Publication au Moniteur belge de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données
Vient de paraître au Moniteur la loi du 3 décembre 2017 qui remplace la Commission de la Protection de la vie privée par l’Autorité de protection des données et qui permet l’implémentation (partielle) du RGPD.
Est parue au Moniteur belge du 10 janvier 2018, la loi du 3 décembre 2017 portant création de l’Autorité de protection des données[1].
L’adoption de cette loi intervient dans le cadre des modifications nécessaires induites par la prochaine mise en application du Règlement général de protection des données à caractère personnel (ci-après le RGPD), fixée au 25 mai 2018.
Même si l’acte juridique qu’est le règlement européen ne nécessite en principe pas d’acte de transposition par la Belgique, le RGPD suppose l’adaptation des textes légaux et réglementaires belges. C’est ce que permet en partie la loi du 3 décembre 2017 qui réforme les compétences et le fonctionnement de celle que l’on appelait « Commission de la Protection de la Vie privée », aujourd’hui rebaptisée « Autorité de protection des données ».
En parallèle de cette loi, un texte juridique modifiant ou remplaçant la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel devrait être adopté pour intégrer les nouveautés du RGPD. A notre connaissance, aucun projet de loi ou aucune proposition n’a été déposé au Parlement à l’heure actuelle.
Toujours est-il que la loi du 3 décembre 2017 crée l’Autorité de protection des données qui est instituée auprès de la Chambre des Représentants et qui succède ainsi à la Commission de la Protection de la Vie privée.
L’Autorité de protection des données accomplit ses missions dans un esprit de dialogue et de concertation avec tous les acteurs publics et privés concernés par la politique de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement et du libre flux des données à caractère personnel ainsi que par la politique de la protection des consommateurs[2]. Elle peut par exemple procéder à une consultation publique large ou plus ciblée[3].
Il est intéressant de noter que l’Autorité peut créer des comités ou des groupes sur des matières qui relèvent de sa compétence[4]. Il restera à voir si les Comités sectoriels réapparaitront[5]...
L’Autorité de protection des données est composée de six organes (comité de direction, secrétariat général, service de première ligne, centre de connaissances, service d’inspection et chambre contentieuse)[6] dont les compétences, la composition et le fonctionnement sont détaillés dans la loi.
L’on retiendra sommairement que :
- le service de première ligne traite des plaintes et des requêtes introduites par toute personne et promeut auprès des responsables de traitement la prise de conscience de leurs obligations[7];
- le service d’inspection est l’organe d’enquête et se voit doter de pouvoirs importants dont l’audition de personnes ou la saisie[8] ;
- Enfin, la chambre contentieuse est l’organe contentieux administratif[9] et dispose de plusieurs compétences dont celles de proposer une transaction, d’ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement de données, de prononcer des astreintes et de donner des amendes[10].
La loi du 3 décembre 2017 entre en principe en vigueur le 25 mai 2018[11].
Les autorisations accordées par les comités sectoriels avant la date d’entrée en vigueur de la loi gardent leur validité juridique[12] tandis que l’adhésion, après l’entrée en vigueur de la loi, à une autorisation générale octroyée par délibération d’un comité sectoriel n’est possible que si le requérant envoie un engagement écrit et signé à l’Autorité de protection des données, dans lequel il confirme adhérer aux conditions de la délibération en question[13].
[1] Loi du 3.12.2017 portant création de l'Autorité de protection des données, M.B., 10.1.2018.
[2] Art. 52, par. 1er, de la loi.
[3] Art 52, par. 2, de la loi.
[4] Art. 53, par. 1er, de la loi.
[5] https://www.privacycommission.be/fr/comites-sectoriels.
[6] Art. 7 de la loi.
[7] Art. 22 de la loi.
[8] Art. 66 et s. de la loi.
[9] Art. 28 de la loi.
[10] Art. 100 de la loi.
[11] Sauf si le Roi fixe une date antérieure et à l’exception du chapitre 3 traitant de la nomination des membres de certains organes de l’Autorité de protection des données, entrant en vigueur le jour de sa publication au Moniteur belge : art. 110 de la loi.
[12] Art. 11, al. 2 de la loi.
[13] Art. 11, al. 2.
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Déployer l'IA - L’enjeu de la gestion de vos données et les impacts internes
- Plateforme DPD
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?
