Règlement général sur la protection des données (RGPD) - Contrôle, par l'Autorité de protection des données, du respect du règlement
Autorité de protection des données
statistique officielle
protection de la vie privée
17/1/2020 | Envoi question (Fin du délai de réponse: 20/2/2020) |
19/2/2020 | Réponse |
Justification du caractère transversal de la présente question écrite : le contrôle du respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou «RGPD») est une compétence partagée.
L'Autorité de protection des données est un organe indépendant qui est chargé, entre autres, de veiller au respect du règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018.
Je souhaiterais dès lors poser au ministre les questions suivantes:
1) Combien d'enquêtes l'Autorité de protection des données a-t-elle déjà lancées sur d'éventuelles violations du RGPD? Je souhaiterais obtenir:
- un relevé mensuel;
- un relevé par province;
- des précisions sur les entités concernées (personnes physiques, autorités publiques, ASBL, SA, etc.);
- des précisions sur l'origine des enquêtes (initiative personnelle, plainte reçue, etc.).
2) Combien d'enquêtes sur d'éventuelles violations du RGPD l'Autorité de protection des données a-t-elle clôturées ? Quelles furent les conclusions des enquêtes clôturées et quelle suite leur a-t-on donnée?
3) Comment le ministre évalue-t-il ces chiffres dans la perspective d'un meilleur contrôle du respect du RGPD à l'avenir?
1) De manière générale, l'Autorité de protection des données souhaite souligner que les chiffres pour 2019 et 2020 ne sont pas encore définitifs. Certains dossiers n'ont pas encore été finalisés ou sont encore soumis au mécanisme de contrôle final. Des modifications par rapport au rapport annuel sont donc toujours possibles.
- Une liste mensuelle;
À cette fin, une distinction est faite entre trois types de dossiers différents. D'une part, il y a les dossiers d'information, qui sont généralement basés sur les questions des citoyens auxquelles nous répondons. D'autre part, il existe des dossiers de médiation et des plaintes, où l'autorité de protection des données intervient dans un litige entre plusieurs parties, à la demande d'une des parties. Enfin, il y a les dossiers d'audit, qui sont des contrôles effectués par le service d'inspection.
Dossiers d’informations
Année |
Mois |
Nombre |
Terminés |
2018 |
Mai |
228 |
223 |
Juin |
628 |
617 |
|
Juillet |
419 |
402 |
|
Août |
503 |
487 |
|
Septembre |
616 |
603 |
|
Octobre |
759 |
735 |
|
Novembre |
519 |
502 |
|
Décembre |
376 |
369 |
|
2019 |
Janvier |
615 |
573 |
Février |
493 |
449 |
|
Mars |
488 |
437 |
|
Avril |
416 |
379 |
|
Mai |
520 |
473 |
|
Juin |
468 |
401 |
|
Juillet |
365 |
316 |
|
Août |
325 |
278 |
|
Septembre |
362 |
295 |
|
Octobre |
450 |
328 |
|
Novembre |
359 |
190 |
|
Décembre |
318 |
89 |
|
2020 |
Janvier |
435 |
14 |
1) Médiations et plaintes
Année |
Mois |
Nombre |
Terminés |
2018 |
Mai |
10 |
7 |
Juin |
40 |
39 |
|
Juillet |
30 |
27 |
|
Août |
41 |
32 |
|
Septembre |
32 |
28 |
|
Octobre |
49 |
35 |
|
Novembre |
37 |
27 |
|
Décembre |
21 |
14 |
|
2019 |
Janvier |
48 |
39 |
Février |
35 |
25 |
|
Mars |
37 |
27 |
|
Avril |
22 |
17 |
|
Mai |
31 |
24 |
|
Juin |
28 |
16 |
|
Juillet |
15 |
11 |
|
Août |
30 |
13 |
|
Septembre |
17 |
5 |
|
Octobre |
13 |
5 |
|
Novembre |
12 |
5 |
|
Décembre |
11 |
2 |
|
2020 |
Janvier |
28 |
0 |
2) Inspections
Tous les dossiers |
Résultats |
||||
Abandonnés |
Classement sans suite |
En attente |
En cours |
||
2018 |
68 |
31 |
27 |
2 |
8 |
2019 |
74 |
15 |
8 |
2 |
49 |
2020 |
18 |
0 |
0 |
0 |
18 |
Total |
160 |
46 |
35 |
4 |
75 |
– une liste par province;
L'autorité de protection des données ne dispose pas de tels chiffres.
- quelles sont les entités concernées (personnes physiques, gouvernement, organisation à but non lucratif, NV, etc.)
L'autorité de protection des données ne dispose pas de tels chiffres.
- Des enquêtes ont été ouvertes sur quelles bases? (initiative propre, plainte reçue, etc.).
Les enquêtes peuvent être lancées de différentes manières. En principe, les dossiers d'information et les médiations et plaintes partent toujours d'une demande d'un citoyen ou d'une entreprise. Toutefois, il y a l'exception des lettres de contrôle, c'est-à-dire des lettres envoyées à l'initiative de l'autorité de protection des données en réponse à des informations qui lui ont été fournies par d'autres canaux (par exemple la presse). À ce jour, 13 dossiers de ce type ont été ouverts.
Les inspections peuvent être lancées de différentes manières, comme le décrit l'article 63 de la loi du 3 décembre 2017 instituant l'autorité de protection des données. Les inspections peuvent faire partie d'un dossier de plainte ou être effectuées de leur propre initiative.
2) Des chiffres précis ne sont actuellement disponibles que pour les dossiers d'information, les médiations et les plaintes:
Dossiers d’information
Traitement interrompu |
299 |
Dossier irrecevable |
78 |
APD incompétent: renvoi |
268 |
APD incompétent: pas de renvoi |
102 |
Information fournie |
7388 |
Autres |
25 |
Les médiations et les plaintes
Recommandation suivie |
5 |
Traitement arrêté |
36 |
Médiation réussie |
244 |
Médiation échouée |
15 |
Dossier irrecevable |
6 |
APD incompétent: renvoi |
3 |
APD incompétent: pas de renvoi |
4 |
Pas d'atteinte à la vie privée |
39 |
Autres |
46 |
3) Ces chiffres illustrent clairement que les différentes parties savent trouver le chemin vers l’Autorité de protection des données en vue de faire valoir leurs droits. Toutefois, les 18 premiers mois de mise en œuvre du Règlement général de protection des données ne sont peut-être pas entièrement représentatifs du fait que d’une part, l’Autorité de protection des données se trouvait dans une période de transition jusqu’au moment de la désignation d’un nouveau Comité de direction par la Chambre et d’autre part, le Comité de direction n’a adopté que récemment son plan stratégique. Cela a donc pris un petit moment mais je suis convaincu que l’Autorité de protection des données arrive maintenant à une vitesse de croisière et qu’elle exercera pleinement et de manière rigoureuse ses nouvelles compétences.