Cookies, délégués à la protection des données, smart cities… L’Autorité de protection des données livre ses priorités pour 2023

Depuis juillet dernier, l’institution dispose d’une nouvelle présidente et de nouveaux membres au sein de son Centre de Connaissances.

Le nouveau comité de direction demande au gouvernement des moyens supplémentaires pour mettre en œuvre ses priorités pour 2023. Une audition à ce sujet est prévue ce 28 novembre à la Chambre. L’APD espère ensuite obtenir une réponse des parlementaires d’ici le mois de décembre, mais elle salue d’ores et déjà la proposition du gouvernement fédéral d’augmenter le budget à plus de 14 millions d’euros en 2023, contre plus de 9 millions en 2022.

En attendant, on vous détaille les priorités avec la nouvelle présidente de l’institution, Cédrine Morlière (qui était déjà juriste à l’APD depuis 2015, ndlr).

Sous réserve de moyens humains suffisants, précise-t-on en préambule, l’APD entend se focaliser tout d’abord sur les cookies. Ces petits fichiers qui sont placés par les sites visités sur vos appareils connectés afin d’enregistrer certaines informations, comme vos préférences de langues, authentification, etc. Ils peuvent aussi servir à des fins de statistiques, marketing, etc.

Rappelons que l’utilisation des cookies est réglementée par la directive ePrivacy et le Règlement Général sur la Protection des Données (RGPD). Il est notamment demandé aux sites internet de recueillir le consentement des utilisateurs avant de pouvoir enregistrer et utiliser des cookies à des fins de publicités ciblées, de marketing, de géolocalisation, de statistiques, etc.

Ce consentement préalable apparaît lors d’une visite sur une page web avec la possibilité, entre autres, de tout accepter, tout rejeter ou de définir point par point ce que vous autorisez. Mais, nous allons le voir, ce consentement n’est pas toujours obligatoire, et c’est là qu’entre en jeu l’APD afin de vérifier comment cela est traité par les différentes entreprises.

L’autorité de protection des données et sa chambre contentieuse ont déjà rendu de nombreuses décisions en matière de cookies. Mais depuis le mois de janvier dernier, l’APD dispose d’une nouvelle compétence "qui nous est explicitement assignée", explique Cédrine Morlière. Elle permet à l’APD de surveiller l’utilisation ainsi que le placement de cookies.

En effet, il existe des exceptions permettant à des sites d’organiser le suivi des utilisateurs et le placement de cookies sans consentement préalable de l’utilisateur. Dans ce cadre, l’institution peut aider, au cas par cas, les responsables de traitement à vérifier qu’ils appliquent correctement le droit et s’ils peuvent bénéficier des exceptions, précise la présidente de l’APD.

Reste à interpréter les règles dictées par le droit. L’APD "privilégie une approche harmonisée européenne sur tous les points de discussion […], mais un tel point harmonisé fait défaut", explique la nouvelle présidente de l’APD.

Ce qui conduit parfois l’autorité belge de protection des données à être plus strict que ses homologues européens, poursuit Cédrine Morlière. "Il n’y a pas eu de consensus sur toute une série de points : la manière de collecter le consentement en matière de cookies ou la possibilité ou pas, sous certaines conditions, pour des sites web d’utiliser des cookies statistiques. Or cela peut être parfois crucial pour certains sites… Il n’y a pas d’approche harmonisée au niveau européen, c’est un constat. Peut-être y en aura-t-il un dans le futur."

Mais voilà, tout cela prend du temps et donc des moyens. "Nous demandons des moyens supplémentaires pour avoir le temps : le temps d’expliciter, le temps de dialoguer, le temps de recueillir d’éventuels arguments des parties prenantes. Et ce temps a certainement fait défaut jusqu’à présent."

Autre priorité, qui l’était déjà dans le passé, les délégués à la protection des données (DPD) ou data protection officer (DPO).

Rappelons que le RGPD implique que les organismes publics doivent désigner un tel profil (il y a des exceptions, ndlr) pour les conseiller, les informer sur la mise en œuvre des obligations légales en matière de traitement des données par l’administration ou un sous-traitant. Idem pour les entreprises qui traitent des données sensibles ou font un suivi régulier et systématique à grande échelle des personnes concernées, peut-on lire sur le site officiel de l’Union européenne.

Le DPD a donc un rôle important depuis l’instauration du RGPD. Mais pour pouvoir exercer cette fonction correctement, cette personne doit disposer de moyens, accéder aux données et aux opérations de traitement des données. Elle doit aussi pouvoir être indépendant et s’assurer de l’absence de conflits d’intérêts avec d’autres fonctions au sein de l’institution ou l’entreprise. L’APD assure des inspections à ce sujet.

L’institution va donc mettre en avant ce poste important et souhaite crédibiliser ses interventions et ses missions au sein des organismes ou entreprises. Veiller aussi, simplement, à ce qu’il y ait un DPD là où c’est obligatoire.

Dans la mesure du possible, elle répondra de manière ciblée à leurs questions. "Nous aimerions, et cela demande des moyens, leur apporter notre appui via les interrogatoires auxquels est soumis leur management, mais également […] prendre le pouls […] et y répondre à travers nos services de la prévention."

Des services qui répondent aussi aux nombreuses questions des citoyens. Sur ce dernier point, Cédrine Morlière précise : "On examinera dans quelle mesure c’est possible de continuer à le faire en fonction des moyens disponibles."

Large thème que les smart cities : transport intelligent, caméras intelligentes, mais aussi les interactions entre les services publics et les citoyens, etc. Les points sont nombreux, avec souvent des questions liées à la vie privée. Au-delà des plaintes qu’elle reçoit, l’APD veut aussi pouvoir jouer un rôle de prévention et d’information sur le sujet.

En matière de smart cities, l’APD est aussi amenée à donner son avis sur des projets législatifs. Exemple : les enquêtes sur la mobilité, qui doivent être balisées pour qu’il n’y ait pas de risques pour la vie privée. Il s’agit également d’élaborer des lignes directrices en matière d’anonymisation afin de déterminer "les cas où dans les projets de smart cities posent problème (ou non) du point de vue des données personnelles."

Enfin, "si les moyens mis à sa disposition le lui permettent, l’APD souhaiterait maintenir à jour son projet de sensibilisation et de proximité avec le site Je décide, dédié d’une part aux jeunes, et d’autre part aux parents et enseignants", ajoute l’institution.