Aujourd’hui, la CNPD a présenté son rapport d’activités résumant les chiffres clés et développements principaux de l’année 2022 lors d’une conférence de presse.
2 décennies de contrôles, conseils et croissance
Le 1er décembre 2022, la CNPD a fêté son 20e anniversaire, célébrant son histoire, ses réalisations et ses agents lors d’un événement auquel ont assisté de nombreux invités dont Monsieur le Premier ministre et ministre des Communications et des Médias Xavier Bettel, Madame la ministre de l'Intérieur et ministre de l'égalité entre les femmes et les hommes Taina Bofferding et la présidente du Comité européen de la protection des données (European Data Protection Board, EDPB), Dr Andrea Jelinek. Mentionnant la rapidité des changements technologiques dans une société toujours plus numérique, Madame Tine A. Larsen, présidente de la CNPD, a assuré que la Commission nationale ne perdra pas de vue sa mission prioritaire : « Nous continuerons à protéger votre droit fondamental à la vie privée aussi longtemps que nous existerons. » Message repris par Monsieur Bettel, qui a appelé la CNPD « la gardienne d’un de nos droits les plus fondamentaux : celui de la protection de notre vie privée ». C’était l’occasion de revenir sur les moments clés de la Commission mais aussi de passer en revue des années chargées.
20 ans CNPD
Finie la pandémie, la certification sur le devant de la scène
Dans la continuité de l’année 2021, le début de l’année 2022 était marqué par un nombre important de questions relatives aux traitements de données à caractère personnel concernant la gestion de la pandémie COVID-19, en particulier autour du « CovidCheck » et son application sur le lieu de travail.
Alors que la fin de la pandémie s’approchait, la CNPD a annoncé le 13 mai 2022 un jalon important dans son histoire : le lancement du schéma de certification « GDPR-CARPA », le premier schéma de certification sous le RGPD au niveau national et européen. GDPR-CARPA permet aux entreprises, administrations, associations et autres organismes établis au Luxembourg de démontrer que leurs opérations de traitement de données personnelles respectent le RGPD. Le premier organisme de certification autorisé à délivrer la certification GDPR-CARPA a été agréé par la CNPD en octobre 2022, suivi par 2 autres organismes agréés en 2023.
L’année a également vu l’approbation par l’EDPB du tout premier label européen de protection des données, pour lequel la CNPD est l’autorité compétente. Valable dans tous les États membres de l’Union européenne, la certification permet à différents contrôleurs et sous-traitants dans différents pays de soutenir leur conformité à la protection des données pour leurs opérations de traitement.
Partage de connaissances et d’expertise
L’année précédente, la Commission nationale continuait d’être sollicitée par des acteurs publics, entreprises et particuliers concernés par des questions de protection des données et de la vie privée.
En 2022, la CNPD a émis 32 avis relatifs à des projets ou propositions de loi ou mesures réglementaires touchant la protection des données, dont les sujets incluaient les lanceurs d’alertes, le logement abordable et le Service de renseignement de l’État. Elle a reçu 354 notifications de violations de données (la cause principale restait l’erreur humaine) et elle a donné suite à 482 réclamations qui concernaient surtout le non-respect des droits des personnes concernées en matière de protection des données. Des 589 demandes de renseignement par écrit que la CNPD a reçues en 2022, la majorité portait sur la pandémie COVID-19, la surveillance sur le lieu de travail et le droit des particuliers vis-à-vis le traitement de leurs données.
La Commission nationale a également poursuivi ses efforts de sensibilisation, notamment en contribuant au développement de formations, en intervenant à des conférences et ateliers, ou encore en publiant des supports informatifs comme les lignes directrices sur les cookies et autres traceurs.
La coopération au niveau européen
En avril 2022, la CNPD a assisté à une réunion de haut niveau à Vienne organisée par l’EDPB. L’objectif de la réunion était de discuter et d’échanger sur les possibilités de renforcer la coopération des autorités de protection des données sur les dossiers stratégiques et de diversifier l’éventail des méthodes de coopération utilisées. Depuis cette réunion, plusieurs mesures ont été mises en œuvre pour contribuer à la meilleure coopération entre les autorités européennes de protection des données.
