Cette semaine, le 25 mai 2020, le règlement général sur la protection des données (RGDP) a célébré son deuxième anniversaire. Le 25 mai 2018, le fleuron de l'Union européenne en matière de protection de la vie privée est entré en vigueur. L'année dernière, en avril 2019, l'Autorité de protection des données belge (APD) est également devenue pleinement opérationnelle. Dans cette contribution, nous nous penchons sur le passé et sur l'avenir de l'évolution de la législation sur la protection des données en Belgique.
Un an de l'Autorité de protection des données
Depuis sa création, l'APD n'est pas restée inactive. En plus d'émettre diverses recommandations et lignes directrices, l'APD a reçu 937 notifications de fuites de données, 4.438 demandes d'information et 351 demandes de médiation ou plaintes, et a émis 128 avis sur des projets de lois, décrets et décisions. Le service d'inspection a effectué plus de 100 inspections et la chambre contentieuse a prononcé 59 sanctions, dont 9 amendes.
L'APD a commencé avec prudence, mais elle est rapidement devenue une autorité de contrôle qui agit de manière décisive et impose des amendes de plus en plus importantes. Elle le fait généralement à la suite d'une plainte contre une entreprise, mais elle mène également des enquêtes de sa propre initiative. Ci-dessous, un bref aperçu des amendes imposées par l'APD au cours de sa première année de fonctionnement :
-
L'APD a imposé sa première amende de 2.000 euros le 28 mai 2019 à un bourgmestre qui a irrégulièrement continué à utiliser des données à caractère personnel qu'il avait initialement obtenues dans l'exercice de son mandat, à des fins électorales. Plus tard, le 25 novembre 2019, un autre bourgmestre et un échevin ont reçu des amendes de 5.000 euros pour des infractions similaires.
-
Le 17 septembre 2019, un détaillant a été condamné à une amende de 10.000 euros pour avoir imposé à ses clients la lecture de leur carte d'identité électronique afin de créer une carte de fidélité. En conséquence, le détaillant a traité plus de données que nécessaire, y compris, par exemple, le numéro de registre national de ses clients. L'APD a également statué que le consentement du client n'était pas donné librement en l'absence d'une alternative permettant la création d'une carte de fidélité, sans que la lecture de l'eID ne soit requise. L'amende a été annulée par la Cour des marchés en 2020 en raison du manque de motivation de la décision.
-
Le 17 décembre 2019, l'APD a infligé une amende de 15.000 euros à un site web d'informations juridiques pour, entre autres, avoir violé son obligation d'information et pour absence de consentement valable pour le traitement de données au moyen de cookies. Suite à cette décision, l'APD a publié des lignes directrices supplémentaires relatives aux cookies dans sa tant attendue recommandation sur le marketing direct et sur la page thématique « Cookies » de son site web.
-
Le 17 décembre 2019, l'APD a infligé une deuxième amende de 2.000 euros à une association à but non lucratif pour la violation du droit d'accès, du droit à la transparence et du droit à l'effacement.
-
L'APD a imposé le 28 avril 2020 une amende de 50.000 euros à un opérateur de télécommunications en raison d'un conflit d'intérêts dans le chef de son délégué à la protection des données (DPD). Le DPD était également à la tête des départements d'audit, de risques et de conformité, où il était, entre autres, responsable des décisions relatives à la protection de la vie privée.
-
Le 14 mai 2020, l'APD a infligé une amende de 50.000 euros à une entreprise d'assurance en raison d'informations manquantes et déficientes dans sa politique en matière de respect de la vie privée.
- La dernière amende imposée en date du 14 mai 2020 (pour un montant de 50.000 euros), concernait un réseau social. L'amende sanctionnait la collecte illicite du consentement des utilisateurs (par des cases pré-cochées) et l'absence de consentement des non-utilisateurs qui étaient invités à rejoindre le réseau.
Deux années de RGPD
Au niveau européen également, de nombreuses évolutions importantes ont eu lieu au cours de la deuxième année du RGPD. La Cour européenne de justice a rendu un certain nombre d'arrêts importants dans les affaires Google c. la CNIL sur le droit à l'oubli, FashionID sur l'utilisation des plugins sociaux et Planet49 sur l'installation légale et la fourniture d'informations sur les cookies.
En outre, le Contrôleur européen de la protection des données (CEPD) a également apporté sa pierre à l'édifice, notamment en donnant des lignes directrices sur la portée géographique du RGPD, le consentement, le traitement des données personnelles par les équipements vidéo et le traitement des données de localisation et des données concernant la santé dans le contexte de la pandémie de COVID-19.
La troisième année de la nouvelle ère de la vie privée a démarré – à quoi faut-il s'attendre ?
Dans son plan stratégique, l'APD donne un aperçu des domaines au sein desquels ses activités devraient se concentrer au cours de l'année à venir. L'APD portera une attention particulière à certains secteurs (télécommunications et médias, autorités publiques, marketing direct, enseignement et PME) et à des thèmes spécifiques (rôle du DPD, légitimité du traitement, droits des citoyens, photos et cameras, protection des données en ligne et données sensibles).
Au niveau européen également, nous attendons de nombreuses nouvelles lignes directrices de la CEPD et quelques arrêts intéressants de la Cour de justice. En tête de liste figure notamment l'arrêt dit « Schrems II », qui devrait être rendu le 16 juillet 2020 et qui déterminera probablement si les clauses contractuelles type restent un instrument valable pour le transfert de données à caractère personnel en dehors de l'Espace économique européen.
Une troisième année intéressante pour la réglementation relative à la protection des données est donc en perspective.