Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1724

de Peter Van Rompuy (CD&V) du 15 juillet 2022

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, des Institutions culturelles fédérales, adjoint au Premier ministre

Autorité de protection des données - Règlement général sur la protection des données - Contrôle du respect - Dossiers d'information - Médiations et plaintes - Dossiers d'audit - Statistiques

Autorité de protection des données
statistique officielle
médiateur

Chronologie

15/7/2022Envoi question (Fin du délai de réponse: 18/8/2022)
26/8/2022Réponse

Question n° 7-1724 du 15 juillet 2022 : (Question posée en néerlandais)

Justification du caractère transversal de la présente question écrite: le contrôle du respect du Règlement général sur la protection des données (RGPD) est une compétence partagée.

La présente question fait suite à ma question écrite n° 7-1456 du 20 janvier 2022. Dans sa réponse, le secrétaire d'État déclare : «L'Autorité de protection des données ne dispose pas encore de statistiques complètes pour les dossiers initiés en 2021. Elle collecte et vérifie actuellement ces chiffres en interne dans le cadre de la préparation de son rapport annuel 2021, dont la publication est prévue en avril 2022.»

Je souhaiterais dès lors lui poser les questions suivantes.

1) Le secrétaire d'État peut-il me fournir un relevé du nombre de dossiers d'information ? Je souhaiterais obtenir :

a) les chiffres mensuels ;

b) un relevé des dossiers ouverts et des dossiers clôturés ;

c) le résultat des dossiers clôturés.

2) Le secrétaire d'État peut-il me fournir un relevé du nombre de médiations et de plaintes ? Je souhaiterais obtenir :

a) les chiffres mensuels ;

b) un relevé des dossiers ouverts et des dossiers clôturés ;

c) le résultat des dossiers clôturés.

3) Le secrétaire d'État peut-il me fournir un relevé du nombre de dossiers d'audit ? Je souhaiterais obtenir :

a) les chiffres mensuels ;

b) un relevé des dossiers ouverts et des dossiers clôturés ;

c) le résultat des dossiers clôturés.

4) En quoi consistent les différences entre les dossiers d'information, les dossiers de médiation et les dossiers d'audit ?

5) Comment le secrétaire d'État évalue-t-il ces statistiques au regard du respect du RGPD ?

Réponse reçue le 26 aôut 2022 :

Je vous prie de trouver ci-dessous les éléments de réponse fournis par l’Autorité de protection des données (APD).

1) En 2021, l’APD a reçu 4 207 demandes d’information. Au cours de cette même année, l’APD a bouclé 3 735 dossiers d’information. Dans 3 402 cas, l’auteur de la question a obtenu une réponse. Dans 214 cas, l’APD n’était pas compétente en tant qu’institution, ou il n’a pas été possible de répondre. Dans 89 cas, le dossier a été clôturé (souvent en raison du fait que le demandeur n’a plus réagi à la demande de clarification complémentaire concernant la demande introduite). L’APD a transmis 30 dossiers à une autre autorité fédérale pour la protection des données ou à un autre contrôleur européen.

Type de dossier

Résultat

Nombre

Information

Information fournie

3 402

Non compétente (renvoi)/irrecevable

214

Arrêt du traitement

89

Transmis à une autre autorité fédérale pour la protection des données ou à un autre contrôleur européen

30

Total

3 735

2) En 2021, l’APD a reçu 142 dossiers de médiation. Au cours de cette même année, l’APD a également bouclé 116 dossiers de médiation. Parmi ceux-ci, la médiation a réussi à 65 reprises. Dans 9 cas, la médiation a été convertie en plainte.

Type de dossier

Résultat

Nombre

Médiation

Réussite de la médiation

65

Échec de la médiation

6

Médiation convertie en plainte

9

Médiation irrecevable ou arrêt du traitement

28

Non compétente (renvoi)

4

Arrêt du traitement (par le demandeur)

4

Total

116

En 2021, l’APD a reçu 1 928 plaintes. La différence majeure avec les années antérieures s’explique en grande partie par une avalanche de plaintes concernant une fuite de données spécifique sur le réseau social Facebook (1 120 plaintes). Le nombre important de plaintes en lien avec Facebook a également fait que 60 % des plaintes introduites ont trait à des réseaux sociaux. Dans 12 % des cas, la plainte introduite concernait des pratiques commerciales (marketing direct, violations des droits de la personne concernée, etc.); 4 % des plaintes concernaient le traitement d’images et les caméras.

