Le 23 août 2017, un projet de loi créant l'Autorité pour la protection des données a été déposé devant la Chambre des représentants. Ce dernier fait suite à l'adoption, le 27 avril 2016, du règlement (UE) n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement RGPD), lequel entrera en vigueur le 25 mai 2018.

Ce projet de loi a pour mission principale d'adapter le fonctionnement de la Commission pour la protection de la vie privée afin que celle-ci devienne l'Autorité nationale de référence tel qu'imposé par l'article 51 du règlement RGPD. Sa nouvelle structure a notamment été pensée sur base du modèle de fonctionnement d'autres autorités administratives indépendantes, telle que l'Autorité belge de la concurrence.

Concrètement, le projet de loi modifie la structure de la Commission en instituant 6 organes principaux: un comité de direction, un secrétariat général, un service de première ligne, un centre de connaissance, un service d'inspection et une chambre contentieuse. Le comité de direction sera composé des dirigeants des 5 autres organes, eux-mêmes désignés par la Chambre des représentants. Par ailleurs, un conseil de réflexion, indépendant de l'autorité, sera également institué, dont les avis non contraignants porteront sur tous les sujets relatifs à la protection des données à caractère personnel.

Les tâches de l'Autorité seront principalement axées sur l'information et le conseil aux individus et responsables de traitements, l'accompagnement de ces responsables et de leurs sous-traitants dans l'exécution de leurs missions, le contrôle de ces derniers via le service d'inspection et la sanction des responsables de traitements en cas de non-respect des dispositions du règlement RGPD.

Cette dernière tâche est probablement la plus grande nouveauté apportée par le projet de loi. La Commission n'ayant actuellement qu'une compétence d'avis et de recommandation, celle-ci se verra prochainement attribuer un pouvoir de sanction, jusqu'alors entièrement dévolu aux autorités judiciaires. Les sanctions que pourra prononcer la chambre contentieuse seront multiples, allant du classement sans suite jusqu'à la transmission du dossier au parquet, en passant entre autres par des avertissements, réprimandes, astreintes, amendes administratives et injonctions multiples et variées. Un recours contre les décisions prises par la chambre contentieuse est également prévu par le projet de loi, devant une chambre spécialisée de la cour d'appel de Bruxelles appelée « cour des marchés ».

A l'heure actuelle, ce projet de loi n'a pas encore été débattu au sein de la Chambre des représentants, bien que son entrée en vigueur de principe soit prévue pour le 25 mai 2018, date butoir imposée par le règlement RGPD.