Un supplément budgétaire n’est provisoirement pas à l’ordre du jour, mais en raison de la réforme de la Commission vie privée, cette dernière disposera de davantage de moyens pour développer son service de contrôle et engager davantage d’experts numériques. Il faudra cependant que la Commission du secrétaire d’Etat Philippe De Backer passe à la vitesse supérieure pour lever les incertitudes qui planent encore sur le GDPR européen.
C’est aujourd’hui même que la réforme de la Commission vie privée – l’abréviation de Commission pour la protection de la vie privée – doit être approuvée lors de la séance plénière de la Chambre. Personne ne s’attend à de gros problèmes, étant donné que le Parlement a fin octobre déjà donné son feu vert à l’unanimité. A partir du 25 mai 2018, il ne faudra du reste plus dire Commission vie privée, mais bien Autorité pour la protection des données: une exigence européenne dans le cadre de la loi sur la protection des données GDPR (General Data Protection Regulation) qui entrera en vigueur à cette date. La Commission rénovée deviendra alors d’un seul coup non seulement un organe de conseils, mais aussi une instance de contrôle qui, si besoin est, prendra des sanctions, selon le secrétaire d’Etat en charge du respect de la vie privée Philippe De Backer (Open Vld).
La Commission, pardon l’Autorité aura-t-elle suffisamment de pouvoir pour imposer ces contrôles et sanctions?
Philippe De Backer: “Absolument, la nouvelle Autorité pour la Protection des Données (APD) se verra attribuer aussi des compétences de sanction et de répression et pourra par exemple effectuer des audits dans les entreprises. La compétence de sanction reposera probablement entre les mains de personnes issues de la magistrature. Cela ne doit pas être une surprise dans la mesure où à présent également, on trouve au sein de la Commission des gens qui viennent de la magistrature. Mais l’accent sera surtout mis sur la prévention et la sensibilisation.”
Des moyens supplémentaires sont-ils prévus pour faire réussir la réforme?
De Backer: “La mission était d’exécuter une réforme initialement neutre du point de vue budgétaire. Le budget de la Commission dépend du reste du Parlement: c’est au Parlement qu’il appartient de décider si des moyens complémentaires sont possibles.”
“Ceci dit, le fait est que le comité de direction passera de 16 commissaires à 5 personnes dûment nommées. La structure sera simplifiée, et nous allons libérer des moyens pour permettre de développer le service de contrôle. Je pense qu’il faudra aussi un supplément de capacité technique au sein de la Commission vie privée. Nous avons du reste prévu de créer une commission de conseils techniques, afin que des personnes issues du secteur privé et du monde académique puissent aider l’APD au niveau du suivi des évolutions technologiques. Cela permettra de faire d’une part la clarté à propos de ce sur quoi l’APD doit se focaliser, mais d’autre part aussi de préciser aux entreprises et organisations où se situent les risques potentiels.”
Dans quelle mesure nos PME et multinationales sont-elles déjà préparées au GDPR?
De Backer: “Pas mal de travail de sensibilisation s’avère en tout cas encore nécessaire. Moi-même, j’ai démarré la semaine dernière encore avec Unizo une tournée des PME pour les informer clairement que le GDPR s’appliquera à elles aussi et ce qu’elles devront faire. Je vais aussi beaucoup sur le terrain et je vois bien que la plupart des multinationales sont déjà loin. Elles sont en train d’inciter leurs fournisseurs et clients à les rejoindre et c’est important dans la mesure où tous les fournisseurs de ces grandes firmes devront eux aussi se mettre en conformité avec le GDPR.
A propos du GDPR, ne règnent-t-il pas encore pas mal d’incertitudes dans nombre d’entreprises?
De Backer: “Je trouve que la Commission doit passer à la vitesse supérieure en vue de lever ces incertitudes. C’est à la Commission vie privée qu’il appartient de fournir tous les renseignements à propos du GDPR, mais cela ne se fait que progressivement, voire au compte-gouttes. Il faut agir plus rapidement et de manière plus transparente afin d’indiquer très clairement aux entreprises et aux organisations ce qu’elles vont devoir faire, quelles seront les normes et comment se mettre en ordre. Plusieurs fédérations sectorielles telles Agoria, FEB et Unizo consentent pas mal d’efforts pour informer leurs membres, mais divers éclaircissements devront quand même venir de toute urgence de la Commission vie privée elle-même.”
Le parlementaire de la N-VA Peter Dedecker, qui fut étroitement impliqué dans le débat sur la réforme, y va lui aussi de son avis.
Peter Dedecker: “Il subsiste pas mal d’incertitudes quant à l’interprétation pratique et aux divergences entre secteurs. Dans les soins de santé, d’autres questions se posent que dans une PME locale ou dans le secteur pharmaceutique. Des accords sectoriels seront à coup sûr nécessaires, mais c’est à la Commission rénovée qu’il appartient de prendre l’initiative.”
