POLITIQUE & INSTITUTIONS — Institutions

RGPD, un an après

La CNPD veut sévir



241928.jpg

Tine A. Larsen et ses équipes devraient publier prochainement les résultats d’un premier grand audit auprès de 25 administrations, organisations et entreprises. (Photo: Matic Zorman)

Un an après le lancement du RGPD, la Commission nationale pour la protection des données devrait se montrer progressivement moins compréhensive, avertit sa présidente, Tine A. Larsen.

La présidente de la Commission nationale pour la protection des données (CNPD), Tine A. Larsen , lâche l’avertissement à voix basse, mais fermement. «Ce n’est pas parce que, jusqu’à présent, on ne nous a pas trop entendus que cela va rester comme ça. La période de transition va tout doucement se terminer!»

Un an après le lancement du règlement général sur la protection des données (RGPD), la présidente salue le travail des instances représentatives, com­me la Chambre de commerce ou la Confédération luxembourgeoise du commerce, pour sensibiliser professionnels et grand public.

«La grande peur s’est un peu calmée, mais cette panique a eu un effet bénéfique: la sensibilisation. Nous, nous n’avons pas montré le bâton. Mais les consultants, si. ‘Les autorités de contrôle vont sanctionner tout de suite. Préparez-vous! Prenez beaucoup de mesures! Mettez beaucoup de contrôles en place!’, disaient-ils à leurs clients.»

Les fuites à répétition, de Cambridge Analytica à celles de Facebook, et le grand effort de certaines organisations et des médias ont achevé la prise de conscience individuelle. Parfois au prix d’énormités.

«En Irlande, les autorités ont recensé toutes les stupidités qui ont été dites. Au sujet du coiffeur, ils ont eu une plainte d’une personne qui appelait son coiffeur parce qu’elle devait prendre un rendez-vous en urgence et qu’il n’y avait plus de place. Elle a dû aller chez quelqu’un d’autre. Elle voulait juste s’assurer qu’elle avait la bonne référence du produit utilisé pour sa couleur. Le premier coiffeur lui a répondu qu’il ne pouvait pas la lui donner… en raison du RGPD!», raconte-t-elle depuis ce bureau qui surplombe Belval et que la CNPD devrait abandonner afin de réunir ses 40 employés.

465 réclamations en six mois

«En allant moi-même chez des médecins ou en prenant des rendez-­vous avec des corps de métier, j’ai vu des choses assez curieuses… Des formulaires qu’on me fait signer qui ne servent pas à grand-chose. Celui qui me le fait signer essaie de dégager sa responsabilité ou de collecter mon consentement. Au moins, ils font ce qu’ils peuvent. Le RGPD n’a pas pour ambition de faire arrêter le commerce, mais au contraire, de protéger les données personnelles et de les faire circuler. Il faut trouver la bonne balance entre ces deux objectifs.»

Pour ce qui est des plaintes de résidents, c’est souvent le droit d’accès auprès de sociétés ou d’institutions étatiques, communales ou hospitalières qui est visé.

Tine A. Larsen,  présidente,  CNPD

La CNPD a commencé par répondre aux demandes d’informations. Des centaines de demandes. Puis à se pencher sur les réclamations. «Depuis le 25 mai 2018, on a reçu 465 réclamations. Jusqu’à l’entrée en vigueur du RGPD, on était à 17 par mois, aujourd’hui, à 51 par mois», explique la juriste, qui ne se déplace jamais sans les textes de références ni ses notes.

«On les a analysées. Certaines ne sont pas fondées. Si on conteste devoir donner sa carte d’identité à un institut financier… C’est une obligation légale au Luxem­bourg, pas comme en Allemagne. Vous devez le faire. D’autres questions relèvent du droit de la consommation et pas du RGPD. Pour ce qui est des plaintes de résidents, c’est souvent le droit d’accès auprès de sociétés ou d’institutions étatiques, communales ou hospitalières qui est visé. On écrit aux responsables de traitement et on leur demande une prise de position. Certains fournisseurs de services en ligne établis au Luxem­bourg ont des clients partout en Europe. Des Britanniques, surtout, nous écrivaient directement, ou les dossiers nous étaient donnés par les Länder allemands. Maintenant, ça passe par le système de coopération européen. Chacun insère sa plainte sur laquelle on doit se positionner. Sauf accord volontaire des parties sur un différend, nous devons ouvrir une enquête.»

Premier grand audit en cours

Doucement, la commission a entamé un travail proactif. «On a actuellement un grand audit, qui a 25 volets, parce que 25 grandes ‘ institutions ’, entreprises, administrations ou organisations choisies, en raison du nombre des employés ou du nombre/de la nature des données qu’ils traitent. On a lancé un audit sur le DPO, le data protection officer. C’est un audit d’une certaine envergure, avec un questionnaire assez détaillé. On a réuni les réponses. Est-ce qu’il y a un DPO? Quelle est sa formation? Quelle est sa responsabilité dans la structure? Quel accès a-t-il à la direction pour faire valoir ses problèmes? Comment forme-t-il ses em­ployés de l’institution? Parfois, on mène des entretiens sur place quand les réponses ne sont pas claires. On a choisi ce sujet parce que c’est celui sur lequel il y avait beaucoup d’informations depuis le début, beaucoup de guidance. On veut en tirer toutes les bonnes et moins bonnes leçons, et écrire une guidance pour les besoins nationaux. C’est la première étape d’une grande envergure que nous ayons faite.»

