2021, l’année de l’explosion du nombre de dossiers

2021 fut une année record en termes de charge de travail pour l’APD. Le nombre de dossiers entrants a explosé, avec notamment 279 demandes d’avis reçues (+ 87,25 % par rapport à 2020) et 1928 plaintes (+ 181,46%), une quantité inégalée depuis la création de l’APD. Comme en 2020, l’année 2021 a également été marquée par la crise du Covid-19, elle a notamment vu l’arrivée des premières sanctions infligées par l’APD dans le cadre de dossiers liés à la pandémie.

Avant-propos - Réfléchir avant d'agir : l'analyse d'impact relative à la protection des données

Comme la vie quotidienne de la plupart d’entre nous, 2021 a été placée pour l’Autorité sous le signe de la lutte contre le COVID ou du moins de la protection de notre vie privée dans ce cadre. Alors qu'en début d'année, la Chambre Contentieuse annonçait ses premières décisions (concernant encore à cette époque notamment la vidéosurveillance à la côte), nous sommes intervenus d'initiative en fin d’année dans le cadre de potentielles fuites de données au sein de la plateforme Bruvax ou encore concernant la validation et la lecture des Covid Safe Tickets via l’application CovidScan. Par cette attitude proactive, l’APD entend non seulement mieux protéger les citoyens mais aussi inciter les responsables de traitements à effectuer une analyse approfondie de leurs projets avant d’entreprendre un traitement de données risqué. Dans de très nombreux cas, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est d’ailleurs obligatoire. Il s’agit dès lors d’un des documents que l’APD réclame presque systématiquement dans le cadre de ses contrôles pour avoir une meilleure idée du caractère problématique ou non de certains traitements de données. Mieux vaut réfléchir avant d’agir !

En 2021, l’APD a produit des décisions de fond bien respectées. La qualité du travail du Service d’Inspection (concernant un réseau hospitalier qui réclamait le statut vaccinal des candidats) a été confirmée en appel par la Chambre Contentieuse. La Cour de justice nous a aussi donné raison (du moins partiellement) quant au fait que des circonstances exceptionnelles peuvent justifier qu'en tant qu’autorité de contrôle, nous intervenons à l’encontre d’un responsable du traitement pour lequel nous ne sommes pourtant pas l’autorité chef de file dans un contexte européen.

2021 n’a pas uniquement été placée sous le signe du COVID ou de la répression. Comme annoncé dans son Plan Stratégique 2020-2025 et dans les plans de gestion y afférents, l’APD a également continué à développer et à élaborer de nouveaux instruments de contrôle. Ainsi, peu avant le troisième anniversaire de l’entrée en vigueur du RGPD (le 20 mai 2021), l’APD a approuvé à l’unanimité de l’ensemble des 26 homologues contrôleurs européens, le tout premier code de conduite transnational. L’ "EU Cloud CoC" regroupe les bonnes pratiques en matière de protection des données pour les cloud service providers (fournisseurs de services dans le cloud) afin de contribuer à une meilleure protection de tous les citoyens européens.

Outre la répression et de nouveaux instruments de contrôle, notre Centre de Connaissances a également émis au cours de l’année 2021 249 avis sur des législations et des réglementations, et le Service de Première Ligne a traité 3.735 demandes d’information, 116 demandes de médiation et 1.928 plaintes de citoyens ou de responsables du traitement.

En dépit de circonstances parfois difficiles en 2021, tous les collaborateurs ont continué à donner le meilleur d’eux-mêmes en vue de rendre le meilleur service possible à toutes les parties prenantes. Au nom de l’ensemble du Comité de direction, j’aimerais à nouveau les en remercier chaleureusement.

Les réalisations de l’APD relatées dans le présent Rapport annuel reflètent pour partie les contributions de directeurs ayant quitté l’APD, et dont le crédit leur revient également.

Cédrine Morlière
Présidente

Covid-19 et vaccination : des défis en termes de protection des données

La vaccination et son impact en termes de vie privée est un sujet qui a beaucoup occupé l’APD lors de l’année écoulée.

2021 est également l’année du début des décisions prises dans des dossiers de mise en application de la loi liés au Covid-19, la toute première concernant la mise en place d’un système de caméras intelligentes à la côte pour mesurer l’affluence.

L’APD a également rendu aux parlementaires et gouvernements de nombreux avis relatifs à des textes normatifs mettant en place des traitements de données par l’État dans le cadre de la crise sanitaire (comme par exemple la mise en place du Covid Safe Ticket). Elle y a mis l’accent sur les exigences de nécessité et de proportionnalité des mesures imposées. Enfin, l’APD a redoublé de vigilance, réagissant notamment face à de potentielles failles de sécurité dans des systèmes traitant des données de santé comme l’application CovidScan et la plateforme Bruvax.

Comme prévenir est toujours mieux que guérir, l’APD a également continué à sensibiliser les citoyens et les responsables du traitement en alimentant son dossier thématique Covid‑19, notamment en y créant une page dédiée à la vaccination.

Chiffres 2021 : presque tous les types de dossiers en augmentation(*)

Le nombre de plaintes reçues a grimpé en flèche en 2021, avec 1928 plaintes (contre 685 en 2020) : une croissance de 181,46% par rapport à 2020. 1120 d’entre elles portent sur une fuite de données du réseau social Facebook, et contribuent ainsi à cette quantité encore jamais vue de plaintes entrantes. L’APD a également reçu 142 demandes de médiation (+67,06 % par rapport à 2020) et traité 4207 demandes d’information (+2,43 %).

L’APD a ouvert en 1435 dossiers de fuites de données (elle a reçu 1432 notifications de fuites de données, et a ouvert 3 dossiers d’initiative), contre 1054 en 2020 (+36,15 %). Elle a également lancé 35 dossiers de monitoring, contre 30 en 2020 (+16,67 %).

Enfin, l’APD a reçu 279 demandes d’avis (+87,25 % par rapport à 2020), une quantité inégalée depuis la création de l’APD.

En termes de mise en application de la loi : le Service d’Inspection a lancé 142 enquêtes en 2021, contre 152 en 2020 (-6,58%) . La Chambre Contentieuse de l’APD a émis quant à elle 143 décisions en 2021 contre 83 en 2020 (+72,29 %). Au total, le montant des amendes infligées au travers de ces différentes décisions est de 301.000 euros.

Vous trouverez plus de détails concernant ces chiffres dans la rubrique chiffres 2021 de notre Rapport annuel en ligne ou en PDF, communiqué en annexe.

(*) Suite à un contrôle de qualité effectué sur les chiffres des années précédentes, certains chiffres 2020 peuvent différer légèrement de ceux rapportés l’an passé dans le rapport annuel 2020.

Source : Autorité de protection des données, 16 novembre 2022