard des enfants) et Meta (amende dans le contexte des transferts internationaux et une décision contraignante urgente sur la publicité comportementale).

Les membres du Comité de direction et des collaborateurs de l’APD ont assisté à 15 séances plénières de l’EDPB.

Annual Conference of the Association of European Data Protection Judges 2023 – 6 et 7 février 2023

L’APD, représentée par sa Présidente, Cédrine Morlière, a participé à la conférence des 6 et 7 février 2023 organisée par l’association européenne des juges actifs en protection des données. Cédrine Morlière y a présenté le point de vue de l’APD sur la mise en œuvre du RGPD à travers l’Europe.

Spring Conference – 10 au 12 mai 2023

Du 10 au 12 mai 2023, des représentants de l’APD ont pris part à la 31e conférence de printemps des autorités européennes de protection des données (« Spring Conference »), organisée cette année par l’autorité hongroise à Budapest.

Cet événement fut l’occasion pour l’APD de partager ses connaissances, de s’informer, de rencontrer ses homologues européens et d’échanger des bonnes pratiques avec eux.

Des thématiques variées ont été abordées, parmi lesquelles : l’impact social des nouvelles technologies, la collaboration entre les autorités européennes et les autorités hors espace EEA, la relation entre les DPO et les autorités de protection des données nationales.

Le président de la Chambre contentieuse de l’APD, Hielke Hijmans, a par ailleurs eu l’occasion de présenter un exposé remarqué sur le rôle et la jurisprudence de la Cour de Justice de l’Union européenne (CJUE) en matière de protection des données.

Plus de détails sur les participants et le programme de la conférence sont à ce jour encore disponibles sur le site de la conférence.

Union Internationale des Avocats du Luxembourg - 13 octobre 2023

L’APD, représentée par sa Présidente, Cédrine Morlière, a participé au colloque organisé par l’Union Internationale des Avocats du Luxembourg en octobre 2023. Cédrine Morlière y est intervenue sur le sujet de l’harmonisation des décisions non contentieuses des Autorités de protection des données, plus précisément en ce qui concerne l’impact de technologies telles que l’Intelligence artificielle.

La Global Privacy Assembly (GPA) – 15 au 20 octobre 2023

Du 15 au 20 octobre 2023 inclus s’est tenue à Hamilton (Bermudes) la réunion annuelle de la Global Privacy Assembly (GPA, Assemblée mondiale pour la protection de la vie privée). La GPA est l’organisation mondiale des contrôleurs de la vie privée. Lors de cette réunion, l’APD était représentée par le Président de la Chambre Contentieuse.

La réunion a accordé une grande attention aux évolutions dans le domaine de l'intelligence artificielle et à son caractère disruptif ou non pour les citoyens et les sociétés, notamment en ce qui concerne la protection de la vie privée. L'applicabilité des principes de protection de la vie privée et des données aux applications d'intelligence artificielle a été au centre des débats. On pense ici en particulier aux principes de minimisation des données et de limitation des finalités.    

Un deuxième thème important était la protection de la vie privée des enfants et des mineurs, dans le cadre duquel des outils de vérification de l'âge fiables et respectueux de la vie privée ont également été discutés.

Comme de coutume, la réunion comportait une partie publique et une partie privée réservée aux contrôleurs. Les responsables de traitements ont notamment discuté de la vision stratégique de l'APD, tant en termes d'influence sur les autorités publiques et les organisations qu'en termes de développement des capacités ("capacity building") en vue du contrôle du respect de la législation au niveau international.

Des résolutions ont été adoptées concernant entre autres l'IA dans le contexte du travail, l'IA générative et les données de santé, notamment le partage de ces données dans l'intérêt général. La GPA a aussi adopté une résolution devant favoriser la définition de standards mondiaux pour la protection des données.

