RGPD - Principaux axes de travail de l'Autorité de Protection des Données pour 2023

L’autorité de protection des données (APD) est en charge de la mise en œuvre du Règlement Général à la Protection des Données (RGPD) dans notre pays. Juridiction administrative, elle dispose de très larges pouvoirs d’enquête et peut, notamment, infliger des amendes en cas d’infraction, voire ordonner la suspension ou interdire le traitement de données par une entité donnée (principalement des entreprises).

Bien qu’inadéquatement financée et globalement en sous-effectifs, l’APD rend néanmoins régulièrement des décisions portant sur le traitement de données à caractère personnel par des entreprises de toutes tailles.

L’APD a détaillé ses axes de priorité par un communiqué du 15 novembre et dès lors prévenu le monde économique de ses grands thèmes de travail pour l’année à venir.

La question des cookies, présents dans presque tout l’internet et essentiels à la bonne marche d’une économie numérique, sera un point d’attention important pour 2023.

Il sera en effet à surveiller attentivement, dès lors que l’approche à réserver à cette question n’a pas encore fait l’objet d’une harmonisation sur le plan européen. Tant l’action de l’APD belge que celle d’autres autorités plus importantes (dont la CNIL française) seront à suivre de près.

La place des délégués à la protection des données (DPO) sera également au centre de l’action de l’APD pour l’année à venir. Le DPO est en effet l’allié de l’APD au sein de l’entreprise. L’APD veillera à préserver de rôle du DPO en s’intéressant à son rôle effectif au sein des entreprises qu’elle contrôlera.

Outre ces deux sujets clefs, l’APD annonce aussi qu’elle entend s’intéresser aux traitements de données liés aux Smart Cities, dans une optique de prévention et de dialogue. Le concept de Smart City restant vaste, ce point sera également susceptible d’intéresser de nombreux acteurs, institutionnels ou non.

Autre sujet sensible et récurrent, les Data Brokers, ou revendeurs de données, spécialisés dans la captation de données et leur revente, parfois à très large échelle.

Enfin, les priorités de l’APD ne dispensent pas les entreprises de se conformer au reste du règlement. Cela sera le cas tant en matière de cybersécurité que de transferts internationaux de données.

À cet égard, l’on se souviendra de l’entrée en vigueur des nouvelles clauses contractuelles types de la Commission ce 27 décembre.

Il n’est jamais trop tard pour s’adapter si on ne l’a pas déjà fait, ni de faire procéder à l’audit de son environnement contractuel.