Le rapport annuel de l’APD: un bref résumé

Author info

Ce blog a été co-écrit par Jolien Clemens.

En 2020, l'actualité a porté presque exclusivement sur la crise du COVID-19. Pour l'Autorité de protection des données (APD) également, ce thème était central. En effet, la crise sanitaire sans précédent a apporté de nouveaux défis à la protection des données, augmentant considérablement la charge de travail de l'APD. Par exemple, le nombre de plaintes a augmenté de 290,64% par rapport à 2019. Ce billet de blog offre un aperçu du rapport annuel 2020 de l'APD (PDF) et couvre les principaux thèmes.

La crise du COVID-19 : Le défi de la vie privée

La crise COVID-19 s'est avérée être le défi de l'année pour l’APD en matière de protection de la vie privée. L’APD a été confrontée à de nouvelles méthodes de traitement des données telles que les applications de recherche de contacts et les indices de mobilité.  Dans sa recherche de réponses, l’APD a tenté d'assurer autant que possible un équilibre entre la protection de la santé publique et la protection des données personnelles.

La crise s'est également accompagnée d'un afflux de nouvelles questions de la part des citoyens et des responsables du traitement des données. Comme beaucoup d'entre eux se posaient les mêmes questions, un dossier thématiquesur COVID-19a été lancé.

L’APD a également assisté le gouvernement belge en lui fournissant des conseils sur divers projets de textes normatifs relatifs à la crise du COVID-19. L’APD s'est concentré sur le respect des principes de licéité, de prévisibilité, de nécessité, de proportionnalité et d'autres principes et règles de l’RGPD. Les avis concernaient la mise en œuvre d'un système de traçage des contacts à haut risque, l'appli Coronalert, les enregistrements et le traitement des données liées aux vaccinations COVID-19. Les lacunes communes aux textes normatifs portaient sur : (1) le manque de précision dans la description des finalités du traitement des données prévu ; (2) le caractère non exhaustif des catégories de données traitées et des personnes concernées ; et (3) le fait qu'il n'était pas précisé à quels tiers les données collectées pouvaient être rendues accessibles.

Enfin, l'APD a déclaré que l'attitude proactive s'est avérée nécessaire. Par exemple, l'APD a suivi l'évolution de toutes sortes de nouvelles technologies et pratiques qui ont contribué à la lutte contre le virus afin de s'assurer que la vie privée était toujours au premier plan.

Autres thèmes de l'année

Au cours de l'année écoulée, l’APD ne s'est bien sûr pas concentré uniquement sur la crise du COVID-19, mais d'autres thèmes importants ont également été mentionnés dans le rapport annuel. Ils seront brièvement abordés ci-dessous.

Gouvernements

L'une des priorités de l'APD en 2020 était le respect de la réglementation de la protection des données personnelles par les gouvernements. Comme les gouvernements collectent souvent d'énormes quantités de données personnelles (sensibles), la protection de la vie privée des citoyens est essentielle. Dans de nombreuses situations, le citoyen n'a pas le choix de partager ou non ses données personnelles, car le traitement est souvent basé sur une obligation légale. Comme le gouvernement remplit une fonction exemplaire, l'APD considère que sa responsabilité en matière de respect de la législation sur la protection de la vie privée est plus élevée.

Cette année, l’APD s'est donc principalement attaché à conseiller les responsables publics du traitement des données et, si nécessaire, à faire appliquer la loi. Des conseils ont été donnés sur la légalité du traitement des données personnelles par le gouvernement, le respect des principes de protection des données (protection des données dès la conception), les obligations de transparence et les droits des personnes concernées, ainsi que l'accès et le traitement des données personnelles contenues dans le registre national et d'autres registres par les autorités publiques.

Marketing direct

Un autre secteur qui a retenu l'attention en 2020 est celui du marketing direct. Chaque jour, des millions de personnes en Belgique sont contactées par des communications de marketing direct basées sur les données personnelles que les entreprises ont collectées à leur sujet. Ils ignorent souvent quels sont leurs droits et comment ils peuvent les exercer. C'est là que l'APD est intervenue en traitant les demandes d'information, les médiations et les plaintes concernant les traitements de données à caractère personnel liés aux activités de marketing direct. La Chambre des Litiges a également rendu un certain nombre de décisions sur ce sujet. L'une des plus importantes a été la décision sur les pratiques de marketing direct d'une organisation faisant des offres aux futures mères (décision 04/2021 du 27 janvier 201). Il y a également eu une recommandation importante du Centre de Connaissances de la DPA concernant le traitement des données personnelles à des fins de marketing direct.

Protection des données personnelles en ligne

La protection des données personnelles en ligne n'est certainement pas une question nouvelle pour la DPA. Avec les progrès rapides des technologies, le monde en ligne évolue en même temps que lui, créant de nouveaux défis pour la protection des données. En particulier, la gestion des cookies des principaux sites web de médias belges a fait l'objet d'une étude pilote à grande échelle. La Chambre des Litiges a également rendu de nombreuses décisions sur la vie privée en ligne, telles qu'une décision sur les sites de rencontre, une décision sur Google Belgique et une décision sur l'accès à FisconetPlus.

DPO

Pour l'APD, les DPD sont essentiels pour la protection des données personnelles de la société belge dans la pratique. L’APD souhaite donc soutenir autant que possible les DPD dans l'exécution de leurs tâches. L’APD a développé un certain nombre d'outils de soutien pour les DPD en Belgique à l'horizon 2020. Par exemple, l’APD a mis à disposition des documents et des " outils " pour aider les DPD, mais aussi les responsables de traitement en général, à mettre en œuvre les obligations de l’RGPD. En outre, un document de demande d'avis a également été créé pour permettre aux DPD de recevoir des informations de manière simple sur le traitement des données personnelles par l'organisation qu'ils assistent. L’APD a également mis à disposition une présentation sur les principes généraux de l’RGPD pour que les DPD puissent l'utiliser pour informer les organisations et les employés des principes de l’RGPD. Enfin, l’APD a également mis en avant 10 règles de base que les DPD devraient généralement respecter.

Sensibilisation

L'APD a la compétence importante de fournir des informations aux citoyens et aux organisations. En 2020, trois groupes cibles ont retenu son attention, à savoir les PME, les enfants/jeunes et le grand public. Les projets de sensibilisation sont brièvement mentionnés dans cette section.

Le projet BOOST a été lancé en 2020 dans le but d'aider les PME à se conformer au GDPR. Le résultat du projet a été un certain nombre d'outils tels qu'une brochure avec une réponse complète aux 3 questions les plus fréquemment posées en 2020, un manuel sur la façon de traiter les droits des personnes concernées et un modèle de document et de lettre pour toutes les demandes des personnes concernées prévues par le GDPR.

Le site web jedecide.be a été une réalisation importante dans la protection de la vie privée des enfants et des jeunes. Ce site est le portail permettant aux jeunes et aux enfants d'obtenir des informations sur mesure sur la protection de leurs données personnelles.

Pour le grand public, le service de première ligne de l’APD a joué un rôle important dans la sensibilisation à la protection des données. Communiquer sur un sujet aussi sensible que la protection des données n'est pas toujours facile. C'est pourquoi, en 2020, les méthodes de communication du service de première ligne ont fait l'objet d'un examen approfondi et il a été fait appel à un prestataire de services externe, qui a reçu l'autorisation exclusive de rendre les documents de travail du service de première ligne lisibles et accessibles. Le site web de l'APD a également été remanié afin de contribuer à l'amélioration de l'accessibilité des informations. Les chiffres de 2020 montrent que cette nouvelle approche a porté ses fruits, puisque l'APD a dû fournir 19,44 % d'informations en moins sur les questions relatives au traitement des données.

Ressources utiles: