Dans la délibération du 28 février 2020, la CNPD a adopté 3 nouveaux avis sur la vidéosurveillance à des fins policières (VISUPOL); le registre des fiducies et des trusts; et l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme.
Vidéosurveillance à des fins policières (VISUPOL)
La CNPD a avisé le projet de projet de loi n° 7498 portant modification de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale.
Le projet de loi a pour objet de conférer au dispositif de vidéosurveillance policière un cadre légal suite à l’abrogation de la base légale encadrant ce dernier avec l’entrée en application de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
Dans les remarques générales quant au champ d’application du projet de loi, la CNPD a salué le choix du gouvernement d’encadrer légalement l’installation, la gestion et l’exploitation de caméras dans l’espace public par la Police grand-ducale prenant ainsi l’exemple de ses voisins, la Belgique, l’Allemagne et la France. Néanmoins, la Commission a constaté que le gouvernement avait adopté une approche restrictive relative à l’installation de dispositif de vidéosurveillance ayant une finalité de sécurité publique limitant son utilisation à la Police. Les responsables des communes, également nombreux à vouloir se doter de tels dispositifs afin de veiller à la sécurité des espaces publics de leurs communes ne peuvent donc installer de telles mesures de surveillance. La CNPD a rappellé que le système de vidéosurveillance policière dénommé « VISUPOL » était limité au territoire de la Ville de Luxembourg. Par conséquent, pour qu’une commune, en tant que responsable du traitement, puisse installer un dispositif similaire dans les espaces publics et ce à des fins de sécurité publique, il faudrait un texte légal lui permettant une telle possibilité. A cet égard, la CNPD a recommandé de prendre les exemples des législateurs belges et français.
Dans ses commentaires de l’article 1er du projet de loi ajoutant un nouvel article 43 bis à la loi modifiée du 18 juillet 2018 sur la Police grand-ducale, la CNPD a souligné notamment l’impératif de respecter le droit ainsi que la jurisprudence de l’Union européenne.
En effet, la CNPD a salué les efforts du respect des principes d’accessibilité et de transparence du projet de loi ainsi que la qualité de ce dernier en particulier en ce qui concerne la délimitation des lieux publics présentant des risques et l’autorisation ministérielle quant à l’installation du dispositif VISUPOL dans ces derniers.
In fine, en termes de proportionnalité du traitement de données et de garanties appropriées pour la sauvegarde des droits et libertés fondamentaux des citoyens, la CNPD a considéré que les procédés de masquage du système VISUPOL doivent inclure l’intérieur d’un lieu privé. En ce qui concerne la durée de conservation des images collectées, la Commission nationale a considéré que le délai de deux mois était proportionné au regard des finalités poursuivies.
Registre des fiducies et des trusts
La CNPD a rendu son avis sur le projet de loi n° 7216B, qui vise à transposer l'article 31 de la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme en tenant compte de la recommandation 25 du GAFI.
Le projet de loi comporte deux volets. Premièrement, le projet de loi prévoit l’obligation pour les fiduciaires et les trustees d’obtenir et de conserver des données relatives aux bénéficiaires effectifs ainsi qu’à d’autres personnes spécifiées dans le projet de loi. Deuxièmement, le projet de loi vise à instaurer un registre des fiducies et des trusts tenu par l’Administration de l’enregistrement, des domaines et de la TVA dans lequel les fiduciaires et les trustees devront faire inscrire certaines données qu’ils sont obligés de collecter en vertu de la loi en projet.
La Commission nationale a formulé des observations sur plusieurs éléments du projet de loi. Elle a notamment rappelé la nécessité de respecter le principe de minimisation de données et a ainsi recommandé de prévoir avec précision les données devant être collectées par les trustees et les fiduciaires dans le cadre de leurs obligations découlant du présent projet de loi. Conformément au principe de minimisation de données, seules les données nécessaires devraient être traitées.
Par ailleurs, quant à l’accès au registre, la CNPD a notamment préconisé de limiter l’accès des professionnels aux données contenues dans le registre aux seules données nécessaires. En ce qui concerne l’accès par le grand public sur base de l’intérêt légitime, la CNPD a rappelé l’importance d’une définition claire de l’intérêt légitime et a estimé nécessaire de définir les critères sur base desquels cet intérêt légitime serait analysé. Elle a également formulé des observations quant aux données à caractère personnel devant être fournies avec la demande pour accéder au registre.
La Commission nationale a par ailleurs émis des recommandations relatives aux traitements des autorités nationales et des organismes d’autorégulation, notamment en ce qui concerne le respect du principe de limitation des finalités et le transfert de données vers des pays tiers.
Prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme
La CNPD a rendu son avis sur le projet de loi n° 7467, qui vise à transposer certaines dispositions de la directive 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme et à mettre en œuvre des recommandations du GAFI, notamment dans le cas où ces recommandations ne font pas l’objet de dispositions équivalentes dans la directive (UE) 2015/849. Elle a formulé des observations sur plusieurs éléments du projet de loi.
Dans son avis, la CNPD a tout d’abord rappelé l’importance de respecter la législation en matière de protection de la vie privée et des données à caractère personnel lors de la transposition de la directive 2018/843 et de la mise en œuvre des recommandations du GAFI.
Elle a également émise des remarques relatives à la durée de conservation des données par les professionnels ainsi que aux droits des personnes concernées, soulevant la nécessité de prévoir un cadre légal précis et proportionnel au but recherché. En ce qui concerne les droits des personnes concernées, la CNPD a recommandé de préciser les cas dans lesquels le droit d’accès des personnes concernées pourrait être limité et de prévoir un droit d’accès indirect en cas de limitation de ce droit.
La Commission nationale a finalement fait des suggestions quant aux traitements de la CRF, des autorités nationales et des organismes d’autorégulation, notamment en ce qui concerne le respect du principe de limitation des finalités et le transfert de données vers des pays tiers.
Les avis peuvent être téléchargés en cliquant les liens ci-dessous.