Le Président de la Chambre Contentieuse a pris part à un panel d'autorités homologues de Norvège, du Mexique et d'Afrique du Sud sur la protection des données à caractère personnel accessibles au public.

Dans les couloirs, on a beaucoup parlé de l'utilisation de cookies tiers et de leur avenir, ainsi que des modèles de paiement sur Internet.

La prochaine réunion aura lieu à Jersey en octobre 2024.

De plus amples informations sont disponibles sur le site Internet de cette conférence.

Outre la réunion à Hamilton, l’APD a également participé activement à plusieurs groupes de travail de la GPA, qui se réunissent régulièrement en ligne. On peut notamment citer deux groupes de travail : l’International Enforcement Working Group, dans le cadre duquel ont eu lieu des échanges sur l’application de la législation à l’égard de sociétés opérant souvent à l’échelle mondiale, et le Digital Citizen and Consumer Working Group, qui s’occupe du rapport entre le contrôle de la vie privée et d’autres formes de contrôle, par exemple dans le domaine de la concurrence.

Conférence sur la certification au Luxembourg – 22 au 24 novembre 2023

Du 22 au 24 novembre 2023, des représentants de l’APD ont participé à l’atelier sur la certification (« certification workshop »), organisé par l’autorité luxembourgeoise, au Luxembourg.

Cet atelier fut l’occasion d’échanges enrichissants avec les représentants des autres autorités de protection des données européennes et les intervenants spécialisés en matière de certification RGPD, au sujet du développement, des défis et des opportunités futures pour les schémas de certification RGPD.

Le premier jour, plusieurs experts ont présenté les avantages, enjeux et difficultés ainsi que l’intérêt et les attentes du marché en ce qui concerne le mécanisme de la certification RGPD. Nos homologues luxembourgeois ont également présenté le fonctionnement de l’autorité luxembourgeoise en ce qui concerne la certification RGPD.

Le deuxième jour, la différence entre le mécanisme de certification en tant qu’outil de conformité au RGPD (article 42 du RGPD) et en tant qu’outil de transferts (article 46 du RGPD) a été présenté par nos homologues de l’autorité italienne. Ce deuxième jour a également fait l’objet de tables de discussions et de réflexions (« working groups ») sur des problématiques liées au mécanisme de la certification RGPD.

Le troisième jour fut également consacré aux tables de discussions et de réflexion sur des problématiques liées au mécanisme de la certification RGPD.

Plus d’informations concernant le programme se trouvent sur le site internet de l’autorité luxembourgeoise.

European Case Handling Workshop – 22 novembre 2023

Des collaborateurs de différents services de l'APD ont participé à l'European Case Handling Workshop à Berne en Suisse. 37 autorités de protection des données étaient présentes à cette conférence qui s'est concentrée sur le traitement pratique des plaintes. Un échange d'idées a ainsi notamment eu lieu concernant le traitement de plaintes transfrontalières et la manière dont les autorités de protection des données doivent réagir face à des plaintes manifestement non fondées ou excessives a été analysée. Des ateliers ont également été organisés sur la gestion et le traitement de notifications de violations de données. Par ailleurs, l'application pratique des directives relatives aux deceptive designs a également été abordée. D'autres évolutions technologiques et juridiques ont également été discutées, comme la technologie de reconnaissance faciale et la loi américaine sur le cloud (US Cloud Act).

L’Association francophone des autorités de protection des données personnelles (AFAPDP)

L’APD a participé aux activités de l’AFAPDP tout au long de l’année 2023.

Autres évènements et conférences

Outre les interventions reprises ci-dessous, l’APD a participé à bien d’autres colloques, événements ou formations en vue d’échanger sur la protection des données, comme à titre non exhaustif : le Privacy symposium, de «  Dag van de Wijkagent » (« Journée de l’agent de quartier » - sur le thème de la surveillance par caméras,) ou encore le festival en ligne Barak@TIC des innovations pédagogiques numériques (dans le cadre de « Je Décide »).