Un nouveau cadre organique pour l'Autorité de protection des données
Le 1er juin 2024 est entré en vigueur le nouveau cadre organique de l’Autorité de protection des données. A cette occasion, l’APD a publié un nouveau règlement d’ordre intérieur complétant ce cadre.
Le 25 décembre 2023, la Chambre de représentants a adopté une loi modifiant la loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après la « LCA »).
Cette loi a fait l’objet d’un processus législatif, entamé en juin 2022, au cours duquel l’avis de la section de législation du Conseil d’Etat a été sollicité à cinq reprises (!) pour des amendements proposés.
Selon les travaux préparatoires, l’objet de la refonte du cadre organique de l’Autorité de protection des données était de ;
- renforcer le fonctionnement de l’APD,
- renforcer l’indépendance de l’APD,
- renforcer l’approche pragmatique et l’expertise sectorielle de l’APD.
Les modifications entreprises se sont fondées sur une évaluation de la loi initiale réalisée en 2021 et sur les recommandations de l’audit de la Cour des comptes du 31 mai 2021 sur le fonctionnement de l’APD.
La structure générale de l’Autorité de protection des données est modifiée. L’APD reste constituée de six organes qualifiés à présent de « internes » (par opposition aux organes externes que seraient les experts, voir ci-dessous) :
1° un comité de direction ;
2° un secrétariat général ;
3° un service de première ligne ;
4° un service d'autorisation et d'avis ;
5° un service d'inspection ;
6° une chambre contentieuse.
Le Centre de Connaissances disparait au profit du service d’autorisation et d’avis, qui en reprend cependant les missions, avec une dimension éthique ajoutée (article 23, §1er, 1°, LCA).
A la tête de chacun des ces organes internes se trouve un membre différent du comité de direction.
Cette liste des organes internes pourrait ne pas être exhaustive dans la mesure où l’article 7 de la LCA prévoit à présent que l’Autorité de protection des données pourrait décider de créer des organes internes supplémentaires afin de rencontrer au mieux les missions qui lui sont confiées.
La première section du chapitre II portant organisation de l’Autorité de protection des données est intitulée dorénavant « le comité de direction, le président et les experts » car si les missions du comité de direction et du président sont revues, un nouvel article 18/1 assied plus largement la possibilité pour l’APD de recourir à des experts.
S’il est rappelé que la préférence devrait être de recourir à l’expertise interne de l’APD pour accomplir ses tâches et exercer ses pouvoirs, le recours à des experts – dont il est explicitement précisé qu’ils ne font pas partie de l’APD, ne peuvent la représenter, ni la lier – est prévu, afin de potentiellement :
1° suivre de près et inclure dans ses activités les développements sociaux, éthiques, économiques et technologiques affectant la protection des données à caractère personnel,
2° faire appel à une expertise technique et non purement juridique, complémentaire à sa propre expertise interne, en appui de l'exercice de ses missions légales.
L’APD va pour ce faire constituer une réserve de vingt experts maximum, approuvée par la Chambre des représentants. Moyennant conditions particulières visées à l’article 18/1, des experts supplémentaires pour des missions ponctuelles pourraient encore être désignés dans la mesure où :
- il y a une nécessité qui est dûment justifiée et;
- l'expertise n'est pas disponible au sein de l'Autorité de protection des données ou dans la réserve d'experts.
La loi organise bien entendu les conditions de nomination de ces experts mais également les conditions de leur indépendance et l’absence de conflit d’intérêt.
Il est important de souligner que ces experts ne participent pas aux délibérations de l'Autorité de protection des données, ni aux discussions sur les projets d'avis et recommandations.
Selon l’angle de vue, il pourrait être conclu que l’organisation de pareil recours à des experts, par une Autorité indépendante, témoigne :
- de la complexité des questions en matière de données à caractère personnel, notamment compte tenu de l’évolution rapide des technologies numériques, et par conséquent, de la nécessaire ouverture des autorités publiques, même en matière de contentieux, à des experts hyperspécialisés ;
- mais également, de l’éventuel appauvrissement interne des autorités indépendantes, censées maîtriser une matière au point d’en être l’unique juge et l’autorité de référence.
En effet, si l’article 36, § 3, dernier alinéa de la LCA précise que le membre du comité de direction chargé de la chambre contentieuse doit être un magistrat depuis la réforme de 2023, la section organisant la chambre contentieuse est particulièrement peu développée et il appartient au règlement d’ordre intérieur de l’APD d’en organiser les règles. Ce dernier précise en son article 93 que, après l’entrée en vigueur complète de la réforme, soit à partir du 25 avril 2025, date à laquelle les mandats des membres externes de la chambre contentieuse actuelle viennent à échéance, le directeur de la chambre contentieuse siègera seul (!). Le règlement (art. 2) organise par ailleurs que les experts auxquels les membres du comité de direction peuvent faire appel sont censés, lorsqu’ils sont sollicités, remettre un avis dans les trois jours. Ces choix sont à mettre en relation – et certes questionner – par rapport aux objectifs affichés de la réforme, qui sont, pour rappel, de renforcer : le fonctionnement de l’APD, l’indépendance de l’APD, l’approche pragmatique et l’expertise sectorielle de l’APD. Le pragmatisme semble avoir été largement privilégié.
Expertises liées: Gestion publique et textes légaux, Vie privée et données personnelles