Un nombre record de 177 plaintes ou demandes de vérification des citoyens, 26 investigations, 2.054 déclarations d’organismes qui traitent des données à caractère personnel dont 833 soumises à autorisation préalable, 2.077 demandes de renseignement, tels sont les chiffres clés de la CNPD en 2013. L’année était marquée par une activité particulièrement intense et par la recrudescence de dossiers complexes et technologiques, souvent à rayonnement international. L’année avait commencé par la célébration du 10e anniversaire de la CNPD dans ses nouveaux locaux avec l’organisation d’une conférence du président de la Cour européenne des droits de l’Homme, Dean Spielmann.
Une forte augmentation des sollicitations
L’augmentation considérable des plaintes (+33% par rapport à 2012) et des demandes de renseignement (+22%) adressées à la CNPD témoigne de la sensibilité croissante des citoyens aux questions du respect de la vie privée et de la protection des données personnelles. Les nombreuses réunions avec les acteurs des secteurs privé et public reflètent leur besoin d’être accompagnés dans leurs démarches de mise en conformité. L’activité en forte croissance de la CNPD se manifeste par le nombre élevé de dossiers adoptés en délibération (+63%).
L’autorité de protection des données luxembourgeoise a par ailleurs rencontré largement une oreille attentive auprès du gouvernement. Elle a notamment pris position par rapport aux projets de loi ou mesures réglementaires concernant l’organisation du Service de renseignement de l’État, le médecin-coordinateur, la réforme de la législation sur la fonction publique, la réforme de l’exécution des peines et de l’administration pénitentiaire, l’échange transfrontalier d’informations concernant les infractions en matière de sécurité routière et le registre national du cancer. Outre ces avis formels, la CNPD a été consultée par divers ministères et organismes publics sur la conformité de pratiques ou projets.
Quelques chantiers majeurs
La CNPD doit faire face à des dossiers de plus en plus complexes sur le plan technologique et souvent à implications transfrontalières. Ainsi, elle a effectué ensemble avec la CNIL et en liaison avec le G29 une analyse détaillée des conditions contractuelles d’utilisation de Microsoft concernant les questions de protection de données affectant les utilisateurs européens des services en ligne grand public. Cet examen s’est déroulé de façon satisfaisante et a conduit Microsoft à introduire un certain nombre d’améliorations.
À la suite de requêtes introduites en été 2013 par des résidents d’un autre pays européen, la Commission nationale a fait des investigations auprès de Skype et Microsoft Luxembourg relatives à l’accès potentiel de la NSA aux données d’utilisateurs européens. Elle s’est aussi penchée sur l’organisation et les modalités des traitements de données personnelles effectués par d’autres entreprises internationales établies à Luxembourg.
Après avoir élaboré des recommandations concernant les modalités réglementaires concernant le déploiement des futurs compteurs d’énergie intelligents («smart metering»), la CNPD accompagne actuellement la mise en place des processus opérationnels des activités du GIE Luxmetering dans le cadre du déroulement d’une étude d’impact sur la vie privée («Privacy Impact Assessment»). Celle-ci conduit à étudier la vraisemblance des risques d’atteinte à la vie privée des compteurs intelligents et à documenter les mesures prises pour y faire face.
Un exercice semblable est actuellement en cours pour l'évaluation des risques et des mesures de sauvegarde prévues au niveau de la sécurité de la future plateforme d’eSanté et du respect des droits individuels dans le contexte de la mise en œuvre prochaine du dossier électronique du patient au Luxembourg.
La CNPD a par ailleurs attiré l’attention du gouvernement – dans son avis relatif au projet de loi N°6566 transposant une directive européenne concernant l’échange de données relatives aux infractions en matière de sécurité routière – sur le manque de lisibilité et les besoins d’amélioration dans la législation de protection des données dans le domaine de l’activité policière et de la coopération judiciaire internationale. L’absence d’un texte spécifique de transposition en droit luxembourgeois de la décision-cadre du 27 novembre 2008 (2008/977/JAI) et la dispersion de dispositions de protection des données applicables en matière pénale dans 20 différents textes légaux ne sont pas de nature à favoriser ou à faciliter l’exercice effectif des droits des personnes concernées.
Stimuler une culture de la protection des données au sein des organisations
La création fin 2013 de l’Association pour la protection des données au Luxembourg reflète une avancée notable dans le développement d’une culture de la protection des données au sein même des entreprises et organisations privées ainsi que des organismes publics.
Un rôle clé reviendra à l’avenir aux cadres et juristes, aux «compliance officers», aux spécialistes des systèmes informatiques et technologies de communication dans les entreprises et aux consultants et avocats qui les conseillent pour assurer un comportement responsable des acteurs en matière de protection des données. Comme les chargés de la protection des données, ces professionnels avisés joueront un rôle indispensable pour les préparer à satisfaire aux attentes de la future législation européenne. L’établissement de liens avec des relais dans la société civile (ULC, syndicats, presse et ONGs) permettront par ailleurs d’éveiller l’esprit critique des consommateurs.
Dans l’attente du nouveau cadre légal européen
La réforme de la législation européenne sur la protection des données est en cours depuis janvier 2012. Elle vise à conférer au cadre juridique l’effectivité nécessaire à l’ère numérique et de la globalisation et à l’aube du Big Data et de l’Internet des objets. La Commission européenne a misé sur un renforcement et une clarification des droits individuels, une conduite préventive et responsable attendue de la part des acteurs privés et publics à l’égard des données à caractère personnel qu’ils collectent, sauvegardent dans des fichiers, utilisent et transmettent le cas échéant à des tiers et sur un renforcement du rôle des autorités de contrôle.
Les différents acteurs devront pouvoir compter sur la CNPD pour les orienter, conseiller et assister dans cette délicate démarche. C’est donc à un développement de l’activité de guidance que notre équipe entend se consacrer dans les prochains mois, tout comme à l’extension de sa capacité d’investigation et de contrôle.
Communiqué par la Commission nationale pour la protection des données