La CNPD a présenté son rapport d’activités avec les chiffres clés pour l’année 2020 lors d’une conférence de presse à Esch/Belval.
Assurer la protection des données personnelles à l’ère de la COVID-19
Depuis le mois de mars 2020, la vie quotidienne des Luxembourgeois est bouleversée par la pandémie du coronavirus. Que ce soit dans la sphère privée ou professionnelle, la pandémie a eu un impact sur tous les aspects de notre vie.
Partout en Europe, les gouvernements et les organisations publiques et privées ont pris des mesures pour enrayer et atténuer la prolifération de la COVID-19. Des traitements de données inédits ont été mis en œuvre pour répondre ponctuellement à l'urgence sanitaire comme par exemple le « contact tracing », la mesure de la température corporelle à l’entrée de locaux ou le « large scale testing » de la population.
La CNPD, de concert avec ses homologues européens, a joué un rôle important pour assurer que le déploiement des mesures prises se fasse dans le respect des règles en matière de protection des données.
Au Luxembourg et en Europe, le débat sur la question de la protection des données et la protection de la vie privée dans le contexte de la pandémie COVID-19 a été animé, ce qui traduit une grande sensibilité au sein de la société civile, de l’économie et de la politique sur ces sujets.
Le Gouvernement, conscient des enjeux, a sollicité l'avis de la CNPD pour les projets de loi COVID-19 successifs. La Commission nationale a, à chaque fois, avisé rapidement ces projets de loi en pointant la nécessité de la mise en place de garanties destinées à la protection des données des citoyens.
Sans surprise, l’année 2020 a été marquée par de nombreuses sollicitations d’acteurs privés et publics. Ceux-ci se sont interrogés tant sur les mesures mises en œuvre pour limiter la propagation du virus et assurer en toute sécurité la reprise de l’activité, que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. Afin de les accompagner, la CNPD met régulièrement à jour ses recommandations destinées à orienter les professionnels dans la poursuite de leurs activités et répond aux questions des citoyens sur leurs droits en la matière.
Invalidation du Privacy Shield et Brexit
Alors que l’actualité internationale a été dominée par la pandémie, d’autres événements marquants à relever en 2020 étaient l’invalidation du « Privacy Shield » (qui encadrait le transfert de données entre l’UE et les États-Unis) par la Cour de justice de l'Union européenne (affaire « Schrems II »), ainsi que le Brexit qui a eu un impact sur les transferts internationaux de données.
Quelques chiffres clés en 2020
- 655 demandes d’information par écrit (contre 708 en 2019) - Comme les années précédentes, un grand nombre de demandes visaient l’exercice des droits des personnes concernées, en particulier le droit d’accès aux données à caractère personnel et le droit à l’effacement. Ces demandes démontrent que les citoyens utilisent davantage les droits consentis par le RGPD et que la protection des données continue d’être un sujet de préoccupation majeure.
- 24 avis sur des projets de loi ou de règlements grand-ducaux (contre 16 en 2019) - À côté de ceux relatifs à la lutte contre la COVID-19, les avis ont notamment porté sur la lutte contre le blanchiment de capitaux et contre le financement du terrorisme, la vidéosurveillance à des fins policières (VISUPOL), la création de l’Autorité nationale de sécurité ou encore le système de contrôle et de sanction automatisés (radars aux feux rouges).
- 485 réclamations de personnes qui ont estimé qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits (contre 625 en 2019) – Parmi ces réclamations les plus fréquentes étaient les demandes d’effacement ou de rectification de données avec 26 %. Presque un quart des réclamations (23%) était motivé par le non-respect du droit d’accès par les responsables du traitement et 11% des plaintes étaient relatives au droit d’opposition, notamment dans le domaine de la prospection.
- 379 violations de données notifiées à la CNPD (contre 354 en 2019) - Au total, depuis l’entrée en application du RGPD le 25 mai 2018, la Commission nationale a reçu 905 violations de données. La principale cause reste l’erreur humaine dans 64% des cas.
- 8 enquêtes sur place (contre 33 en 2019) – La CNPD a finalisé sa campagne de contrôle concernant la vidéosurveillance et la géolocalisation et a lancé une campagne afin de vérifier la régularité des traitements en lien avec la lutte contre la COVID-19 sur un échantillon de 20 organisations.
- 6 enquêtes ouvertes dans le cadre d’un audit sur le thème de la transparence - Le secteur du e-commerce a été ciblé dans le choix des entreprises à auditer. La transparence revêt un caractère très important dans ce secteur qui a connu une croissance exceptionnellement forte lors de la pandémie et en période de confinement.
Perspectives
Alors que la crise de la COVID-19 nous accompagnera certainement encore pendant l’année en cours et probablement au-delà, les années à venir seront marquées par des défis de la digitalisation que la pandémie a accentué et leurs conséquences sur notre société en termes de protection de données personnelles et de la vie privée des individus.
Que ce soit auprès des citoyens, des entreprises privées ou des organismes publics, la CNPD poursuivra son objectif de promouvoir une culture de la protection des données au Luxembourg tout en assurant, dans ce contexte, le rôle de garant du respect du RGPD. Fort des ressources allouées, la CNPD puisera dans sa boîte à outils juridiques pour garantir au mieux le juste équilibre entre la société de l’information et la protection de la vie privée.
En 2021, année déjà marquée par les premières décisions prises sur l’issue d’enquêtes ouvertes au cours des années précédentes, l’autorité de contrôle luxembourgeoise continuera ainsi l’implémentation de son programme de travail 2020-2022.