Nombre record de 177 plaintes en 2013 ou demandes de vérification des citoyens, 26 investigations, 2054 déclarations d’organismes qui traitent des données à caractère personnel dont 833 soumises à autorisation préalable, 2077 demandes de renseignement…
N’en jetez plus! L’année 2013 a été marquée par une activité particulièrement intense et par la recrudescence de dossiers complexes et technologiques, souvent à rayonnement international. La Commission nationale pour la protection des données ploie sous le travail -ses 13 collaborateurs n’en peuvent plus. Et ce n’est pas la procédure d’investigation en cours pour examiner les circonstances et conséquences de la violation de l’intégrité et de la confidentialité des informations personnelles des utilisateurs d’eBay qui va arranger les choses…
L’augmentation considérable des plaintes (+ 33% par rapport à 2012) et des demandes de renseignement (+ 22%) adressées à la CNPD témoigne de la sensibilité croissante des citoyens aux questions du respect de la vie privée et de la protection des données personnelles.
L’autorité de protection des données luxembourgeoise a par ailleurs pris position par rapport aux projets de loi ou mesures réglementaires concernant l’organisation du Service de Renseignement de l’Etat, le médecin-coordinateur, la réforme de la législation sur la fonction publique, la réforme de l’exécution des peines et de l’administration pénitentiaire, l’échange transfrontalier d’informations concernant les infractions en matière de sécurité routière et le registre national du cancer. Outre ces avis formels, la CNPD a été consultée par divers ministères et organismes publics sur la conformité de pratiques ou projets.
La CNPD doit faire face à des dossiers de plus en plus complexes sur le plan technologique et souvent à implications transfrontalières. Ainsi, elle a effectué ensemble avec la CNIL et en liaison avec le G29 une analyse détaillée des conditions contractuelles d’utilisation de Microsoft concernant les questions de protection de données affectant les utilisateurs européens des services en ligne grand public. Cet examen, c’est à noter, s’est déroulé de façon satisfaisante et a conduit Microsoft à introduire un certain nombre d’améliorations.
À la suite de requêtes introduites en été 2013 par des résidents d’un autre pays européen, la Commission nationale a fait des investigations auprès de Skype et Microsoft Luxembourg relatives à l’accès potentiel de la NSA aux données d’utilisateurs européens. Elle s’est aussi penchée sur l’organisation et les modalités des traitements de données personnelles effectués par d’autres entreprises internationales établies à Luxembourg.
Après avoir élaboré des recommandations concernant les modalités réglementaires concernant le déploiement des futurs compteurs d’énergie intelligents («smart metering»), la CNPD accompagne actuellement la mise en place des processus opérationnels des activités du GIE Luxmetering dans le cadre du déroulement d’une étude d’impact sur la vie privée («Privacy Impact Assessment»). Celle-ci conduit à étudier la vraisemblance des risques d’atteinte à la vie privée des compteurs intelligents et à documenter les mesures prises pour y faire face.
Un exercice semblable est actuellement en cours pour l’évaluation des risques et des mesures de sauvegarde prévues au niveau de la sécurité de la future plateforme d’eSanté et du respect des droits individuels dans le contexte de la mise en œuvre prochaine du dossier électronique du patient au Luxembourg.
La création, fin 2013, de l’Association pour la protection des données au Luxembourg reflète une avancée notable dans le développement d’une culture de la protection des données au sein même des entreprises et organisations privées ainsi que des organismes publics.
Un rôle clé reviendra à l’avenir aux cadres et juristes, aux «compliance officers», aux spécialistes des systèmes informatiques et technologies de communication dans les entreprises et aux consultants et avocats qui les conseillent pour assurer un comportement responsable des acteurs en matière de protection des données. Comme les chargés de la protection des données, ces professionnels avisés joueront un rôle indispensable pour les préparer à satisfaire aux attentes de la future législation européenne. L’établissement de liens avec des relais dans la société civile (ULC, syndicats, presse et ONG) permettront par ailleurs d’éveiller l’esprit critique des consommateurs.
La réforme de la législation européenne sur la protection des données est en cours depuis janvier 2012. Elle vise à conférer au cadre juridique l’effectivité nécessaire à l’ère numérique et de la globalisation et à l’aube du Big Data et de l’Internet des objets. La Commission européenne a misé sur un renforcement et une clarification des droits individuels, une conduite préventive et responsable attendue de la part des acteurs privés et publics à l’égard des données à caractère personnel qu’ils collectent, sauvegardent dans des fichiers, utilisent et transmettent le cas échéant à des tiers et sur un renforcement du rôle des autorités de contrôle.
Les différents acteurs devront pouvoir compter sur la CNPD pour les orienter, conseiller et assister dans cette délicate démarche. C’est donc à un développement de l’activité de guidance que l’équipe entend se consacrer dans les prochains mois, tout comme à l’extension de sa capacité d’investigation et de contrôle.