À part sa présence à cette réunion, la CNPD a participé en 2022 aux réunions plénières de l’EDPB, à 11 sous-groupes thématiques de travail et à 3 « task-forces » constitués pour mener à bien des missions spécifiques du Comité. Par ailleurs, la Commission nationale continuait à jouer un rôle moteur dans l’avancement des travaux de l’EDPB dans le domaine de la certification, notamment en tant que rapporteur pour les guidances ou pour permettre à l’EDPB d’émettre des avis formels sur ce nouveau sujet.
Perspectives
Aujourd’hui plus que jamais, le sujet de la protection des données personnelles se retrouve régulièrement à la une des médias nationales et internationaux. Les cyberattaques visant le vol de données personnelles à grande échelle se produisent de plus en plus fréquemment, les géants de la technologie et des réseaux sociaux se voient infliger des millions d’euros d’amendes pour violations de données, les agents conversationnels utilisant de l’intelligence artificielle suscitent la polémique.
La CNPD se prépare à adapter son rôle de régulateur et d’éducateur, notamment en vue du nouveau cadre légal au niveau européen portant sur l’économie numérique sous ses différents aspects. Revêtant une importance particulière pour la CNPD, la loi sur la gouvernance des données (Digital Governance Act, DGA) vise à favoriser le partage des données en mettant en place des structures d’intermédiation et l’Artificial Intelligence Act (ou AI Act) fixe des règles et des obligations claires pour les systèmes d'IA concernant la transparence, la gouvernance des données et les droits fondamentaux. Le paquet législatif inclut également la loi sur les données (Data Act, DA), la législation sur les services numériques (Digital Services Act, DSA) et la législation sur les marchés numériques (Digital Markets Act, DMA) ; le DA a pour objectif d’assurer une meilleure répartition de la valeur issue de l’utilisation des données, notamment liées à l’utilisation des objets connectés alors que le DSA et le DMA prévoient de limiter la domination économique des grandes plateformes et la diffusion en ligne de contenus et produits illicites. Face à cette multiplication de nouveaux textes réglementaires, la Commission nationale va continuer à renforcer ses effectifs, à développer ses compétences en fonction des évolutions technologiques et législatives à l’horizon et à étendre les collaborations avec les autres régulateurs.
Une chose est certaine : 5 ans après l’entrée en application du RGPD, la protection des données à caractère personnel reste un sujet éminemment actuel et en plein essor.
L’année 2022 en chiffres
32 avis (par rapport à 33 en 2021) relatifs à des projets ou propositions de loi ou mesures réglementaires, dont notamment des avis sur les lois relatives :
- à la protection des lanceurs d’alertes
- au logement abordable
- à la chaîne pénale de la Justice, dite « JU-CHA »
- au e-Wallet (carte d’identité + permis)
- à l’organisation du marché de l’électricité et du gaz
- à la Société Nationale de Circulation Automobile
- aux aides individuelles au logement
- au Service de renseignement de l’État
589 demandes de renseignement par écrit (par rapport à 618 en 2021)
Les 3 principales catégories de demandes concernent :
- la pandémie COVID-19 (traçage des personnes, prise de température, télétravail, homeschooling, etc.)
- la surveillance sur le lieu de travail
- le droit des personnes concernées (droit d’accès, droit d’effacement, etc.)
482 réclamations (par rapport à 512 en 2021)
Raisons principales :
- demande d’effacement ou de rectification non respectée (21 %)
- non-respect du droit d’accès (15 %)
- licéité du traitement (15 %)
354 notifications de violations de données (par rapport à 333 en 2021)
Cause principale : erreur humaine (63 %)
10 enquêtes
- Audits ouverts dans le cadre d’enquêtes relatives à la désignation d’un délégué à la protection des données à l’encontre de 6 administrations communales
- Visites sur place dans le cadre de l’analyse de la conformité au RGPD de dispositifs de vidéosurveillance dans un établissement privé et dans un établissement scolaire
24 décisions prises par la Formation restreinte, 48 375 € d’amendes administratives