Aujourd’hui, la CNPD a présenté son rapport d’activités résumant les chiffres clés et développements principaux de l’année 2023 lors d’une conférence de presse.
Une demi-décennie de RGPD
2023 marquait le cinquième anniversaire de l’entrée en application du règlement général sur la protection des données (RGPD), texte légal qui a profondément impacté les missions de la CNPD et qui ne fait que gagner en pertinence. La quasi-omniprésence de la collecte et d’autres traitements de données – souvent à caractère personnel – continue à pousser la CNPD à poursuivre résolument sa mission d’autorité de contrôle, d’information et de sensibilisation en matière de protection des données personnelles et de la vie privée.
Ainsi, la CNPD a publié 44 avis relatifs à des projets ou propositions de loi ou mesures réglementaires en 2023. Les sujets des avis allaient du registre des bénéficiaires effectifs à l’Observatoire digital de la mobilité et à la location de logements abordables, de la procédure pénale pour mineurs à l’utilisation des bodycams par la Police grand-ducale au dossier de soins partagé.
La majorité des demandes de renseignement adressées à la CNPD en 2023 portaient ou bien sur la surveillance sur le lieu de travail ou bien le droit des personnes concernées (droit d’accès, droit d’effacement, etc.), démontrant une conscience publique et même préoccupation marquée par rapport à la protection des données. Parallèlement, les raisons principales des réclamations reçues l’année précédente incluaient le questionnement de la licéité d’un traitement de données, le non-respect du droit d’accès et la violation de données.
Parlant de violations de données, les 434 incidents de violation signalés à la Commission nationale en 2023 prenaient de formes variées, dont le piratage, la divulgation de données personnelles à la mauvaise personne, ou encore des données personnelles envoyées à la mauvaise personne. La cause principale des violations de données restait l’erreur humaine.
Les agents de la CNPD ont bien sûr aussi continué leur travail d’investigation, menant 21 enquêtes en 2023 et analysant 32 dossiers. La Formation restreinte, quant à elle, a pris 15 décisions au cours de l’année passée.
Des personnes concernées de tous les âges et tous les horizons
De nos jours, il serait difficile de trouver une personne qui n'ait pas fait l'objet d'une forme ou d'une autre de traitement de données. La CNPD développe en continu des supports informatifs et canaux de communication variés afin d’offrir des opportunités éducatives pour un maximum de la population, indépendamment de leur âge ou expérience en la matière.
En 2023, la Commission a publié entre autres des lignes directrices sur la protection des données lors des élections, la protection contre les ransomwares, la géolocalisation des véhicules professionnels ou l’intelligence artificielle.
Dans ce contexte, la Commission nationale a décidé de continuer à organiser la formation « Data Protection Basics », un cours gratuit de 5 heures qui fournit au grand public une introduction aux principes clés de la protection des données personnelles. Le programme éducationnel offert par la CNPD en 2023 était d’ailleurs complété par des formations d’initiation à la protection des données personnelles pour les agents de la fonction publique, des cours du soir organisés en collaboration avec la Chambre des salariés, et des interventions auprès des élèves du niveau BTS « Cybersécurité » proposé par le Lycée Guillaume Kroll à Esch-sur-Alzette.
L’année précédente, la Commission nationale a également participé à la « Matinée des experts » organisée eu sein de l’École de Commerce et de Gestion Luxembourg (ECG), à un workshop intitulé « La cybersécurité à l'école primaire » organisé par l’Institut de formation de l’éducation nationale (IFEN), et à la deuxième édition de TN'Teens, un événement du Digital Learning Hub qui a eu lieu dans le Bâtiment des Terres Rouges à Esch-Belval.
Une expertise certifiée
La CNPD, actuellement la seule autorité de contrôle européenne à avoir développé un tel système de certification dans le cadre du RGPD, a fait part de son expertise et ses observations en la matière lors d’un workshop organisé par son homologue espagnol, l’AEPD, à Madrid. Puis en novembre, elle a assumé le rôle d’hôte lorsqu’elle a organisé un atelier de travail de trois jours au Luxembourg sur le thème de la certification des opérations de traitement des données sous le RGPD, réunissant des représentants des autorités de protection des données et des professionnels de la certification RGPD de toute l’Europe.
Parée pour les défis à venir
En 2023, la CNPD a achevé un travail intense en vue de mener à bien son ambition de guider les particuliers et les responsables de traitement (entreprises, associations, autorités publiques, etc.) dans la compréhension et la mise en œuvre des règles de protection de la vie privée et des données à caractère personnel.
La Commission nationale a en outre développé et préparé le lancement de plusieurs initiatives éducatives et technologiques innovantes, telles que l'outil DAAZ ("Data Protection from A to Zen") une plateforme e-learning aidant à la mise en conformité au RGPD et Sandkëscht, un bac à sable réglementaire dédié à l'intelligence artificielle.
S’ajouteront à ses missions de nouvelles responsabilités, notamment en vue du nouveau cadre légal au niveau européen portant sur l’économie numérique : la loi sur la gouvernance des données (Digital Governance Act, DGA), l’Artificial Intelligence Act (ou AI Act), la loi sur les données (Data Act, DA), la législation sur les services numériques (Digital Services Act, DSA) et la législation sur les marchés numériques (Digital Markets Act, DMA).
Dans les années mouvementées à venir, la CNPD poursuivra avec détermination ses missions en vue de renforcer la protection de la vie privée de tous dans un environnement digital en constante évolution.