Le 10 janvier 2018, la loi portant création de l'Autorité de protection des données (APD) a été publiée.
Cette loi entrera en vigueur le 25 mai 2018.
Les dispositions concernant la nomination des membres du Comité de direction, les membres du Centre de connaissances et les membres de la Chambre contentieuse sont toutefois déjà en vigueur à la date de publication de cette loi, le 10 janvier 2018.
Cette loi règle la création et le fonctionnement de l’autorité de contrôle belge des traitements de données à caractère personnel, à savoir l’Autorité de protection des données (qui remplace l’ancienne Commission vie privée).
L’Autorité de protection des données (APD) est compétente pour le territoire belge indépendamment du droit national applicable au traitement concerné.
L’Autorité de protection des données (APD) est composée de six organes :
- Un Comite de direction + un Président de l’Autorité de protection des données ;
- Un Secrétariat Général ;
- Un Service de première ligne ;
- Un Centre de connaissances ;
- Un Service d’Inspection ;
- Une Chambre contentieuse.
L’APD peut encore se faire assister par des experts externes et s’adjoint un Conseil de réflexion indépendant.
Le Comité de direction est présidé par le Président de l'APD et est composé du directeur du Secrétariat Général, du directeur du Centre de connaissances, du directeur du Service de première ligne, de l'Inspecteur Général et du Président de la Chambre contentieuse.
Le Secrétariat Général soutient le fonctionnement de l’APD d’une manière horizontale (RH, informatique, budget, juridique).
Le Centre de connaissances émet, soit d’initiative soit sur demande, des recommandations et des avis écrits et motivés.
Le Service de première ligne reçoit et examine les plaintes qui sont envoyées à l’APD.
Le Service d’inspection est l'organe d'enquête de l'APD. Il est dirigé par l'inspecteur général et composé d'inspecteurs.
Le Service d’inspection enquête :
- sur base du constat d'indices sérieux de l'existence d'une pratique susceptible de donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel,
- lorsque, suite au dépôt d'une plainte, la chambre contentieuse décide qu'une enquête par le service d'inspection est nécessaire,
- dans le cadre d’une enquête internationale, ou quand elle a des indices sérieux de l’existence d’une pratique délictueuse.
Les compétences du Service d’inspection sont très larges.
Ils peuvent par exemple auditionner des personnes, recueillir des informations, identifier des personnes, procéder à des examens sur place, consulter des systèmes informatiques, prendre des mesures provisoires (y compris la suspension, la limitation ou le gel temporaire du traitement de données si cela est jugé nécessaire pour éviter un préjudice grave, immédiat et difficilement réparable), ainsi que saisir ou mettre sous scellés des objets, documents ou systèmes informatiques.
Les moyens que les inspecteurs du Service d’inspection utilisent doivent être « appropriés et nécessaires », ce qui laisse de la place pour l’interprétation et d’éventuels avis contradictoires.
Les faits délictueux seront prescrits après un délai de cinq ans.
Une procédure d’appel contre les décisions de la Chambre contentieuse doit être introduite devant la Cour des marchés qui traitera l'affaire selon les formes du référé.
Ces dispositions seront applicables à partir du 25 mai 2018.
Griet Verfaillie
griet.verfaillie@peeters-law.be