RGPD : « autorité publique » oui, mais à moitié seulement (!?)

C’est, en substance, la conclusion quelque peu surprenante à laquelle a abouti l’Autorité de Protection des Données (APD) dans sa décision n° 36/2021 du 15 mars 2021.

De quoi était-il question ?

Une ASBL agissant en tant qu’institution de l’enseignement libre subventionné se prévalait de sa qualité d’autorité publique au sens de l’article 5 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Loi-cadre) pour considérer que les violations au RGPD qui lui étaient reprochées ne pouvaient pas aboutir à l’imposition d’une amende administrative par l’APD.

L’article 222 § 2 de la Loi-cadre stipule en effet que l’article 83 du RGPD qui permet à une autorité de protection des données d’imposer des amendes administratives ne « s’applique pas aux autorités publiques et leurs préposés ou mandataires sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché. »

Or, sur base des travaux parlementaires de la Loi-cadre (§§31-33) et de son interprétation de décisions de la Cour de justice de l’Union européenne (§§37 et 46), l’APD a décidé que les « autorités publiques et les organismes publics » qui peuvent échapper à cette amende administrative sur pied de l’article 83 (7) du RGPD (si le législateur national le décide) doivent s’interpréter de manière restrictive pour ne viser que les autorités publiques « classiques », à l’instar des services publics fédéraux et des services publics de programmation (§32).

En d’autres termes, pour l’APD, l’intention des législateurs belge et européen n’a pas été d’étendre le bénéfice de cette exception aux « organisations privées », et ce même si celles-ci accomplissent une tâche d’intérêt général et reçoivent des subsides pour ce faire (§42). De surcroît, l’enseignement constitue un « marché » et les écoles (qu’elles soient libres ou officielles) y offrent des « biens et des services » (§§29 et 32).

Cette interprétation stricte de la notion d’autorité publique à propos de la non-imposition d’amendes administratives n’exclut cependant pas le fait que, pour le reste, il s’agit bel et bien pour ces « autorités publiques » de respecter les dispositions du RGPD, en ce compris la désignation obligatoire d’un délégué à la protection des données (§44), conformément à l’article 37 (1) (a) du RGPD.

Enfin, on peut s’interroger sur la cohérence (ou non) de cette décision de l’APD avec l’arrêt rendu le 14 janvier 2021 par la Cour constitutionnelle qui rejeta le recours en annulation introduit par la Fédération des Entreprises de Belgique (FEB) à l’encontre cet article 222 § 2 de la Loi-cadre que la FEB considérait comme étant contraire au principe d’égalité et de non-discrimination. A cette occasion, la Cour constitutionnelle a jugé que « le législateur entend assurer la continuité du service public et ne pas mettre en péril l’exercice d’une mission d’intérêt général, l’exonération d’amendes administratives prévue à l’égard des autorités publiques visées par la disposition attaquée n’entraîne pas des effets disproportionnés, puisqu’elle permet d’éviter de faire peser sur le citoyen et sur la qualité du service public les conséquences financières d’une telle sanction, tout en laissant la possibilité d’infliger des mesures alternatives et dissuasives en cas de non-respect des obligations qui découlent du RGPD » (B.32). La lecture restrictive adoptée ici par l’APD n’y fut pas abordée (on fit néanmoins état de la position critique du prédécesseur de l’APD, la Commission de la Protection de la Vie Privée, à l’encontre de cet article 222 §2, en expliquant que pour elle, il « faudrait au minimum réduire le champ d’application ratione personae de cette exonération aux seules personnes morales de droit public dites « politiques » telles qu’elles sont énumérées à l’article 7bis du Code pénal (», B. 10).

Cette décision (NL) de la Chambre contentieuse de l’APD est disponible ici :

https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-36-2021.pdf

La loi-cadre du 30 juillet 2018 est disponible ici :

https://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=fr&la=F&cn=2018073046&table_name=loi

Le RGPD est disponible ici :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=fr

L’arrêt n° 3/2021 de la Cour constitutionnelle est disponible ici :

https://www.const-court.be/public/f/2021/2021-003f.pdf