La CNPD a présenté son rapport d’activités avec les chiffres clés pour l’année 2021 lors d’une conférence de presse à Esch/Belval.
Premières décisions de la CNPD sur l’issue d’enquêtes
En 2021, la CNPD a publié ses premières décisions faisant suite aux enquêtes ouvertes depuis l’entrée en application du RGPD (Règlement général sur la protection des données). Au total, ce ne sont pas moins de 49 dossiers qui ont été clôturés. 37 enquêtes ont abouti à des mesures correctrices (p.ex. avertissement, rappel à l’ordre, mise en conformité, limitation temporaire, définitive, ou interdiction du traitement, etc.), dont 25 avec des amendes.
Au total, 48 décisions se rapportaient à des affaires nationales, avec un montant global de 319.500 euros d’amendes administratives et une décision a été prise dans le cadre de la coopération européenne à l’encontre de la société Amazon Europe Core Sàrl, avec une amende administrative de 746 millions d’euros.
La majorité des décisions (25 au total) ont été prises dans le cadre de la campagne d’enquête thématique sur la fonction de délégué à la protection des données. 20 décisions concernaient le traitement des données opéré via un système de vidéosurveillance et/ou un dispositif de géolocalisation. Enfin, 4 décisions portaient sur des thématiques diverses dont une sur l’utilisation illicite de la banque de données JU-CHA dans le cadre d’une procédure de recrutement d’un employé de l’Etat au sein de l’administration judiciaire.
Covid-19 et protection des données
Comme en 2020, la pandémie a continué à avoir un impact important sur les citoyens luxembourgeois. La CNPD a été amenée à fournir des réponses aux citoyens concernant leurs droits face à l’utilisation de leurs données personnelles, notamment dans le domaine de santé. En outre, elle a régulièrement mis à jour ses recommandations pour orienter les professionnels dans la poursuite de leurs activités et établi une liste de FAQ relatives à l’utilisation de l’application CovidCheck. D’autre part, comme en 2020, la CNPD a conseillé le Gouvernement pour les projets de loi Covid-19 successifs.
Quelques chiffres clés en 2021
- 618 demandes d’information par écrit (par rapport à 655 en 2020). Les trois principales catégories de demandes concernaient la pandémie COVID-19 (traçage des personnes, prise de température, télétravail, homeschooling, etc.), la surveillance sur le lieu du travail et le droit des personnes concernées (droit d’accès, droit d’effacement, etc.).
- 33 avis sur des projets de loi ou de règlements grand-ducaux (par rapport à 24 en 2020) - À côté de ceux relatifs à la lutte contre la Covid-19, les avis ont notamment porté sur la vidéosurveillance à des fins policières (VISUPOL), les données ouvertes et la réutilisation des informations du secteur public, le contrôle de l’acquisition et de la détention d’armes, le contrôle d’honorabilité, le code des communications électroniques à l’échelle européenne ou encore le fichier central de la police grand-ducale.
- 512 réclamations de personnes qui ont estimé qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits (par rapport à 485 en 2020) – Plus d’un quart des réclamations (26%) était motivé par le non-respect du droit d’accès par les responsables du traitement, 24% concernaient les demandes d’effacement ou de rectification de données et 14% des plaintes étaient relatives à la licéité du traitement.
- 333 violations de données notifiées à la CNPD (par rapport à 379 en 2020) - La Commission nationale reçoit environ 29 notifications de violations de données par mois. La principale cause reste l’erreur humaine dans 62% des cas. Plus de la moitié des incidents sont détectés dans les 5 jours de leur survenance.
- 18 contrôles sur place (par rapport à 8 en 2020) – La CNPD a effectué des visites sur place, notamment en matière de vidéosurveillance.
- 6 audits sur la transparence – La CNPD a poursuivi ses enquêtes dans le cadre de sa campagne thématique « transparence dans le secteur des services en ligne » qui avait été lancée en 2020 auprès de 6 entreprises.
Perspectives
L’apparition et le développement rapide de nouvelles technologies telles que des techniques d’intelligence artificielle, d’apprentissage de machines, de capteurs intelligents ou encore de la blockchain constitue un défi majeur de régulation.
La CNPD, comme ses homologues européens au sein de l’EDPB (European Data Protection Board), surveillent les technologies nouvelles et émergentes, ainsi que leur impact potentiel sur les droits fondamentaux et la vie quotidienne des citoyens. L’EDPB a déjà élaboré ou prépare l’élaboration de guidances sur l’utilisation des données biométriques, l’utilisation de la reconnaissance faciale, la blockchain et d’autres technologies dans le cadre de son programme de travail des deux prochaines années.
Un autre grand défi se pose du fait des nouvelles initiatives européennes telles que le Data Governance Act, le Digital Services Act, le Data Act, le Digital Markets Act ou l’Artificial Intelligence Act. Tout l’enjeu consiste à intégrer ces nouvelles initiatives dans la législation nationale existante tout en maintenant un même niveau de protection des données personnelles.
Il sera nécessaire de garantir une mise en place cohérente de ces textes et d’assurer une bonne coordination entre les autorités nationales qui seront désignées par les États membres de l’UE tant au niveau européen que national.