La CNPD a présenté son rapport d’activités pour l’année 2015 lors d’une conférence de presse à Esch/Belval. La forte croissance de l’activité que l’autorité de protection des données connaît au niveau national depuis plusieurs années s’est poursuivie. Au niveau européen, deux décisions ayant un impact direct sur le travail et le fonctionnement de la CNPD ont été prises en 2015 : l’accord de l’UE sur la réforme de la protection des données et l’invalidation par la Cour de justice de l’UE des accords « Safe Harbor » concernant le transfert de données personnelles aux Etats-Unis d’Amérique.
Des nouvelles règles à partir de 2018
Le nouveau règlement général sur la protection des données sera applicable à partir du 25 mai 2018. Il vise à donner aux citoyens plus de contrôle sur leurs données à caractère personnel, à responsabiliser davantage les entreprises tout en réduisant leurs charges administratives et à renforcer le rôle des autorités de protection des données tel que la CNPD.
Les nouvelles règles, qui remplaceront la directive de 1995 régissant actuellement la matière, seront directement applicables dans tous les Etats membres de l’Union européenne y inclus du Luxembourg et à tous les acteurs actifs sur le territoire. Outre le règlement général sur la protection des données, le paquet législatif comprend une directive spécifique pour le domaine de la police et de la justice.
Dans le cadre de l'initiative Digital Lëtzebuerg, la CNPD et le Ministère d'État (SMC) organiseront une série d’événements spécialement conçus pour présenter le nouveau règlement général sur la protection des données aux différents acteurs concernés et les guider dans son implémentation. Le début sera marqué par une conférence qui se tiendra le 11 octobre 2016 à Belval. Cette conférence sera suivie par des séances d'information sectorielles qui auront lieu du 14 au 18 novembre 2016.
Invalidation du « Safe Harbor » et adoption du « Privacy Shield »
Le 6 octobre 2015, la Cour de justice de l’Union européenne avait déclaré les accords « Safe Harbor » invalides. Les transferts qui s’exerçaient vers des entreprises établies aux Etats-Unis d’Amérique sur base de ces accords étaient illicites jusqu’à l’adoption du « EU-US Privacy Shield Framework » par la Commission européenne. Depuis le 12 juillet 2016, ce nouveau bouclier de protection des données Union européenne-États-Unis règle les échanges transatlantiques de données à caractère personnel et entend répondre aux faiblesses des précédents accords « Safe Harbor ».
Une forte croissance des activités de la CNPD
En 2015, l’autorité luxembourgeoise a participé à 252 réunions (+ 49% par rapport à 2014) et a reçu le plus grand nombre de demandes de renseignement depuis sa création, soit 2.361, ce qui constitue une augmentation de 7% par rapport à l’année précédente. Elle doit fournir des conseils appropriés aux acteurs, tant du secteur public, que du secteur privé, qui la consultent pour vérifier la conformité de leurs pratiques ou projets à l’égard des dispositions légales applicables.
Cette évolution est confirmée par le futur règlement qui place la guidance et la sensibilisation de ces acteurs au centre des missions de la CNPD, en réduisant largement les formalités administratives en contrepartie.
Le travail consultatif de la CNPD peut varier de la simple guidance à des renseignements juridiques très poussés, voire des avis sur les projets de loi et règlements grand-ducaux si leur thématique touche à la protection des données. En 2015, la Commission nationale a avisé 13 projets de loi ou mesures réglementaires concernant notamment les radars automatiques, la modernisation du droit de la faillite, le casier judiciaire, l’accord FATCA, l’introduction d’une subvention de loyer ou encore l’organisation du secteur des services de taxis.
La CNPD a reçu 217 plaintes, dont le nombre est d’ailleurs en constante augmentation depuis 2011. Elles concernent les entreprises, mais aussi le secteur public. Majoritairement, ces plaintes proviennent de l’étranger et sont en lien direct avec la présence des sièges européens de nombreuses entreprises multinationales au Luxembourg. Outre les demandes de vérification de licéité de certaines pratiques administratives ou commerciales, il s’agit le plus souvent de demandes d’effacement ou de rectification de données non respectées par les responsables de traitements ou de transmissions déloyales de données à des tiers.
L’autorité de protection des données a par ailleurs effectué 35 contrôles et investigations en 2015, que ce soit dans le cadre de la surveillance sur le lieu de travail ou encore lorsqu’elle a pris connaissance d’une attaque informatique, d’une faille de sécurité ou d’une autre violation des dispositions légales en matière de protection des données.
1.117 demandes d’autorisation pour les traitements de données présentant un risque particulier au regard de la vie privée des citoyens ont été enregistrées en 2015, ce qui constitue le chiffre annuel le plus élevé depuis 2003 et une hausse de 11% par rapport à l’année précédente. La grande majorité de ces demandes étaient relatives à la surveillance sur le lieu du travail. 63% concernaient l’exploitation de caméras de surveillance et 10% le contrôle des déplacements de véhicules et de personnes grâce à la géolocalisation.
Perspectives
Dans les prochaines années, les services de la CNPD seront réorganisés afin de mieux répondre aux nouvelles missions et attentes des différents acteurs dans le cadre de l’entrée en vigueur du règlement européen en 2018. Conscient du rôle accru de la CNPD et de la complexité croissante des questions que soulèvent les traitements de données à caractère personnel à l’ère numérique, le Gouvernement a décidé de renforcer progressivement ses effectifs. La CNPD salue cette décision, qui lui permettra de relever les futurs défis avec les ressources nécessaires.