Coopération multilatérale

Le Comité européen de la protection des données (souvent désigné par l’acronyme anglais « EDPB », à savoir le European Data Protection Board) est un organe européen indépendant.

L’EDPB est composé des responsables des autorités nationales chargées de la protection des données (« autorité de contrôle ») des pays de l'Espace économique européen (« EEE »), ainsi que du Contrôleur européen de la protection des données. Le Comité a son siège à Bruxelles.

L’EDPB contribue à l’application uniforme du RGPD et favorise la coopération entre les autorités de protection des données au sein de l’EEE.

Pour veiller à l’application uniforme du RGPD, le Comité peut entreprendre différents types d’actions, telles que :

• Adopter des lignes directrices ou des avis pour clarifier l’application du RGPD ;
• Favoriser la coopération entre les autorités de contrôle par l’échange d’informations ;
• Émettre des avis sur certains projets de décisions de contrôleurs nationaux ;
• Trancher des litiges au moyen d’une décision contraignante lorsque des contrôleurs nationaux ne parviennent pas à un accord entre eux ou lorsqu’un contrôleur national ne suit pas l’avis du Comité.

Toutes les directions de l’APD contribuent activement aux travaux du Comité en participant aux sous-groupes d’experts suivants :

• Compliance, e-Government and Health
• Cooperation
• Corrective Powers
• Cross-Regulatory Interplay and Cooperation
• Enforcement
• International Transfers
• IT Users
• Key Provisions
• Social Media
• Strategic Advisory
• Technology

L’APD assure également le suivi des taskforces et groupes suivants de l’EDPB :

• Taskforce on international engagement
• Taskforce on Generative AI Enforcement
• Support Pool of Experts
• Communications Network

Le Secrétariat Général effectue la coordination interne des différents sous-groupes d’experts et taskforces et prépare les réunions plénières de l’EDPB.

Les membres du comité de direction et des collaborateurs du Secrétariat Général assistent à au moins 12 réunions plénières de l’EDPB par an.

La Global Privacy Assembly (GPA), connue jusqu'en 2019 sous le nom de International Data Protection Conference, compte actuellement plus de 130 autorités de protection des données du monde entier parmi ses membres accrédités. Ce réseau sert à échanger des points de vue et des expériences à l'échelle mondiale.

L’APD est impliquée dans plusieurs groupes de travail du GPA, qui se réunissent à distance plusieurs fois par an :

• International Enforcement Cooperation (IEWG)
• Ethics and Data Protection in Artificial Intelligence (AIWG)
• Digital Economy and Society (DESWG)
• Digital Education (DEWG)
• Digital Citizen and Consumer (DCCWG)

Des membres du Comité de direction de l’APD participent à la conférence annuelle du GPA.

En juin 2007, les gouvernements de l'OCDE ont adopté la Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy. La recommandation invitait les pays membres à favoriser la création d'un réseau informel d'autorités chargées de l'application des lois sur la protection des données.

Depuis 2008, les autorités de protection des données échangent sur leurs expériences et discutent des aspects pratiques de la coopération via une plateforme web.

Créée à Montréal en septembre 2007, l’Association francophone des autorités de protection des données personnelles (AFAPDP) réunit à ce jour les autorités indépendantes de protection des données personnelles de 23 Etats et gouvernements qui partagent une langue, une tradition juridique et des valeurs communes. Au sein de cet espace, plus de 60 lois et de 50 autorités indépendantes protègent les données personnelles et veillent au respect de la vie privée de plusieurs centaines de millions de personnes.

Chaque année, l’APD participe à l’Assemblée Générale de l’AFAPDP et participe à des panels lors de la conférence organisée au même moment. L’APD est également membre d’un groupe de travail sur les DPO créé au sein de l’AFAPDP.

La Spring Conference remonte à 1991, lorsque des représentants de la Belgique, du Danemark, de la France, de l'Allemagne, de l'Irlande, du Luxembourg, des Pays-Bas et du Royaume-Uni se sont réunis à La Haye, aux Pays-Bas. A partir de 1993, il a été décidé d'organiser chaque printemps la Spring Conference des autorités européennes chargées de la protection des données. Plus de 30 conférences ont été organisées à ce jour.

La Spring Conference est le rendez-vous annuel de toutes les autorités chargées de la protection des données dans les États européens, tant à l'intérieur qu'à l'extérieur de l'EEE.

L’APD prend part à cette conférence chaque année et intervient régulièrement lors de panels de discussion.

European Case Handling Workshop

Lors de la Spring Conference de Helsinki en 1999, les autorités européennes chargées de la protection des données ont convenu d'organiser un atelier au niveau « expert » afin de comparer les procédures de traitement des plaintes et d’en faciliter la gestion. Cet atelier, connu sous le nom d'European Case Handling Workshop (ECHW), est un sous-groupe de la Spring Conference.

L’ECHW a pour objectif de réunir des personnes chargées de dossiers concrets afin de discuter de leurs expériences et des bonnes pratiques. Chaque année, des agents de l’APD participent à ce workshop particulièrement instructif.

Créé à l’initiative de l’autorité néerlandaise pour l’infrastructure digitale (RDI), le groupe de travail « CA@AI » (abréviation de « Competent Authorities on AI ») a pour objectif de réunir dans une plateforme informelle les autorités des Etats-Membres de l’Espace Economique européen désignées (ou dans l’attente d’une désignation) pour  mettre en œuvre et surveiller l’application du Règlement sur l’intelligence artificielle adopté en 2024 (« AI Act ): autorités de protection des données, régulateurs télécoms, autorités sectorielles diverses, etc.

En effet, l’AI Act prévoit que chaque Etat-Membre désigne à tout le moins une « autorité notifiante » et une « autorité de surveillance du marché », regroupées sous l’appellation « autorités compétentes », assurant la mise en œuvre du règlement. 

Depuis 2023, l’APD est impliquée au sein de ce réseau, aux côtés de l’IBPT et du SPF Economie, ce qui lui permet d’échanger de façon informelle avec d’autres régulateurs, de solidifier son réseau, de partager des connaissances et des bonnes pratiques, et de réfléchir à des solutions concrètes pour la supervision des systèmes d’IA. Des réunions en ligne et en présentielle ont lieu plusieurs fois par an.

L’Unesco a prêté main forte à ce projet via la mise en place de formations et workshops concrets, dont un aperçu est disponible en suivant le lien ci-dessous.