De Backer: “On voit encore et toujours surgir des questions du style ‘dois-je engager un data protection officer?’ ou ‘comment se présentera la certification?’. Il est important que la Commission réagisse rapidement et fournisse les renseignements requis afin de dissiper tous les doutes. Si les incertitudes disparaissent, il n’y aura plus d’excuse de ne pas ou pas assez respecter le GDPR.”
Lors de l’introduction du GDPR, brandira-t-on immédiatement l’arme de la sanction?
Dedecker: “Soyons clairs: il pourra y avoir des sanctions, mais cette arme ne sera brandie qu’en tout dernier ressort. Informer, accompagner et conseiller comptent plus. L”ancienne’ Commission vie privée n’y est pas parvenue, et cela doit à présent changer. Mais l’objectif n’est pas d’imposer une amende dès qu’une infraction sera constatée. L’on a prévu suffisamment de possibilités de concertation et de procédures avant d’en arriver là.
De Backer: “Si après avoir constaté une infraction, l’entreprise concernée apporte les corrections nécessaires, on n’ira pas plus loin. L’objectif n’est vraiment pas d’alimenter les caisses de l’état. Mais à l’inverse, le service de contrôle pourra sanctionner directement, si des infractions manifestes sont constatées.”
Y aura-t-il suffisamment de main d’oeuvre au sein de la Commission rénovée?
De Backer: “Actuellement, 60 personnes sont actives au sein de la Commission vie privée. J’ai déjà beaucoup discuté avec elles. Ce sont réellement toutes des personnes compétentes, qui sont au top absolu dans leur domaine et qui sont reconnues comme telles au niveau européen. Il va de soi que ces gens devront s’adapter à la nouvelle structure. Voilà pourquoi au niveau de la direction, il faudra un plan de transition pour favoriser ce changement et créer la transparence sur le rôle que chacun assumera. Willem Debeuckelaere restera le président, mais nous passerons de 16 commissaires à 5 directeurs dûment nommés. Ces derniers devront encore être recrutés, et la procédure doit être lancée par le Parlement.”
Dedecker: “Cela peut aller relativement vite. Je m’attends à ce que ces places vacantes soient pourvues avant la fin de l’année encore. N’oublions pas non plus qu’il s’agit à présent et pour la première fois d’une main d’oeuvre indépendante à temps plein. C’est différent par rapport au système précédent avec des commissaires exécutant aussi d’autres tâches. Désormais, le risque de conflit d’intérêts éventuel sera supprimé. Par ailleurs, des indicateurs clés de performances (ICP ou KPI en anglais, ndlr) ont été fixés pour la Commission elle-même et permettront une évaluation annuelle.”
De Backer: “C’est à la Commission vie privée qu’il appartient de fixer les tâches et les rôles. Une collaboration avec d’autres pays est du reste aussi prévue. Effectuer des audits sur site représente quand même pas mal de travail, et je pense qu’ici également, il faudra établir des priorités claires. Que veut-on contrôler effectivement? Je pense qu’il faudra disposer d’un service de contrôle qui se concentrera vraiment sur les grosses affaires et sur les grandes infractions, et qui tentera réellement de cartographier les transgressions fondamentales du respect de la vie privée et d’y réagir.”
La Belgique mettra-t-elle d’autres accents que les pays voisins en matière de protection des données?
De Backer: “Le GDPR est un règlement européen, et la loi s’appliquera dans chaque pays de l’UE. Toute entreprise qui propose des services ou des produits ou collecte des données sur des personnes au sein de l’Europe, devra la respecter. Donc aussi les entreprises américaines, russes et chinoises, si elles font des affaires en Europe. Des procédures sont également prévues vis-à-vis de ce genre d’entreprises. Ce qu’on appelle en jargon un level playing field (règles du jeu équitables) sera réellement créé au sein de l’UE pour le marché interne.
Mais les institutions européennes ont cependant décidé que le contrôle du respect du GDPR se fera au niveau national. Et c’est là que réside une petite lacune, car cela engendrera de nouveau une forme de fragmentation. Les Français et les Néerlandais voudront peut-être mettre d’autres accents, mais nous tenterons à coup sûr de nous coordonner et de collaborer. On sent cependant qu’il y a aura en effet une forme de fragmentation. Et ce n’est évidemment pas sain. Si on aspire à un vaste marché interne, les règles du jeu doivent être pareilles. Et donc aussi l’application et le contrôle de ces règles du jeu.”
“Cela peut poser problème, et cela devra alors être abordé lors d’une prochaine étape dans les années à venir. Dans le monde financier, il a fallu une crise pour faire croître la prise de conscience qu’il était préférable que le contrôle exercé sur les banques soit une affaire européenne. J’espère que nous serons plus intelligents cette fois et qu’il ne faudra pas encore et d’abord attendre la prochaine grande crise en matière de protection des données, avant de prendre conscience que des efforts européens s’avèrent nécessaires pour maintenir ce level playing field.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici