Partager sur
Une nouvelle arme de poids dans l’arsenal de l’Autorité de protection des données
Maître Alexandre Cassart, avocat au barreau de Liège-Huy
En date du 26 novembre 2020, DNS BELGIUM et l’Autorité de protection de données (APD) ont conclu un protocole d’accord visant à bloquer les noms de domaine « .be » liés à des sites web procédant à des traitements de données à caractère personnel illicites.
DNS BELGIUM est une ASBL qui a pour mission de gérer les noms de domaine « .be ». Sa fonction est essentiellement technique, mais comporte quelques volets juridiques, comme le traitement des litiges en matière de nom de domaine, assuré en collaboration avec les arbitres du CEPANI.
Le nom de domaine est un peu comme l’adresse de votre maison, c’est-à-dire que si le nom de domaine est bloqué, votre site web continue à exister, mais n’est plus disponible pour les visiteurs. Une modification de votre nom de domaine ou des modalités d’accès à celui-ci peut également avoir un impact important sur l’utilisation des adresses électroniques employant ce nom de domaine.
L’autorité de protection des données (APD), quant à elle, est une instance administrative chargée d’assurer le respect du Règlement général sur la protection des données (RGPD) et des diverses lois belges applicables en la matière. Les pouvoirs de l'APD sont extrêmement étendus. Elle peut ouvrir des enquêtes sur base d’une plainte ou d’initiative. Elle peut procéder à des descentes, des saisies, et faire cesser les traitements qu’elle estime illicites. L'APD est donc à la fois juge et enquêteur.
Dans ce cadre, l’APD et DNS BELGIUM se sont rapprochés pour conclure un protocole au terme duquel le blocage des noms de domaine en .be peut être obtenu.
Plus précisément, la coopération se passe à deux degrés. Au premier niveau, DNS BELGIUM s’engage à collaborer aux investigations du service d’instruction de l’ APD. Dans un deuxième temps, une procédure de « notice and take down » est décrite (art. 2).
Cette possibilité pour l’APD de bloquer l’intégralité d’un nom de domaine, et de suspendre l’activité économique qui peut y être liée, semble aller au-delà du pouvoir de l’APD de faire cesser des traitements contraires aux règles protégeant les données personnelles. À n’en pas douter, si cette procédure devait être activée, elle donnerait lieu à des recours en fonction des éléments concrets de la cause. C’est un sujet à suivre étroitement.
Notre conseil :
Ce protocole d’accord est entré en vigueur le 1er décembre 2020. À l’heure actuelle, il n’est pas de jurisprudence permettant une analyse sur le caractère disproportionné ou non des actions de l’Autorité de protection des données au moyen de ce protocole d’accord.
Notre conseil est ici double :
Les pouvoirs de l’autorité de protection des données sont étendus et elle démontre qu’elle n’hésite pas à s’en servir, contrairement à ce qu’il pouvait se passer avec l’ancienne commission de protection de la vie privée. Dès lors, il est particulièrement important, si ce n’est déjà fait, d’entamer un processus de mise en conformité au RGPD.
Ensuite, afin de s’assurer le maintien de son activité, il semble prudent de réserver l’un ou l’autre nom de domaine étranger (par ex .com,. eu, .net,. co, mais également. legal ou. law) et de pouvoir basculer rapidement son infrastructure informatique sur cet autre nom de domaine.