Enquête de l’APD (Autorité de protection des données)
Vous venez de recevoir une demande de renseignement de l’APD.
Celle-ci ne contient pas d’explication au sujet du contexte de l’enquête.
S’agit-il d’une plainte déposée à votre encontre par une personne concernée (peut-être guidée par votre concurrent) ? S’agit-il d’une enquête spontanée, sur la base des informations disponibles (ou manquantes) sur votre site internet ? L’APD s’étonne-t-elle que vous n’ayez pas notifié l’identité de votre délégué à la protection des données ? S’agit-il des suites de la violation de données que vous avez notifiée il y a quelques temps ?
Quelles sont les infractions au RGPD dont votre entreprise est suspectée ?
Vous ne le saurez malheureusement qu’une fois l’enquête de l’APD clôturée.
Nous avons déjà évoqué le déroulement de la procédure de sanction à la suite de cette enquête, et le recours possible. Concentrons-nous ici sur la phase d’enquête.
Comment réagir ?
Notre pratique nous apprend qu’il est fréquent que les entreprises qui reçoivent ce type de demande ne les traitent pas avec le sérieux requis.
En effet, l’APD inflige désormais plusieurs fois par mois des amendes qui se chiffrent en dizaines de milliers d’euros.
Une réponse maladroite peut donc avoir de graves conséquences.
Il est dès lors essentiel que, dès le début de l’enquête de l’APD, la réponse fournie soit complète.
Surtout, il est important que son contenu ne puisse pas se retourner ultérieurement contre votre entreprise.
Enfin, le manque de collaboration avec l’APD est en soi une infraction au RGPD…
Quels renseignements peut demander l’APD ?
Les pouvoirs d’enquête conférés à l’APD sont larges. Elle peut se rendre dans les locaux d’une entreprise, auditionner des personnes. L’APD peut également consulter des systèmes informatiques et la copie des données qu’ils contiennent. La Charte du Service d’inspection en donne un aperçu complet.
Plus généralement, elle formule des demandes de renseignements par écrit, mais les questions posées peuvent sembler intrusives.
Cela découle du principe d’accountability, selon lequel votre entreprise doit être en mesure de démontrer qu’elle respecte en tous points le RGPD.
L’APD n’est pas obligée de se limiter à l’objet initial de la plainte ou de la violation de données. Elle peut donc demander des renseignements sur la conformité en général de votre entreprise avec le RGPD.
Vos possibilités face à une enquête de l’APD
Si le délai imparti par l’APD pour fournir les informations demandées est trop court, n’hésitez pas à demander un délai complémentaire, plutôt que de vous abstenir de répondre face à l’impossibilité de la tâche.
De même, si l’APD vous écrit en néerlandais, il vous est possible de demander un changement de langues, en le motivant. L’APD vient en effet de communiquer sur sa politique linguistique.
Enfin, il est conseillé de ne pas attendre la fin de l’enquête avant de mettre votre entreprise en conformité sur les faiblesses que vous aurez découvertes. L’APD pourrait alors décider de classer sans suite cette enquête. A défaut, elle devrait à tout le moins compte dans la sanction qu’elle prononcera, comme l’a récemment décidé la Cour des marchés.
Ons advies:
Réagissez immédiatement aux demandes que vous recevez de l’Autorité de protection des données.
Pour davantage de conseil, visionnez la vidéo du webinaire et les slides sur la meilleure façon de se préparer à un contrôle de l’APD : earlegal #10 – Comment se préparer à un contrôle de l’Autorité de protection des données – Lexing
N’hésitez pas à vous faire assister par un conseil compétent, ni à demander un délai complémentaire si c’est nécessaire pour rassembler les éléments requis.