2012 était une année très active pour la CNPD avec l’organisation de la conférence européenne des commissaires à la protection des données au Kirchberg, 6 avis législatifs ou réglementaires, 133 plaintes de citoyens, 18 investigations, 1362 déclarations d’organismes qui traitent des données à caractère personnel dont 706 soumis à autorisation préalable et finalement le déménagement de ses bureaux à Belval.
Avis et recommandations
La Commission nationale a avisé des projets de loi et mesures réglementaires concernant l’exploitation d’une base de données relative aux élèves; l’identifiant unique national, le registre national des personnes physiques, les registres communaux et la carte d’identité électronique; le fonctionnement du registre national du cancer; la réforme du casier judiciaire; le surendettement et la pétition électronique. Une grande partie de ses recommandations ont été suivies, notamment en ce qui concerne le fichier des élèves.
Plaintes et demandes de vérifications de licéité: davantage d’investigations et de contrôles sur place
Le nombre élevé de plaintes témoigne de la sensibilité croissante des citoyens à la protection de leurs données. Ceux-ci s’adressent notamment à la CNPD lorsqu’ils rencontrent des difficultés à faire valoir leur droit d’accès, de rectification ou d’opposition.
La Commission nationale a effectué 18 investigations, certaines à titre préventif. Suite à des plaintes reçues, elle a notamment contrôlé la licéité de plusieurs dispositifs de vidéosurveillance. Elle est aussi intervenue suite à l’intrusion dans la base de données du service médico-sportif de l’État, ou encore pour vérifier la durée de conservation des photos par les communes dans le contexte du remplacement des cartes d’identité défectueuses. Il s’avère que les inspections et contrôles – parfois coordonnés avec les autorités de protection des données d’autres États membres concernées – prendront dorénavant une place encore plus importante parmi les formes d’action déployées par la CNPD pour faire mieux respecter les droits des personnes concernées.
Accompagnement des acteurs dans leur démarche de conformité
Que ce soit dans le domaine de la santé, de la recherche ou du commerce électronique, la CNPD se concerte de façon régulière avec les différents acteurs et s’efforce de les inciter à mettre en œuvre des actions visant à assurer la conformité de leurs activités à la législation en vigueur et à se préparer aux modifications du cadre légal européen qui implique une responsabilité accrue («accountability») de leur part.
Formalités préalables (déclaration des traitements auprès de la CNPD)
La CNPD a reçu 1362 déclarations de traitements à caractère personnel. Parmi ceux-ci, 706 soumis à autorisation préalable. Il s’agit notamment de la surveillance sur le lieu du travail ou de transferts de données vers des pays tiers. Ces dossiers nécessitent toujours une analyse détaillée et une appréciation pondérée au cas par cas.
En tant qu’autorité chef de file, il lui appartient de revoir et négocier des améliorations dans les chartes «BCR» En anglais: « Binding Corporate Rules »; en français: « règles d’entreprise contraignantes» de deux groupes internationaux avec siège à Luxembourg, dont celle d’ArcelorMittal qui a été validée fin décembre. Cette charte garantit que la protection dont bénéficient les employés, clients et fournisseurs du groupe dans l’UE continue à s’appliquer lorsque les données les concernant sont transférées vers des entités implantées sur le territoire de pays tiers disposant d’un niveau de protection insuffisant au regard des standards européens de protection des données.
Notification des violations de données dans le secteur des communications électroniques
Depuis le 1er septembre 2011 Entrée en vigueur de la loi du 28 juillet 2011 portant modification de la loi modifiée du 30 mai 2005 concernant la vie privée dans le secteur des communications électroniques, les fournisseurs d’accès à Internet et les opérateurs de services de communication électronique doivent avertir immédiatement la CNPD en cas de survenance d’une violation de la confidentialité des données à caractère personnel ou d’une panne de sécurité. Si un tel incident est susceptible d’affecter défavorablement leurs abonnés, ceux-ci devront également en être informés. La loi entend ainsi mieux protéger les utilisateurs et responsabiliser davantage les opérateurs.
Modernisation du cadre juridique européen sur la protection des données
Le projet ambitieux formé d’un règlement européen à portée générale et d’une directive spécifique concernant les activités de la police, des autorités chargées de la sécurité publique et de la justice, au moyen duquel la Commission européenne entend mettre fin à la fragmentation juridique actuelle, devrait renforcer la transparence et les droits des citoyens, responsabiliser davantage les acteurs qui traitent des données à caractère personnel et augmenter les moyens d’action des autorités de protection des données.
La modernisation du cadre juridique européen était au cœur des discussions de la «Spring Conference» des commissaires européens à la protection des données. Du 2 au 4 mai 2012, la CNPD avait réuni au Luxembourg plus de 130 délégués des autorités de contrôle de 38 pays ainsi que des représentants de la Commission européenne, du Conseil de l’Europe et de l'OCDE. À l’occasion de cet événement, qui a connu un succès remarquable, sont également intervenus le ministre des Communications et des Médias, François Biltgen, et la commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, Madame Viviane Reding.
Depuis l’automne 2011, les nouveaux développements de la législation européenne font également l’objet d’une analyse détaillée dans le cadre de la coopération de la CNPD avec le centre de recherche SnT de l’Université du Luxembourg. Le programme de recherche commun se penche aussi sur les nouveaux défis technologiques tels que le «cloud computing», le «smart grid metering» et la place de plus en plus importante prise par les applications mobiles dans notre vie connectée. Son objectif est de contribuer à développer des solutions pragmatiques pour prendre en compte dès la conception technologique et l’organisation des plates-formes et systèmes, les défis en matière de protection de la vie privée («Privacy by design»).