La Commission nationale pour la protection des données (CNPD) a présenté son rapport d’activités avec les chiffres clés pour l’année 2016 lors d’une conférence de presse à Esch/Belval. L’adoption du règlement général sur la protection des données (RGPD)(1) était le fait le plus marquant de l’année 2016 et constitue un tournant majeur pour les citoyens, les professionnels et pour la CNPD. Applicable à partir du 25 mai 2018, ce nouveau cadre légal établira un régime unique de protection des données en Europe. L’objectif est de redonner aux citoyens le contrôle de leurs données personnelles tout en responsabilisant davantage les entreprises et administrations.
Un changement de paradigme
Avec le nouveau règlement européen, les acteurs privés et publics devront en effet prendre les mesures appropriées pour garantir, et être à même de démontrer à tout moment, que leurs traitements des données à caractère personnel sont effectués dans le respect des règles en matière de protection des données.
Les formalités préalables seront remplacées par le principe de la responsabilisation (accountability). Le régime d’autorisations et de notifications a priori, qui existe aujourd’hui, sera presque entièrement remplacé par un régime de contrôle a posteriori. Ce contrôle sera assuré par la CNPD, dont le rôle de supervision sera renforcé. Amenée à être moins administrative, la tâche de l’autorité de contrôle sera davantage proactive et sur le terrain.
Préparation au nouveau règlement général sur la protection des données
Durant la phase de transition vers ce nouveau cadre législatif, une des priorités de la CNPD est de sensibiliser les citoyens, responsables du traitement et sous-traitants sur les principaux changements auxquels ils doivent se préparer.
À cet effet, la CNPD et le Service des médias et des communications (SMC) ont organisé le 11 octobre 2016 une conférence d’information pour plus de 500 personnes en présence de du Premier ministre et ministre des Communications et des Médias, Xavier Bettel. Un mois après, des séances d’information spécialisées sur l’impact du RGPD dans certains secteurs clés de l’économie luxembourgeoise ont eu lieu. Des orateurs spécialisés dans les domaines des finances, de la santé, des technologies de l’information et des start-ups ont répondu tout au long de cette semaine aux questions des concernés.
En 2017, la CNPD va poursuivre son travail d’information et de sensibilisation en continuant à proposer des séances d’information et à participer à des conférences, séminaires et workshops. Une nouvelle série de séances d’information auront lieu les 18 et 19 octobre 2017. La Commission nationale travaille également sur une refonte complète de son site Internet et des brochures d’information pour les professionnels et les particuliers sont en cours d’élaboration.
Une année particulièrement chargée
Le régulateur luxembourgeois a contribué davantage au processus législatif que les années précédentes en avisant 30 projets de loi ou mesures réglementaires dont la thématique touchait à la protection des données, soit 17 de plus que l’année passée. À titre d’exemple peuvent être cités les avis concernant la lutte contre le terrorisme, l’administration transparente et la réutilisation des informations du secteur public, le statut spécifique des données traitées par le Service de renseignement de l’État, le traitement de données concernant les élèves, l’échange de données en matière policière, l’archivage ou encore le revenu d’inclusion sociale.
Le travail consultatif de la CNPD ne se limitait toutefois pas à ces avis. La Commission nationale a également donné des recommandations aux entreprises, administrations ou associations qui l’avaient contacté pour vérifier si leurs traitements de données étaient conformes à la loi. À ce titre, la Commission nationale a participé à 198 réunions et répondu à 430 demandes de renseignement par écrit.
Au-delà du simple renseignement, la CNPD est également de plus en plus sollicitée dans le cadre des déclarations préalables des traitements de données. En 2016, elle a reçu 1.003 notifications (+39% par rapport à 2015) et 1.449 demandes d’autorisation (+30% par rapport à 2015).
Depuis quelques années, les plaintes se maintiennent à un niveau relativement stable. En 2016, 185 personnes ont fait appel aux services de la CNPD lorsqu‘elles ont estimé qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits. Une large partie des plaintes proviennent de l’étranger, étant donné que le Luxembourg abrite de nombreux sièges d’entreprises multinationales qui traitent les données de tous les clients européens au Grand-Duché. Dès l’entrée en vigueur de la réforme, cette tendance risque de s’accroître en raison de la facilitation de l’introduction d’une plainte transfrontalière pour le citoyen européen auprès de son autorité nationale qui transmettra cette plainte à la CNPD.
77 plaintes ont conduit à des contrôles et investigations pour suspicion de violation des dispositions légales en matière de protection des données. Il s’agissait entre autres d’entreprises qui surveillaient leurs employés de manière illégale, de demandes d’accès, de rectification ou d’effacement non respectées ou encore de communications de données illégales à des tiers.
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE