chronique

Toc Toc ! C'est l'Autorité de protection des données !

A partir du 25 mai 2018, notre actuelle Commission pour la Protection de la Vie Privée (CPVP) deviendra l’Autorité de Protection des Données (APD). L’APD sera en charge du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel tels qu’ils sont prévus par le Règlement Général sur la Protection des Données (RGPD).

Par Heidi Waem et Louisa Vandepitt
NautaDutilh

Vous êtes directeur d’une entreprise active dans le domaine de l’analyse de données. Un beau jour de mai, la réceptionniste vous appelle. Elle vous annonce que des inspecteurs d’une certaine Autorité sont là et qu’ils aimeraient vous interroger et avoir accès au système informatique.

Pourquoi des inspecteurs (de quelle Autorité déjà ?) voudraient contrôler une fuite ? Et quelle fuite ?

Sous le choc vous avalez de travers votre café et lui faites répéter. Oui, oui, et elle ajoute que les inspecteurs voudraient contrôler une fuite. Vous n’y comprenez plus rien! Pourquoi des inspecteurs (de quelle Autorité déjà??) voudraient contrôler une fuite? Et quelle fuite? La salle des serveurs serait-elle sous eau? Juste avant de raccrocher précipitamment pour vous ruer vers la réception vous entendez qu’il s’agit d’une fuite de données.

Ce scénario qui n’est encore aujourd’hui que de la fiction sera une réalité à partir du 25 mai 2018. À cette date, notre actuelle Commission pour la Protection de la Vie Privée (CPVP) deviendra l’Autorité de Protection des Données (APD). L’APD sera en charge du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel tels qu’ils sont prévus par le Règlement Général sur la Protection des Données (RGPD).

Pouvoir d’enquête

©ANP XTRA

Ce changement n’est pas limité à celui de son nom mais concerne sa structure entière et ses compétences.

Alors qu’auparavant les possibilités d’enquête de la CPVP en ce qui concerne les violations de la législation en matière de protection des données étaient limitées, l’ADP devient un réel régulateur doté de pouvoirs d’enquête et de sanction étendus, à l’instar d’autres régulateurs comme l’Autorité belge de la Concurrence.

Désormais l’ADP dispose de tout un arsenal de mesures pour lui permettre d’enquêter en cas de violation du RGPD. Ces enquêtes sont menées par un service qui a été spécialement créé au sein de l’ADP, à savoir le service d’inspection.

Afin d’instruire leur dossier les inspecteurs pourront: mener une enquête écrite, procéder à des examens sur place, identifier des personnes et les auditionner, consulter des systèmes informatiques et copier les données qu’ils contiennent, accéder à des informations par voie électronique, saisir ou mettre sous scellés des biens ou des systèmes informatiques et enfin, requérir l’identification de l’abonné ou de l’utilisateur habituel d’un service de communication électronique ou du moyen de communication électronique utilisé.

Dans certains cas les inspecteurs devront disposer ou de l’autorisation d’un juge d’instruction ou de l’autorisation de la personne concernée.

Dans certains cas les inspecteurs devront disposer ou de l’autorisation d’un juge d’instruction ou de l’autorisation de la personne concernée (par exemple s’ils désirent accéder à un local professionnel qui est soumis au secret professionnel (avocats, médecins, etc.) ou à un espace habité), mais la plupart des mesures d’enquête ne nécessitent pas de telles autorisations.

Le service d’inspection peut également ordonner des mesures provisoires dans des situations susceptibles de causer un préjudice grave, immédiat et difficilement réparable. Ces mesures provisoires peuvent consister en l’ordre donné à une entreprise de suspendre, limiter ou encore geler un traitement de données déterminé (par exemple un transfert de données vers l’étranger, la vérification d’antécédents, le traitement de données dans le cadre d’un marketing ciblé, etc.).

Issues possibles

Le service d’inspection peut mener une enquête de sa propre initiative lorsqu’il constate qu’il existe des indices sérieux de l’existence d’une infraction à la législation en matière de protection des données mais il peut également être saisi par d’autres services de l’APD, à savoir le comité de direction ou la chambre contentieuse.

Lorsque l’enquête est terminée, différentes issues sont possibles. Le Service d’inspection peut choisir de classer le dossier sans suite. Il peut également transmettre à la chambre contentieuse, organe au sein de l’ADP qui a le pouvoir d’imposer des sanctions et des amendes, ou encore au Procureur du Roi lorsque les faits peuvent constituer une infraction pénale.

Et enfin, si cela s’avère nécessaire, il peut transmettre le dossier à une autorité de protection des données d’un autre État.

Par l’adoption du RGPD, le législateur européen a donné le signal clair qu’il prend très au sérieux la protection des données à caractère personnel.
.
.

Par l’adoption du RGPD, le législateur européen a donné le signal clair qu’il prend très au sérieux la protection des données à caractère personnel et qu’à cette fin il a veillé à ce que les autorités de contrôle nationales puissent disposer des moyens suffisants pour montrer leurs dents et mordre chaque fois que cela sera nécessaire. Il est donc crucial que les entreprises y soient préparées.

Lire également

Publicité
Publicité
Publicité
Publicité

Contenu sponsorisé

Partner content