RGPD – Exonération des autorités publiques des amendes administratives – arrêt de la Cour constitutionnelle
L’on se souviendra que l’une des nouveautés du RGPD est l’introduction des amendes administratives au titre de mesures correctrices, à prononcer par l’Autorité de Protection des Données[1]. Le RGPD prévoit toutefois la possibilité pour chaque Etat membre d’établir « si et dans quelle mesure des amendes administratives [sont] imposées à des autorités publiques et à des organismes publics »[2]. Cette possibilité d’aménager souplement les amendes administratives en faveur des autorités publiques a été saisie par le législateur belge dans sa loi du 30 juillet 2018[3]. Il a ainsi décidé de ne pas appliquer l’article 83 du RGPD aux « autorités publiques et leurs préposés ou mandataires sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché ». Le législateur fédéral avait aussi défini la notion d’autorité publique en ayant recours aux critères utilisés en matière de marchés publics et de réutilisation des données du secteur public[4].
In extremis, la Fédération des entreprises de Belgique avait introduit un recours en annulation à propos de la disposition belge exonérant partiellement les autorités publiques des amendes administratives invoquant une discrimination injustifiée à l’égard des entreprises, elles, bien sujettes aux amendes administratives.
Dans son arrêt 2021-003 prononcé ce 14 janvier 2021, la Cour constitutionnelle vient de rejeter le recours en considérant que « l’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché » et ce, nonobstant l’obligation pour l’Autorité de Protection des données de tenir compte de circonstances concrètes pour évaluer le montant de l’amende administrative (B.28). Elle conclut en ces termes :« [d]ès lors que, par la disposition attaquée, le législateur entend assurer la continuité du service public et ne pas mettre en péril l’exercice d’une mission d’intérêt général, l’exonération d’amendes administratives prévue à l’égard des autorités publiques visées par la disposition attaquée n’entraîne pas des effets disproportionnés, puisqu’elle permet d’éviter de faire peser sur le citoyen et sur la qualité du service public les conséquences financières d’une telle sanction, tout en laissant la possibilité d’infliger des mesures alternatives et dissuasives en cas de non-respect des obligations qui découlent du RGPD ».
Notre association, qui était intervenue volontairement à la cause pour défendre l’intérêt de ses membres, salue positivement l’arrêt qui permet de préserver les finances publiques.
Elle constate toutefois une interprétation très stricte de l’Autorité de Protection des données de la notion d’autorité publique, pouvant donc bénéficier de l’exonération partielle. L’APD a ainsi infligé une amende administrative à une société de logement de services publics flamande[5] et une école flamande[6] en considérant que même si ces entités exerçaient des missions d’intérêt public, il s’agissait d’organisations de droit privé.
[1] Art. 58, par. 2, i), du RGPD.
[2] Art. 83, par. 7, du RGPD.
[3] Art. 221, par. 2 de la loi du 30.7.2018 rel. à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, M.B., 5.9.2019.
[4] Art. 5 de la loi du 30.7.2018
[5] A.P.D., 13.11.2020, n° 73/2020.
[6] A.P.D., 16.6.2020, n°31/2020.
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?