Celles-ci visent essentiellement à alléger les formalités et à simplifier l’application de la loi par les entreprises, les associations, les professions libérales, sans pour autant porter atteinte à la substance de la protection légale. Dorénavant, les plupart des traitements de données les plus courants et anodins dans la vie économique, associative et administrative ne doivent plus faire l’objet d’une notification à la CNPD. Il en est de même des fichiers liés à l’exercice de certaines professions (avocats, notaires, médecins, journalistes, etc.) où des règles de déontologie professionnelle donnent des garanties suffisantes. La liste et les conditions exactes des exemptions de notification prévues par la loi peuvent être consultées sur le site Internet de la Commission nationale pour la protection des données (www.cnpd.lu).
Des simplifications ont également été apportées au niveau des traitements de données dans le secteur de la santé et celui de la recherche scientifique.
Les responsables de traitements de données ayant recours à un chargé de la protection des données pour leur(s) établissement(s) sont complètement dispensés de notifications. Un tel chargé de la protection des données peut dorénavant faire partie du personnel de l’entreprise, alors qu’auparavant il ne pouvait s’agir que d’un consultant externe.
Par ailleurs, la législation n’est désormais plus applicable aux traitements de données portant uniquement sur des personnes morales (sociétés, fondations, associations, etc.). Il y a lieu de ne pas confondre cette situation avec celle de traitements de données effectués par des personnes morales et qui comprennent (ne serait-ce que partiellement) des informations sur des personnes physiques.
Les libertés et la vie privée des citoyens bénéficient toujours d’une protection rigoureuse de la loi et la Commission nationale pourra s’attacher davantage à l’avenir à ses missions de contrôle du respect des dispositions légales (à côté de ses missions administratives, d’avis et de conseil et d’information du public).
Les traitements effectués par l’employeur à des fins de surveillance de son personnel sur le lieu du travail restent en tout état de cause soumis à autorisation préalable. La CNPD doit de même autoriser préalablement le recours à des dispositifs de vidéosurveillance ou d’autres mécanismes de surveillance qui ont lieu en dehors du contexte interne de l’entreprise, à moins que les images ou les données captées ne soient pas enregistrées.
L’utilisation de données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées requiert, outre une autorisation préalable, le consentement préalable des personnes concernées (sauf si celle-ci est nécessaire à des fins historiques, statistiques ou scientifiques ou pour la protection des intérêts vitaux). L’interconnexion de fichiers reste elle aussi soumise à autorisation préalable, tout comme le traitement de données génétiques. Un examen préalable par la CNPD est nouvellement requis pour les traitements portant sur des données biométriques.
(communiqué par la Commission nationale pour la protection des données)