La Belgique fait partie des mauvais élèves européens en matière de protection des données. La faute au politique, qui a traîné à installer l’APD. On fera le vrai bilan dans un an.

Le Règlement général sur la protection des données a un an ce samedi. Le grand chambardement a-t-il eu lieu? Les données personnelles sont-elles mieux protégées? L’état des lieux en 10 items.

1. L’Autorité de protection des données (APD) a-t-elle agi concrètement?

Oui, bien que l’APD ait dû entamer son existence avec une direction ad interim jusqu’à fin avril 2019, elle a travaillé. Sur les douze mois écoulés, elle a répondu à 6.514 questions d’information, traité 340 plaintes et requêtes, et donné 277 avis. Elle a aussi été notifiée de 694 fuites de données. Tous chiffres en forte hausse par rapport à la période de mai 2017 à mai 2018, sous l’égide de l’ancienne Commission vie privée: 4.551 questions, 216 plaintes et requêtes, 100 avis, 41 fuites de données. L’APD a aussi effectué des inspections: elle en a mené à bien 70 au dernier trimestre 2018, dit sa porte-parole Aurélie Waeterinckx. La statistique pour début 2019 n’est pas disponible.

2. A-t-elle infligé des sanctions?

Non, l’APD n’a infligé aucune amende. La direction ad interim n’a manifestement pas voulu engager la future direction.

3. Dans l’Union européenne, quel est le bilan des autres autorités?

Il est beaucoup plus riche, en toute logique puisque la plupart des autres Etats membres ont inauguré le RGPD avec une instance déjà en place en mai 2018. Ensemble, les autorités de l’UE ont enregistré 144.000 plaintes et près de 90.000 fuites de données. Plus spectaculaire, des amendes ont été imposées dans onze pays, pour un total de 55,9 millions d’euros.

4. La Belgique est-elle à la traîne en Europe?

Oui, en raison de l’absence de direction. "Dans notre pays, les entreprises se sont demandé pourquoi avoir fourni un gros effort d’adaptation, si c’est pour constater qu’ensuite rien ne se passe", commente Brahim Bénichou, avocat au cabinet NautaDutilh spécialisé dans les législations de confidentialité et chercheur à la KU Leuven. "Et la population n’a pas été sensibilisée à la problématique: elle ne voit pas d’intérêt à déclarer une fuite de données." La faute, selon lui, à la paralysie à la tête de l’Autorité qui, du coup, n’a pas joué son rôle de conseiller, d’informateur, de formateur. "En Europe, la Belgique est clairement dans le peloton de queue, si pas la dernière", conclut-il.

5. Les entreprises se sont-elles adaptées?

"Les grandes entreprises ont pris les mesures nécessaires à temps et y ont consacré des moyens importants", répond Nathalie Ragheno, conseillière juridique à la Fédération des entreprises de Belgique (FEB). "Dans les PME, c’est plus difficile à dire: certaines, y compris parmi les petites, se sont adaptées, d’autres pas, mais toutes en ont entendu parler." Selon une enquête réalisée par le Syndicat neutre pour indépendants (SNI) auprès de 562 entrepreneurs, 75% d’entre eux ont "déjà pris depuis des mesures concrètes, mais pas nécessairement dans tous les domaines". Les 25% restants "n’ont encore rien fait, surtout par manque de temps ou parce qu’ils ne savent pas par où ils doivent commencer".

"Le temps du laxisme à propos du RGPD est révolu." David Stevens président de l’Autorité de protection des données

6. Cela leur a-t-il coûté cher?

"Le coût est impressionnant pour les grandes entreprises", selon Nathalie Ragheno qui cite un montant de 8.000 euros par jour. Elle cite aussi de grands hôpitaux, qui ont budgeté 450.000 euros sur 5 ans pour leur mise en conformité et la sensibilisation de leur personnel. Bénichou relève que les sociétés qui ont omis de prendre des mesures en ont, jusqu’ici, retiré un avantage concurrentiel illégitime.

7. Les entreprises sont-elles toutes concernées?

"Quasi toutes, répond Ragheno: à partir du moment où elle emploie une personne, toute entreprise entre dans le cadre." "Même si elle fait un minimum de marketing, toute firme traite des données personnelles", renchérit Brahim Bénichou.

8. Certains secteurs d’activité sont-ils menacés à terme?

On songe au marketing direct, qui brasse les données des particuliers considérés comme prospects. "On peut se demander si le modèle du direct marketing a encore un avenir, dit Bénichou. Ce secteur va-t-il continuer à cibler les personnes comme aujourd’hui, ou trouver une voie médiane?" Gros challenge en vue…

9. Y a-t-il un nombre suffisant de "Data protection officers"?

L’APD en a recensé 4.393 qui sont actifs et enregistrés. C’est peu, en regard du nombre d’entreprises existantes (dans les administrations, les DPO sont obligatoires), mais beaucoup d’entre elles ont nommé en leur sein un responsable du traitement des données – la mesure à prendre quand l’entreprise ne manipule pas un trop gros volume de données ou qu’elles ne sont pas trop sensibles. Et d’autres recourent à des consultants extérieurs, de sorte qu’il est impossible de savoir si toutes sont en ordre.

10. L’APD doit-elle centrer son action sur les Gafa (Google, Apple, Facebook, Amazon)?