La Commission nationale pour la protection des données vient de publier son rapport d’activités, résumé des faits marquants de l’année 2011. Au coeur de ses préoccupations figurent notamment la base de données relative aux élèves, le dossier de soins partagé, la conclusion d’un partenariat avec l’Université du Luxembourg et la réforme de la protection des données européenne.
La CNPD, très sollicitée en 2011
La Commission nationale a avisé un certain nombre de projets de loi et de mesures réglementaires concernant, entre autres, le contrat d’accueil et d’intégration, le surendettement, la coopération en matière d’obligations alimentaires et le projet de loi n°6284 visant la création et l’exploitation d’une nouvelle base de données à caractère personnel des élèves par le Ministère de l’Education nationale et de la Formation professionnelle. Tout en reconnaissant la légitimité des finalités à la base de ce projet, en vue notamment d’une meilleure planification et évaluation de la qualité de l’enseignement, elle a préconisé de limiter le nombre de données collectées et rassemblées dans un fichier centralisé, de restreindre la durée de conservation ainsi que les échanges de données envisagés entre les différentes instances (en plaidant notamment pour une anonymisation de celles transmises à l’Université pour des travaux d’étude et de recherche) par souci d’un juste équilibre entre les besoins des responsables du système éducatif et l’attente légitime de protection des données à caractère personnel des élèves et de leurs représentants légaux.
Elle a par ailleurs poursuivi la concertation avec le Ministère de la Santé au sujet de la mise en place du dossier de soins partagé, du médecin référent et de l’architecture de sécurité du système informatique y relatif. De plus, elle a accompagné des projets publics à implications européennes ayant un impact sur la vie privée des citoyens comme, par exemple, la réforme du casier judiciaire, l’introduction du nouveau titre de séjour biométrique et l’initiative citoyenne européenne.
La CNPD a en outre participé à de nombreux groupes de travail sur le plan européen. Parmi les sujets traités, citons : les puces RFID, la géolocalisation, l’accord TFTP et le lutte contre le financement du terrorisme, les données des dossiers passagers, la publicité comportementale en ligne et les compteurs intelligents.
Le nombre des demandes d’autorisation, dont un nombre croissant concernent les transferts de données vers des pays tiers, demeure à un niveau élevé et l’examen des plaintes et demandes de vérification de licéité occupe une place centrale dans l’activité régulière de la Commission nationale.
De nouveaux défis à relever
2011 marque aussi l’année de la conclusion du partenariat de la Commission nationale avec le Centre Interdisciplinaire pour la Sécurité, la Fiabilité et la Confiance (SnT) de l’Université du Luxembourg. Le programme commun de recherche visé par ce partenariat comporte trois principaux domaines d’analyse : les nouveaux développements de la législation européenne en matière de protection des données, les défis technologiques tels que le cloud computing et leurs répercussions pour les acteurs publics et privés du pays ainsi que le concept de « privacy by design ». Celui-ci garantit que la protection de la vie privée est prise en compte dès la conception dans les nouveaux dispositifs technologiques, systèmes de communication et dans les relations commerciales.
La loi du 28 juillet 2011 (modifiant la loi du 30 mai 2005 sur la vie privée dans le secteur des communications électroniques) oblige les exploitants de réseaux et les fournisseurs de services de communications électroniques à notifier à la Commission nationale les incidents de sécurité constatés dans leurs systèmes et d’en informer aussi sous certaines conditions les personnes concernées. La loi entend ainsi mieux protéger les utilisateurs de services de télécommunications en cas de violations de la confidentialité des données personnelles et à responsabiliser les opérateurs pour les inciter à investir davantage dans les mesures de sécurité sous peine de conséquences négatives en termes d’image et d’une perte de la confiance du public. La Commission nationale s’est ainsi vu attribuer une tâche importante au niveau de la supervision des mesures de sécurisation des données. Il apparaît qu’à moyen terme les investigations et contrôles sur le terrain sont appelés à prendre le pas sur les dossiers d’autorisation préalable.
À l’occasion de la journée européenne de la protection des données, la Commission nationale a organisé le 27 janvier 2011 une conférence intitulée « Y a-t-il encore une vie privée sur Internet ? » en présence du Dr Alexander Dix (Commissaire à la protection des données et à l’accès à l’information du Land de Berlin) et du directeur européen de Facebook, Richard Allan. Dans ce domaine, la CNPD est confrontée à un énorme défi en termes de sensibilisation de la population et surtout des jeunes.
La réforme de la protection des données européenne
Un autre dossier qui retiendra l’attention de la Commission nationale dans les prochaines années est la réforme en cours du cadre légal européen sur la protection des données.
Le Président de la CNPD, Gérard Lommel, a souligné l’importance de cette modernisation « pour rendre la législation plus efficiente, plus claire et simple à la fois pour la mise en conformité des multiples acteurs qui collectent de plus en plus de données des citoyens ou consommateurs et pour les individus de façon à leur conférer davantage de transparence et de contrôle et de leur faciliter l’exercice de leurs droits, en particulier dans l’environnement numérique ». Il a par ailleurs annoncé qu’ « ensemble avec ses collègues des autorités de protection des données à travers l’Europe, la CNPD se prépare à mettre en œuvre les prérogatives renforcées prévues dans le projet de l’UE, à intensifier aussi bien son dialogue avec les acteurs, que sa guidance et ses contrôles et à mettre à profit les outils innovants (Privacy impact assesments, Chargés désignés, Notifications de violations de sécurité) ».
La réforme de la protection des données européenne était aussi le thème principal de la conférence de printemps des commissaires européens à la protection des données du 3 au 4 mai 2012. Organisée cette année au Luxembourg par la CNPD, la conférence a réuni 130 délégués des autorités de 38 pays ainsi que les représentants de la Commission européenne, du Conseil de l’Europe et de l'OECD.
Outre l’organisation de cet événement à rayonnement international, l’année 2012 sera aussi marquée par le changement et le renouveau au sein de la Commission nationale, qui a vu son équipe renforcée avec l’arrivée d’un spécialiste en informatique et qui pourra emménager à la fin de l’année dans ses locaux définitifs à Esch-Belval.