SÉNAT DE BELGIQUE
________
Session 2017-2018
________
8 novembre 2017
________
SÉNAT Question écrite n° 6-1626

de Rik Daems (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique
________
Règlement général sur la protection des données (RGPD) - Entrée en vigueur - Entreprises et autorités - Désignation de délégués à la protection des données - Exigences - Formation
________
protection de la vie privée
droit de l'informatique
accès à l'information
protection des données
communication des données
données personnelles
personne physique
sensibilisation du public
droit de l'UE
________
8/11/2017Envoi question
6/12/2017Réponse
________
________
SÉNAT Question écrite n° 6-1626 du 8 novembre 2017 : (Question posée en néerlandais)

Le 14 avril 2016, le Parlement européen a adopté les dispositions du règlement général sur la protection des données (appelé RGPD), le nouveau règlement relatif à la protection de la vie privée (cf. règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE). La publication a eu lieu le 4  mai 2016.

Ce règlement harmonise l'actuelle réglementation en matière de vie privée. Le nouveau train de mesures remplace la directive 95/46/CE sur la protection de la vie privée, qui est en vigueur depuis 1995 et n'est plus adaptée à notre ère numérique.

Le règlement vise à harmoniser la protection des droits et libertés fondamentaux des personnes physiques à l'égard d'activités de traitement des données et à donner aux citoyens plus de contrôle sur l'utilisation de leurs données personnelles.

Cela entraîne un certain nombre de changements importants. Le RGPD renforce la protection des données pour les citoyens :

– les citoyens devront donner leur consentement explicite avant que les entreprises ne puissent utiliser leurs données personnelles ;

– le « droit à l'oubli » est inscrit ;

– les entreprises qui ne se conforment pas aux dispositions du règlement peuvent être lourdement sanctionnées par des amendes ;

– certaines entreprises devront également désigner un délégué à la protection des données qui sera chargé de veiller au respect de la nouvelle législation.

Le règlement sortira directement ses effets à partir du 25 mai 2018 et sera donc applicable dès cette date dans les États membres, sans transposition en droit national.

Aux Pays-Bas, ce règlement suscite actuellement un certain émoi. Des entreprises recherchent activement des experts en protection de la vie privée. Les nouvelles règles prévoient la désignation d'un délégué à la protection des données. Rien que pour les Pays-Bas, cela représenterait plusieurs milliers de travailleurs. Toutes les administrations publiques doivent en désigner un, ainsi que tous les organismes qui utilisent des données personnelles sensibles, comme les hôpitaux. Le non-respect du règlement donne lieu à des amendes et ce, à la suite du renversement de la charge de la preuve. Les organisations doivent démontrer qu'elles respectent la loi en précisant avec quelles données personnelles elles travaillent, quelle est l'origine de ces données et avec qui elles sont partagées. Compte tenu de la forte demande, bon nombre de personnes s'autoproclament expert en protection de la vie privée, avec toutes les conséquences que cela implique.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Il s'agit dès lors d'une compétence régionale transversale où les Régions interviennent surtout dans le volet préventif.

Je voudrais dès lors poser les questions suivantes :

1) Dans quelle mesure les différentes autorités sont-elles préparées à l'entrée en vigueur du RGPD, et plus spécifiquement en ce qui concerne la désignation d'un délégué à la protection des données ? Quel est le nombre de personnes concernées pour l'autorité fédérale ?

2) Y a-t-il une concertation avec les entités fédérées sur la définition des exigences auxquelles les responsables du contrôle du respect de la législation sur la protection de la vie privée doivent répondre et avez-vous déjà reçu des demandes en la matière ? Constatez-vous des problèmes en ce qui concerne les profils requis ?

3) Où les entreprises et les autorités peuvent-elles s'adresser pour obtenir un relevé précis des obligations que leur impose le RGPD ? Existe-t-il un site web central ou un guichet d'information numérique ? Dans la négative, êtes-vous disposé à examiner, avec les entités fédérées ou non, la possibilité d'en créer un ? Pouvez-vous détailler votre réponse ?

4) Quelles autres démarches envisagez-vous dans le cadre de l'entrée en vigueur du RGPD afin de faciliter sa mise en œuvre ? Pouvez-vous préciser votre réponse ? Je pense entre autres à des campagnes d'information.

5) Dans quelle mesure une concertation est-elle prévue avec les entités fédérées sur les exigences de qualité auxquelles ces experts en protection de la vie privée doivent satisfaire ? Quelle formation doivent-ils suivre ? Pouvez-vous préciser votre réponse ?

Réponse reçue le 6 décembre 2017 :

1), 2) & 5) Le règlement sur la protection des données générales 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données entrera en vigueur le 28 mai 2018. Ce règlement remplacera la directive 95/46 actuelle, qui n'est plus conforme à l'ère numérique actuelle. Le même jour, la directive 2016/680 a été adoptée et celle-ci doit faire l’objet d’une transposition au plus tard pour le 6 mai 2018.

Le règlement vise à harmoniser la protection des droits fondamentaux et des libertés fondamentales des personnes physiques en ce qui concerne les activités de traitement et à donner aux citoyens davantage de contrôle sur l'utilisation de leurs données personnelles.

Selon ces nouvelles règles en effet, un fonctionnaire à la protection des données devra être désigné dans certaines situations. Cette désignation est obligatoire dans le secteur public. Le rôle de ce fonctionnaire à la protection des données est défini dans le règlement lui-même, ainsi que dans la directive.

Il s’agit donc de désigner une ou plusieurs personnes qui aideront le responsable de traitement à surveiller le respect, au niveau interne, de la réglementation en matière de protection des données. Cette personne peut être un membre du personnel du responsable du traitement ayant reçu une formation spéciale dans le domaine du droit et des pratiques en matière de protection des données afin d'acquérir des connaissances spécialisées dans ce domaine. Le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des traitements des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement. Cette personne peut exercer cette fonction à temps plein ou à temps partiel. Un fonctionnaire à la protection des données peut également être désigné conjointement par plusieurs responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille, par exemple en cas de partage des sources de données au sein d'une unité centralisée ou entre responsables de traitement. Cette personne peut également être désignée pour occuper différents postes au sein de la structure des responsables du traitement concernés. Ces fonctionnaires à la protection des données devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance conformément à la législation en vigueur.

Le fonctionnaire à la protection des données aide le responsable du traitement et les employés traitant des données à caractère personnel en les informant et en les conseillant sur le respect des obligations leur incombant en matière de protection des données. Le fonctionnaire à la protection des données est également le point de contact vis-à-vis du citoyen, mais également de l’autorité de contrôle.

Mis à part ces exigences précitées, le règlement et la directive laisse une certaine marge aux États membres ainsi qu’aux responsables de traitement.

Des concertations ont lieu avec les différents secteurs et départements dans le secteur public sur l’impact du règlement et de la directive, et notamment concernant les différentes obligations nouvelles que ces instruments imposent. Les entités fédérées y ont également participé. En effet, lors de ces réunions de concertation, beaucoup de questions sont posées sur le fonctionnaire à la protection des données. Bien que cette fonction était déjà prévue dans la loi vie privée du 8 décembre 1992, cette disposition n’avait jamais été mise en œuvre. Je comprends bien qu’aujourd’hui cette obligation suscite beaucoup d’intérêt. Les administrations fédérales connaissent la fonction de conseiller en sécurité de l’information, mais devront adapter leur fonctionnement avec la venue d’un nouveau profil, car le fonctionnaire à la protection des données ne peut pas en effet être assimilé au conseiller en sécurité de l’information.

Toutefois, certains services publics ont déjà rempli cette obligation. C’est le cas pour la police fédérale, le service public fédéral (SPF) Finances, ainsi que l’application de la loi PNR (Passenger Name Record).

Bien que cette obligation devra être appliquée partout dans le secteur public, le gouvernement a choisi de ne pas fixer de profil général pour le fonctionnaire à la protection des données, vu les grandes différences en matière de taille, d’organisation (ministère vs. SPF).

Il s’agit de laisser la marge de manœuvre nécessaire à chaque organisation afin de répondre au mieux aux besoins de sa propre administration. En conséquence, il n’est pas possible de déterminer quel est le nombre de personnes qui devront être désignées dans l’administration publique. Selon l’organisation, les fonctionnaires à la protection des données pourront être désignés soit à plein temps, soit à temps partiel, soit pour plusieurs départements à la fois.

3) & 4) Avec une plus grande attention pour la protection des données et la nouvelle réglementation, le nombre de sessions d’information et de formations augmente. Plusieurs organisations ont déjà publié des brochures et mis en place des sites web afin d’informer au mieux leurs membres et les citoyens. Il incombera désormais à chaque responsable de traitement d’informer de la manière la plus claire et concise possible des droits et recours que chaque personne concernée détient à l’encontre du traitement de ses données à caractère personnel. De plus, la nouvelle Autorité de protection des données qui remplacera la Commission pour la protection de la vie privée, a également comme une de ses compétences les plus importantes d’accompagner les entreprises, les services publics et d’informer le citoyen.

La Commission pour la protection de la vie privée actuelle prend également dans cette période de transition des initiatives pour sensibiliser le public et les jeunes, notamment avec une campagne appelée « Je décide / Ik beslis », dont le contenu est accessible à partir du site internet de la Commission vie privée.

Également au sein de mon cabinet et de mon administration, cette mission de sensibilisation est prise à cœur. Je peux compter sur la plateforme de concertation vie privée qui a été créée et dans laquelle les représentants des fédérations sectorielles et de la société civile siègent. C’est également l’objectif de la plateforme, notamment d’entrer en dialogue avec les secteurs et la société civile pour entendre leurs préoccupations, d’analyser ensemble les mesures et d’assurer l’accompagnement aux entreprises pour saisir les opportunités des mesures de protection, grâce à une information claire sur leurs droits et obligations.

Enfin, je visite aussi régulièrement des fédérations sectorielles ou autres groupements d’entreprises pour les sensibiliser à l’entrée en vigueur de la nouvelle législation en mai 2018, afin que celles-ci soient en conformité le plus vite possible avec la nouvelle règlementation et protègent ainsi de manière optimale les droits des utilisateurs.