En date du 4 septembre 2015, la CNPD a présenté son rapport d’activités pour l’année 2014 lors d’une conférence de presse à Esch/Belval.
Son activité globale a été marquée, comme les années précédentes, par une forte croissance. L’autorité de protection des données a reçu un nombre record de 207 plaintes, 2.192 demandes de renseignement et 999 demandes d’autorisation préalables pour les traitements présentant un risque particulier au regard de la vie privée des citoyens, tel que la surveillance sur le lieu de travail. Au niveau européen, l’année n’était pas seulement marquée par les travaux de révision de la législation en matière de protection des données pour laquelle un accord est prévu fin 2015, mais également par deux arrêts de la Cour de justice de l’UE qui ont un impact direct sur le travail de la CNPD. Il s’agit de l’arrêt du 8 avril 2014 sur la rétention des données et de celui du 13 mai 2014 sur le déréférencement dans les moteurs de recherche.
La guidance des acteurs publics et privés reste une priorité
Dans le domaine de la santé, la CNPD a accompagné activement l’agence eSanté dans l’évaluation de la sécurité des données et dans l’analyse des risques potentiels que peut avoir leur plateforme d’échange de données et le dossier de soins partagés sur la vie privée des patients. Une telle étude d’impact sur la vie privée a également été effectuée ensemble avec le GIE Luxmetering dans le cadre de la mise en œuvre des futurs compteurs d’énergie intelligents (« smart metering »). Les travaux se poursuivent en 2015.
Etant donné que le projet de règlement européen sur la protection des données prescrira une telle évaluation préalable pour tous les nouveaux systèmes de traitement potentiellement intrusifs ou susceptibles de comporter des risques particuliers, l’étendue et le degré de sensibilité de ces projets justifient d’adopter d’ores et déjà une approche de protection des données dès la conception (« Privacy by design »).
La nouvelle brochure élaborée par la CNPD relative à la surveillance sur le lieu de travail constitue un outil supplémentaire pour guider les responsables du traitement qui veulent mettre en place un dispositif de surveillance. Éditée en collaboration avec la Chambre des Salariés (CSL), cette publication a comme objectif d'éclairer le lecteur sur les droits et obligations du salarié, ainsi que sur les obligations de l'employeur en la matière.
La CNPD a en outre pris position sur d’importants projets législatifs et réglementaires concernant notamment la rétention des données, l’organisation du Service de Renseignement de l’Etat, la réforme du statut de l’artiste, l’échange transfrontalier d’informations sur les infractions en matière de sécurité routière, la jeunesse, les subventions de loyer et le classement des établissements d’hébergements touristiques. Outre ces avis formels, la CNPD a été consultée par divers entreprises et organismes publics sur la conformité d’une multitude de pratiques ou de projets.
Des dossiers avec des implications transfrontalières
Avec son arrêt du 8 avril 2015, la Cour de Justice de l’UE a invalidé la directive sur la rétention des données et l’a déclarée disproportionnée et trop intrusive. La CNPD a publié un avis sur cet arrêt dans lequel elle a analysé en détail les conditions de validité qui devront être remplies par les lois nationales pour encadrer l’obligation de conservation d’une part et l’accès aux données par les autorités d’autre part.
La CNPD a par ailleurs reçu les premières demandes de citoyens qui veulent exercer leur « droit à l’oubli » contre le référencement de publications les concernant dans les moteurs de recherche. Ces demandes sont une conséquence directe de l’arrêt de la Cour du 13 mai 2014 opposant Google à l’autorité espagnole de protection des données. Si une demande a été refusée par le moteur de recherche, les citoyens peuvent s’adresser à la CNPD ou directement au tribunal.
En 2014, l’autorité de contrôle luxembourgeoise a clôturé l’analyse du contrat des services (MSA) de Microsoft affectant les utilisateurs européens des services en ligne grand public, effectuée en collaboration avec l’autorité française de protection des données (CNIL). Cet examen s’est déroulé de façon satisfaisante et a conduit Microsoft à introduire un certain nombre d’améliorations.
La CNPD a également débuté le contrôle des clauses contractuelles d’Amazon Web Services (AWS) en collaboration avec huit autres autorités européennes de protection des données de pays de l’Union européenne.
Un collège renouvelé
L’année 2014 était marquée par un changement important au niveau de sa direction. Lors de sa séance du 7 novembre 2014, le Conseil de gouvernement a annoncé la nomination de Tine A. Larsen, Thierry Lallemang et Georges Wantz en tant que membres effectifs. Un défi majeur de la nouvelle Commission sera de moderniser les procédures internes pour être prête pour ses nouvelles missions résultant des exigences du monde numérique et des obligations du futur règlement européen.