Après que différentes autorités de contrôle étrangères aient publié des statistiques, l’Autorité belge de Protection des Données (“APD”) a elle aussi dressé un premier bilan.
Dans le communiqué “le-rgpd-apres-six-mois-bilan” (consultable via le lien), l’APD a publié un certain nombre de statistiques (cfr. 1), a précisé à quel stade se trouve la transformation structurelle de la Commission Vie Privée vers l’APD (cfr. 2) et l’exercice de ses compétences de contrôle et de sanction (cfr. 3).
La conclusion est que l’APD se met progressivement en place, également sur le plan des inspections, mais que ladite mise en place ne semble pour l’instant pas à un stade aussi avancé que celle de certaines autorités de contrôle étrangères (cfr. 4).
1. Les premiers chiffres de l’APD
Les premiers chiffres de l’APD portent sur la période entre l’entrée en vigueur du RGPD le 25 mai 2018 et le 21 novembre 2018. Durant cette période, il y’a eu:
- 317 fuites de données signalées contre 13 en 2017 (seulement dans le secteur des télécoms). Le top 5 des secteurs pour lesquels l’APD a reçu la majorité des notifications se présente comme suit:
- Soins de santé;
- Assurances;
- Administration publique et défense;
- Telecommunications & IBPT (“Institut Belge des services Postaux et des Télécommunications”);
- Services financiers
Depuis septembre, l’APD a également adapté son formulaire de notification (à consulter via le lien) afin de le rendre parfaitement conforme au RGPD.
- 3.599 demandes d’informations introduites contre 2.145 en 2017;
- 148 plaintes / requêtes introduites contre 76 en 2017;
- 137 dossiers avis ouverts contre 44 en 2017;
- 2.551 notifications de DPO (“délégués à la protection des données”) ont eu lieu. En incluant les notifications antérieures au 25 mai 2018, cela concerne 3.540 notifications au total.
L’APD indique également une hausse exponentielle du nombre de dossiers sous le RGPD. L’APD a ainsi traité en 2017 un peu moins de 5.000 dossiers de fond (information, médiation/plainte et contrôle), là où le nombre de dossiers de fond en 2018 franchira la barre des 7.000.
2. La transformation structurelle de la Commission Vie Privée en APD
L’APD indique dans son communiqué de presse que la transformation structurelle de la Commission Vie Privée en APD n’est pas encore complétement terminée.
Par comparaison avec la précédente Commission Vie Privée, le comité de direction a été élargi et un service d’inspection et une chambre contentieuse ont été ajoutés à l’organigramme.
Vu que les membres du comité de direction, du centre de connaissance et de la chambre contentieuse n’ont pas encore été nommés par la Chambre des Représentants, il a cependant été décidé que les membres de la Commission Vie Privée exerceraient provisoirement les tâches de l’APD.
Après son installation, le comité de direction décidera du plan stratégique et du plan de gestion et déterminera ainsi les priorités stratégiques de l’APD. Après élaboration du plan stratégique, l’APD détaillera alors sa vision et sa mission.
3. L’exercice des compétences de contrôle et de sanction
L’APD n’a pas attendu la nomination du nouveau comité de direction pour exercer ses missions d’inspection. Selon le communiqué de presse, les premières inspections ont en effet commencé.
Il n’y a provisoirement pas encore de dossier qui a été transmis à la chambre contentieuse pour examen sur le fond ni de sanction administrative qui a été infligée.
4. Contrôle et sanctions par des autorités étrangères
Qu’un certain nombre d’autorités de contrôle étrangères se trouvent déjà à un stade plus avancé ne suscite pas l’étonnement. Un grand nombre d’entre elles avaient en effet, déjà avant le RGPD, des compétences plus poussées que l’autorité de contrôle belge. Les premières amendes administratives en application du RGPD ont déjà été prononcées dans un certain nombre de pays: une amende de 10.000 EUR a été infligée en France à une entreprise qui ne disposait pas d’une protection de l’information adaptée et 30.000 EUR à un employeur qui utilisait un système biométrique en vue de contrôler le temps de travail des travailleurs sans les en avoir informé. Quatre amendes ont déjà été distribuées en Autriche en application du RGPD, variant entre 300 et 4.800 EUR, à chaque reprise en raison de caméras de surveillance dont la mise en place ne respectait pas la loi. Dans un cas récent, une entreprise active dans le secteur des réseaux sociaux a été sanctionnée en Allemagne d’une amende de 20.000 EUR parce qu’aucune mesure de protection de l’information adéquate n’avait été prise par l’entreprise, entrainant pour conséquence le hacking de données des utilisateurs. Le montant relativement faible de l’amende a été expliqué par la bonne collaboration de l’entreprise avec l’autorité de contrôle. L’amende la plus élevée connue liées au RGPD a été infligée au Portugal, où un hôpital s’est vu infliger une amende d’un total de 400.000 EUR parce que le personnel pouvait, sans plus de formalités, accéder au données des patients et l’hôpital n’avait pas mis de système en place afin de garantir la confidentialité et l’intégrité de ces données.