RGPD - Principaux axes de travail de l'Autorité de Protection des Données pour 2023

L’autorité de protection des données (APD) est en charge de la mise en œuvre du Règlement Général à la Protection des Données (RGPD) dans notre pays. Juridiction administrative, elle dispose de très larges pouvoirs d’enquête et peut, notamment, infliger des amendes en cas d’infraction, voire ordonner la suspension ou interdire le traitement de données par une entité donnée (principalement des entreprises).

Bien qu’inadéquatement financée et globalement en sous-effectifs, l’APD rend néanmoinsrégulièrement des décisions portant sur le traitement de données à caractère personnel pardes entreprises de toutes tailles.

L’APD a détaillé ses axes de priorité par un communiqué du 15 novembre et dès lorsprévenu le monde économique de ses grands thèmes de travail pour l’année à venir.

La question des cookies, présents dans presque tout l’internet et essentiels à la bonne marche d’une économie numérique, sera un point d’attention important pour 2023.

Il sera en effet à surveiller attentivement, dès lors que l’approche à réserver à cette question n’a pas encore fait l’objet d’une harmonisation sur le plan européen. Tant l’action de l’APD belge que celle d’autres autorités plus importantes (dont la CNIL française) seront à suivre de près.

La place des délégués à la protection des données (DPO) sera également au centre del’action de l’APD pour l’année à venir. Le DPO est en effet l’allié de l’APD au sein de l’entreprise. L’APD veillera à préserver de rôle du DPO en s’intéressant à son rôle effectif au sein des entreprises qu’elle contrôlera.

Outre ces deux sujets clefs, l’APD annonce aussi qu’elle entend s’intéresser aux traitements de données liés aux Smart Cities, dans une optique de prévention et de dialogue. Le concept de Smart City restant vaste, ce point sera également susceptible d’intéresser de nombreux acteurs, institutionnels ou non.

Autre sujet sensible et récurrent, les Data Brokers, ou revendeurs de données, spécialisésdans la captation de données et leur revente, parfois à très large échelle.

Enfin, les priorités de l’APD ne dispensent pas les entreprises de se conformer au reste durèglement. Cela sera le cas tant en matière de cybersécurité que de transferts internationauxde données.

À cet égard, l’on se souviendra de l’entrée en vigueur des nouvelles clauses contractuellestypes de la Commission ce 27 décembre.

Il n’est jamais trop tard pour s’adapter si on ne l’a pas déjà fait, ni de faire procéder à l’auditde son environnement contractuel.