(Article mis à jour à 13 heures, avec la publication de la dernière décision, sur la géolocalisation)

Il y a des semaines et des semaines que la Commission nationale pour la protection des données est la cible de critiques. Selon Noyb, l’ONG de Max Schrems, elle était une des rares autorités nationales en charge de la protection des données qui n’ait pas infligé la moindre amende depuis l’entrée en vigueur du règlement européen sur la protection des données (RGPD).

Ce lundi, la CNPD a ajouté une nouvelle section à son site internet, sur laquelle elle publie les 18 premières décisions de sa courte existence. Dans six cas, le gendarme de la donnée dirigé par Tine A. Larsen a infligé des amendes, qui vont de 1.000 euros à 18.000 euros.

Dans quatre cas, ce sont de «petites» amendes liées à des manquements dans le domaine de la vidéosurveillance. Dans un cas, elle est liée à de la géolocalisation. Et .

Ce dernier cas rappelle le contexte dans lequel travaille la CNPD, à la différence d’autres autorités nationales. D’abord, pas de «name and shame» au Luxembourg, les décisions de la CNPD sont elles-mêmes anonymisées. Ensuite, elles sont le résultat d’une longue enquête et discussion avec les sociétés concernées. Dans le dernier cas, le premier questionnaire a été envoyé par le commissaire Christophe Buschmann, le 18 septembre 2018.

Enfin, comme Mme Larsen l’a régulièrement répété aux journalistes qui lui posaient la question, la CNPD a adopté une approche graduée: neuf décisions constatent l’absence de manquement au RGPD; trois prévoient des mesures correctrices; trois, des mesures correctrices et une amende, et trois seulement des amendes.

Les décisions ont été prises entre le 5 mars et le 31 mai et les sanctions sont susceptibles d’un appel, dans les trois mois après la décision, auprès du tribunal administratif.