De divers points de vue, 2022 promet d’être une année passionnante en matière de protection des données. Dans cet article, nous examinerons les défis du futur proche en Belgique et les traduirons en matière de rôle du DPD. Quels sont les défis qui nous attendent et que devons-nous attendre avec impatience ?
1. Coopérer avec les autorités chargées de la protection des données
En tant que DPD, nous sommes le point de contact entre le superviseur et l’organisation. La Belgique dispose d’une structure assez complexe d’autorités de surveillance, tant régionales que nationales. Les développements récents au sein de l’autorité de protection des données (APD) et les travaux annoncés du secrétaire d’État à la protection de la vie privée vont faire évoluer ce paysage.
Nous sommes impatients de voir l’impact des changements prévus en matière de coopération entre les autorités et les DPD. Au niveau international également, la coopération entre les autorités de protection des données restera une priorité en 2022. La position de l’autorité irlandaise, par exemple, garantira que la discussion sur la supervision des règles du RGPD, ou son absence, fera l’objet d’un débat public. Toutefois, des changements profonds du cadre juridique européen dans ce domaine ne seront probablement pas d’actualité d’ici 2022.
2. Des règles claires sur l’application du RGPD au sein de l’organisation
Pour les DPD, les trois dernières années ont été marquées par une recherche difficile de l’application correcte de la législation sur la protection des données. La traduction pratique du cadre juridique n’est pas une tâche facile. La publication anticipée d’un code de conduite pour les fournisseurs de services cloud et les notaires peut constituer un premier pas vers une plus grande certitude quant à l’application des règles.
La publication d’outils tels que les Clauses contractuelles types aide également le DPD dans sa recherche de conformité. Bien que les incertitudes liées à l’application du RGPD en 2022 ne disparaîtront certainement pas, nous pensons que nous aurons un ou deux moments d’apaisement. Par exemple, nous attendons avec impatience les tendances où les grandes entreprises technologiques américaines comme Microsoft ou Google s’efforceront de mieux protéger les données contre l’ingérence du gouvernement américain. Ces innovations sont nécessaires, car on peut supposer que 2022 ne sera pas l’année d’une nouvelle version du Privacy Shield pour faciliter le transfert de données vers les États-Unis. Reste à savoir si ces annonces contribueront réellement à l’échange de données personnelles.
En revanche, dans le positif, nous constatons une tendance croissante dans le fonctionnement de la Chambre de résolution des litiges de l’APD, qui s’arme lentement mais sûrement pour mieux motiver et argumenter ses décisions. Cela réduit la probabilité que les décisions puissent être contestées avec succès devant la Cour des Marchés. En définitive, les décisions de la Chambre des litiges constituent une source importante sur laquelle le DPD peut fonder ses conseils. De même, la réforme annoncée du cadre juridique, comme la loi-cadre, apportera, espérons-le, plus de clarté, par exemple en ce qui concerne l’application de la biométrie dans les entreprises.
3. Plus d’attention à la protection des données dans les entreprises
La pandémie rend le débat public sur les libertés et droits fondamentaux plus actuels que jamais. La protection des données est un aspect important de cette discussion. L’attention portée à ce sujet a sans aucun doute contribué à le mettre plus en avant dans l’agenda des entreprises. Certes, il arrive que l’attention ait l’effet inverse (par exemple, l’incompréhension des employeurs face au fait qu’ils ne sont pas autorisés à accéder aux données relatives à la vaccination de leurs employés), mais une mauvaise publicité (perçue) est aussi une publicité. Au moins dans nos cours de formation actuels, nous constatons une tendance selon laquelle les entreprises comprennent mieux les DPD et les professionnels de la protection de la vie privée et accordent plus d’attention à ce sujet. En outre, il ne fait aucun doute que de lourdes sanctions RGPD seront prononcées, ce qui renforcera l’attention portée au sujet (pensez par exemple à l’affaire Amazon et aux plaintes NOYB).
4. Marketing et GDPR : une meilleure protection pour les consommateurs ?
Toute entreprise ou organisation travaille sur son marketing. Cela implique un traitement intensif des données à caractère personnel. Il est assuré que 2022 sera une année importante pour le RGPD et le marketing. D’une part, nous attendons une décision de l’APD sur le protocole Real-Time Bidding de l’Interactive Advertising Bureau Europe (IAB Europe). Il est plus que probable que l’organisation sera fermement réprimandée pour la manière dont les données personnelles sont traitées dans le cadre de la vente aux enchères en ligne d’espaces publicitaires sur Internet. En outre, Facebook, la plus grande plateforme de marketing au monde, sera également sévèrement testée par les autorités européennes. Et qui sait, peut-être le règlement « vie privée et communications électroniques » verra-t-il le jour en 2022. Mais cela fait quatre ans que nous écrivons ce souhait dans nos prévisions, et pour l’instant les tactiques dilatoires des Big Tech sont gagnantes, il n’y aura donc pas de fumée blanche. Il sera donc essentiel pour le DPD de tenir compte de la question « marketing » lors de l’élaboration de son plan annuel de 2022.
5. Certification des produits et services
Le RGPD fournit un mécanisme permettant d’évaluer les produits et services en matière de conformité à la protection des données. Cependant, jusqu’à présent, les modèles et les systèmes de certification sont restés lettre morte. Cinq ans après l’adoption du RGPD au Parlement européen, il n’existe toujours pas d’organisme de certification accrédité capable de délivrer un véritable certificat RGPD. Cela est frappant, car la certification était considérée comme une priorité absolue par l’Europe. Nous prévoyons enfin un changement dans ce domaine en 2022 : des mécanismes de certification ont été préparés dans plusieurs États membres européens, dont l’Allemagne. Après un test final effectué par le Comité européen de protection des données (EDPB) dans le courant de l’année 2022, ils seront prêts à être utilisés. Cette certification peut aider le DPD à tester des opérations de traitement spécifiques par rapport aux règles du RGPD et à présenter une preuve de conformité, par exemple aux clients qui achèteront ces produits et services.
Notre souhait pour 2022 – 10 ans de DPI, une année de célébration pour les DPD !
Bien entendu, nous souhaitons à tous les lecteurs de cet article une année pleine de célébrations, de réjouissances, d’apprentissage et de socialisation, le tout en bonne santé. En tout cas, DPI inscrit son 10e anniversaire dans son calendrier. Outre nos Privacy Cafés, que nous espérons organiser à nouveau prochainement, nous ne laisserons pas passer cette année festive sans nous battre. Bien qu’il ne soit pas facile de faire des projets en cette période d’incertitude, nous vous donnerons l’occasion de vous rencontrer en personne. Nous allons d’abord révéler nos projets à tous les lecteurs de notre bulletin d’information. Vous n’êtes pas encore inscrit à notre newsletter ? Alors inscrivez-vous sur cette page web (en bas).