La conclusion des collègues européens, dans un document de janvier, était que le système fonctionnait assez bien et offrait une nouvelle collaboration quotidienne.

Tine A. Larsen,  présidente,  CNPD

Mais l’autorité luxembourgeoise est aussi l’autorité européenne la plus saisie sur la plate-forme européenne: 78 fois depuis le lancement du RGPD. Des plaintes qui ont débouché sur deux enquêtes seulement. «Il y a actuellement deux enquêtes ouvertes et d’autres vont suivre. Je suis au courant d’une douzaine de cas qui ont été clôturés. La plupart sont relatifs au consentement qui n’a pas été respecté. Certaines demandes ne sont pas fondées. La conclusion des collègues européens, dans un document de janvier, était que le système fonctionnait assez bien et offrait une nouvelle collaboration quotidienne. Ça implique plus de ressources financières et humaines.»

Facebook et les contraintes irlandaises

Pour quels résultats? La présidente de la CNPD reconnaît que les consommateurs attendent de fortes sanctions financières.

«Les règles du RGPD sont assez compliquées. On ne peut pas, sur un coup de tête, infliger une sanction financière. C’est ce que voient les individus. ‘ Oh, ils ont été sanctionnés! Ils doivent payer! ’ Mais certaines entreprises, ça ne les gêne pas de payer une certaine somme. Les 50 millions de Google, ça ne va pas leur faire mal. Si la Com­mission nationale de l’informatique et des libertés avait prononcé une interdiction et avait les moyens d’imposer cette interdiction, là…» Pourquoi est-ce que la CNIL le fait alors? «Des mesures correctrices sont prévues. Il y a une ribambelle de mesures, parfois beaucoup plus utiles pour amener le responsable de traitement à faire ce que nous attendions.»

Coincée par son interdiction de communiquer avant que la décision soit devenue définitive, la CNPD, comme ses pairs européens, laisse les critiques fuser sur son inutilité. Après sept ou huit violations des règles, Face­book semble s’en sortir sans dommage.

Une fois que l’Irlande aura fini son enquête, elle devra poster un projet de décision dans le système et les 27 pays pourront tous le commenter et proposer des changements.

Tine A. Larsen,  présidente,  CNPD

«C’est encore un troisième volet. Facebook est établi en Irlande. Le réseau social a des utilisateurs partout, mais ­l’Irlande a inséré les cas dans le système européen pour la coopération et l’Irlande nous tient informés. Ils doivent travailler selon les procédures nationales irlandaises, très lourdes. Pour certaines dé­marches, ils doivent passer par le Parquet pour obtenir des autorisations d’investigation et de sanctions. Dans notre cas, le Luxembourg s’est déclaré autorité concernée. Une fois que l’Irlande aura fini son enquête, elle devra poster un projet de décision dans le système et les 27 pays pourront tous le commenter et proposer des changements. L’Irlande peut faire ce qu’elle veut, mais si on n’est pas d’accord, on peut demander au Comité européen de la protection des données de trancher l’affaire. Aucune procédure n’est encore arrivée aussi loin.»

Je vois bien Facebook devenir un prestataire de services pour le commerce.

Tine A. Larsen,  présidente,  CNPD

Mark Zuckerberg peut tranquillement demander davantage de régulation en attendant… «Il est sur la bonne voie et il prend le RGPD comme quelque chose de sérieux, comme une bonne législation dont les autres parties du monde devraient s’inspirer. Le plus compliqué, en réalité, c’est de comprendre où est la réalité entre ce qu’il dit et ce qu’il fait dans son entreprise… Peut-être que Facebook va disparaître tôt ou tard… Facebook s’est développé pour être beaucoup plus commercial, avec les salons de coiffure, les restaurants et les autres qui l’utilisent comme page internet. Je vois bien Facebook devenir un prestataire de services pour le commerce. Dans le cadre des élections européennes, la Commission européenne a lancé un paquet de mesures pour garantir des élections équitables et qui se déroulent sans interférence, ni par la cybersécurité, ni par des fake news ou abus de données personnelles et envois de publicités non sollicitées, assure-t-elle encore. Les données personnelles sont devenues l’or qui fait tourner l’économie. L’Europe a été un précurseur mondial. La Californie a mis en place une législation similaire. D’autres États américains y réfléchissent, surtout après les dépositions de Zuckerberg au Congrès. Dans les pays asiatiques, comme le Japon, il y a une nouvelle législation à l’instar du RGPD. La Corée aussi va dans cette direction. Les pays africains s’en inspirent, et on a beaucoup de sollicitations de ces pays qui construisent leur législation de zéro. On est sur la bonne voie.»