RGPD : arrêt de la Cour constitutionnelle sur les amendes administratives
La loi du 30 juillet 2018 sur la protection des données personnelles prévoit que l’Autorité de protection des données (APD) peut infliger des amendes administratives (très lourdes) en cas de non-respect du RGPD, mais ces amendes ne sont applicables qu’au secteur privé. Les « autorités publiques » en sont exonérées. Considérant qu’il s’agit d’une discrimination, la FEB avait introduit un recours en annulation des dispositions concernées auprès de la Cour constitutionnelle, mais cette dernière l’a rejeté. Focus sur les possibles implications pour le secteur à profit social.
La Cour a confirmé la position du législateur fédéral car elle considère que la nécessité d’assurer la continuité du service public et de ne pas mettre en péril l’exercice d’une mission d’intérêt général justifient la différence de traitement entre des institutions publiques et privées.
La Cour explique également sa position par le fait que l’exonération prévue par la loi permet d’éviter de faire peser sur le citoyen et sur la qualité du service public les conséquences financières d’une amende administrative et par le fait qu’il existe des sanctions alternatives et dissuasives en cas de non-respect des obligations qui découlent du RGPD.
En effet : « exonération » des amendes administratives ne signifie pas « immunité ». Comme le rappelle la Cour, une autorité publique n’est pas exemptée des obligations prévues par le RGPD, simplement le législateur fédéral a choisi de ne pas lui appliquer les amendes administratives. L’autorité publique reste soumise aux sanctions administratives non pécuniaires ainsi qu’aux sanctions pénales.
L’Unisoc a suivi cette affaire avec attention dans la mesure où l’article 5 de la loi de 2018 comporte une définition de l’autorité publique qui englobe également toute ASBL financée majoritairement par les autorités publiques ou dont une majorité des membres du CA sont désignés par les autorités publiques. En 2019, nous avions saisi l’APD pour contester cette interprétation mais nous n’avions pas été entendus (voir actualité publiée à l’époque). Une conséquence directe de l’étiquette d’autorité publique est l’obligation de désigner un data protection officer (DPO), sous peine de sanction.
Or, le rejet par la Cour du recours de la FEB pourrait tenter certaines ASBL visées par la loi de 2018 de considérer qu’il est dans leur intérêt d’être considérées comme des « autorités publiques ». Mais on le voit : même les autorités publiques sont passibles de certaines sanctions autres que les amendes administratives.
L’Unisoc continue à suivre ce dossier de près.
Retour vers la fiche thématique