05/01/18

GDPR : les règles de mise en œuvre se précisent de plus en plus

La date butoir d’entrée en vigueur du Règlement Général sur la Protection des Données (« GDPR ») ce 25 mai 2018 prochain arrivant à grand pas, il est de plus en plus urgent d’adopter les mesures nécessaires pour s’y conformer.

De nouveaux textes précisent la manière dont les amendes devront être précisément calculées, d’une part, ainsi que celle dont les infractions seront poursuivies, d’autre part.

1. Projet de loi portant création de l’Autorité de protection des données

Le 23 août 2017, un projet de loi créant l’Autorité pour la protection des données a été déposé devant la Chambre des représentants. Une fois adoptée, la loi transformera l’actuelle Commission pour la protection de la vie privée en Autorité nationale de référence en matière de protection des données à caractère personnel au sens de l’article 51 du GDPR. Sa nouvelle structure a notamment été pensée sur base du modèle de fonctionnement d’autres autorités administratives indépendantes, telle que l’Autorité belge de la concurrence.

Concrètement, le projet de loi modifie la structure de la Commission en instituant six organes principaux : un comité de direction, un secrétariat général, un service de première ligne, un centre de connaissance, un service d’inspection et une chambre contentieuse. Le comité de direction sera composé des dirigeants des cinq autres organes, eux-mêmes désignés par la Chambre des représentants. Par ailleurs, un conseil de réflexion, indépendant de l’autorité, sera également institué et rendra des avis non contraignants sur tous les sujets portant sur la protection des données à caractère personnel.

L’Autorité aura pour objectif d’informer et de conseiller les individus et responsables de traitements, d’accompagner ces responsables et leurs sous-traitants dans l’exécution de leurs missions, de contrôler ces derniers via un service d’inspection et de les sanctionner en cas de non-respect des dispositions du GDPR.

Ce pouvoir de sanction est probablement la plus grande nouveauté apportée par le projet de loi. La Commission n’ayant actuellement qu’une compétence d’avis et de recommandation, celle-ci se verra prochainement attribuer un pouvoir de sanction, jusqu’alors entièrement dévolu aux autorités judiciaires. La chambre contentieuse pourra prononcer diverses sanctions, allant du classement sans suite jusqu’à la transmission du dossier au Parquet, en passant entre autres par des avertissements, réprimandes, astreintes, amendes administratives et injonctions multiples et variées. Un recours contre les décisions prises par la chambre contentieuse sera également possible devant une chambre spécialisée de la Cour d’appel de Bruxelles appelée « Cour des marchés ».

2. Lignes directrices sur l’application et la détermination des amendes administratives

Le « Groupe 29 » (“Article 29 Data Protection Working Party”), considéré comme le Comité Européen de la Protection des Données (“EDPB”) a pour objectif de communiquer des lignes directrices afin de permettre une compréhension uniforme et équivalente entre les Etats membres des dispositions du GDPR. Depuis l’adoption du Règlement en avril 2016, le Groupe 29 a émis une série de lignes directrices portant sur certains articles du GDPR afin de permettre une compréhension uniforme et équivalente entre les Etats membres de ces dispositions. Parmi celles déjà publiées, on compte celles relatives au droit à la portabilité des données, à la désignation d’un « Data Protection Officer » et au « lead supervisory authority ».

Ce 3 octobre, de nouvelles lignes directrices portant sur l’application et la détermination des amendes administratives pouvant être infligées à un responsable de traitement ou à un sous-traitant en cas de violation d’une disposition du GDPR ont été publiées. Pour rappel, l’article 83 du règlement prévoit que ces amendes peuvent aller jusqu’à 10 millions d’euros (si c’est une entreprise, jusqu’à 2% de son chiffre d’affaire annuel mondial) ou 20 millions d’euros (si c’est une entreprise, jusqu’à 4% de son chiffre d’’affaire annuel mondial) en fonction du type d’infraction.

Dans ces lignes directrices, le Groupe 29 rappelle les principes généraux de fixation de l’amende administrative, à savoir le fait que celle-ci doive être adéquate, proportionnée et dissuasive et qu’elle devra être déterminée au cas par cas. Dans cette appréciation, l’Autorité de contrôle devra tenir compte de plusieurs critères dont la nature, la durée et la gravité de l’infraction, le nombre de personnes faisant l’objet de l’infraction, le but du traitement de leur données, l’éventuel dommage subi par ces personnes, la manière dont l’infraction a été révélée, le degré de coopération du responsable de traitement avec l’autorité de contrôle, l’éventuelle situation de « récidive », les catégories de données concernées, le caractère intentionnel ou négligent, les actions entreprises par le responsable en vue de limiter les conséquences dommageable pour la personne concernée, etc.

En cas d’infraction à l’une des dispositions du GDPR, il est recommandé aux responsables de traitement et à leurs sous-traitants de conserver des preuves des mesures concrètes adoptées afin de se conformer aux obligations découlant du GDPR.  Le degré de responsabilité du responsable de traitement ou du sous-traitant pouvant être également pris en compte dans la détermination du montant de l’amende, ces derniers devront, en cas d’infraction, apporter la preuve que toutes les mesures qui auraient pu empêcher ladite infraction avaient été prises en interne.

dotted_texture