En général, le service de première ligne analyse la recevabilité d’une plainte introduite auprès de l’APD. Sur les 1 928 plaintes reçues en 2021, le service de première ligne en a déclaré 257 non recevables. Seules les plaintes recevables sont transmises à la chambre contentieuse pour la suite du traitement. 140 plaintes ont donné lieu – après ou non qu’une enquête préalable a été menée par le service d’inspection – à une décision de la chambre contentieuse (cf. ci-dessous, réponse au point 3) de la question).

3) La catégorie «dossiers d’audit» ne figure pas dans les statistiques préparées à l’occasion du rapport annuel 2021. Ci-dessous, l’accent sera mis sur les dossiers traités au sein du service d’inspection et de la chambre contentieuse, car ces dossiers semblent se rapprocher le plus de la notion de «dossiers d’audit».

Inspections effectuées (à la suite d’une plainte, d’une violation de données, d’un dossier d’audit ou d’initiative)

Le service d’inspection procède à des inspections d’initiative, à la demande de la chambre contentieuse ou du comité de direction. Certaines inspections requièrent un long délai d’exécution. En 2021, 73 inspections ont été accomplies. Dans 4 cas, le service d’inspection a décidé de procéder à un classement sans suite.

En 2021, le service d’inspection a également imposé une mesure provisoire, à une reprise.

Le tableau ci-dessous fournit notamment un aperçu du flux entrant de dossiers auprès du service d’inspection et des dossiers en cours.

Tous les dossiers

Saisine

Résultat

Langue

Collaboration

ChC

DIRCO

INS

Clôturé

Classé sans suite

En cours

FR

NL

International

COC

2018

70

67

2

1

68

29

2

20

50

12

1

2019

86

67

11

8

83

11

3

33

53

13

2

2020

152

127

17

8

113

17

39

74

78

7

0

2021

142

131

6

5

73

4

69

60

82

5

0

Total

450

392

36

22

337

61

113

187

263

37

3

Décisions de la chambre contentieuse (après ou non une enquête préalable du service d’inspection)

La chambre contentieuse a publié 143 décisions en 2021. Le graphique ci-dessous fournit des précisions quant à la longue durée d’une procédure et à l’arriéré qu’elle induit. Ce graphique indique le nombre de décisions rendues par an et précise l’année où ont débuté les dossiers à la base des décisions.

Dans 140 cas, la décision est intervenue sur la base d’une plainte, dans 2 cas, la décision fait suite à un dossier d’inspection ouvert d’initiative et, dans 1 cas, elle fait suite à un recours contre une mesure provisoire imposée par le service d’inspection (la chambre contentieuse est l’instance de recours désignée par la loi contre les mesures provisoires imposées par le service d’inspection).

Des amendes ont été infligées pour un montant total de 301 000 euros. À 10 reprises, un recours a été introduit auprès de la cour des marchés contre une décision de la chambre contentieuse.

En plus de ses décisions propres, la chambre contentieuse collabore également à des décisions d’autres autorités européennes de protection des données. Ainsi, en 2021, la chambre contentieuse a également collaboré à 27 dossiers d’information ainsi qu’à 1 186 plaintes au niveau international.

4) Les demandes d’information et de médiation sont expliquées sur le site web de l’APD: https://www.autoriteprotectiondonnees.be/citoyen/agir/demander-une-information.

Comme évoqué plus haut dans la sous-question, le terme «dossiers d’audit» englobe potentiellement plusieurs types de dossiers dont les plaintes constituent une partie importante. Vous trouverez de plus amples informations concernant ces dossiers de plainte sur le site web de l’APD: https://www.autoriteprotectiondonnees.be/citoyen/agir/introduire-une-plainte.

5) Je constate que les citoyens et les entreprises prennent conscience de plus en plus de l’importance de protéger leurs données et de signaler tout problème y liés. Ce qui est une excellente chose. Toutefois, cela génère dans le chef de l’APD une charge importante de travail supplémentaire.

Afin de supporter cette charge grandissante, l’APD devrait bénéficier de ressources humaines, techniques et financières plus importantes. J’invite le Parlement a y penser.

Enfin, mon projet de loi modifiant la loi du 3 décembre 2017 portant création de l'autorité de protection des données ouvre la porte au renforcement du rôle et de l’indépendance de cette institution.