1.127 sollicitations ont été formulées auprès de la Commission nationale pour la protection des données (CNPD) en 2018, et 708 en 2019. Mais pour une fois, cette évolution à la baisse est vécue comme quelque chose de positif. Elle démontre «une plus grande sensibilisation des acteurs», peut-on lire dans le rapport annuel de l’institution. Mais aussi le maintien des interrogations des professionnels sur la mise en œuvre de cette réglementation.
Pour y répondre, la Commission a élaboré des lignes directrices sur différents sujets, comme entre autres les transferts internationaux de données dans le cadre du Brexit ou l’utilisation des caméras de vidéosurveillance mobiles. Elle a également organisé des ateliers de travail, notamment sur la santé, et participé à des événements en tant qu’invitée pour sensibiliser aux enjeux. Elle a enfin mis en place une activité de veille technologique et juridique pour suivre des sujets d’innovation comme notamment les nouvelles technologies dans le secteur financier (fintech), la technologie «blockchain» et l’intelligence artificielle.
Lire aussi
Pour agir plus en aval, la CNPD a également rendu 16 avis sur des projets de loi et de règlement. Parmi les avis majeurs, citons celui relatif au fichier central de la police grand-ducale, la vidéosurveillance des espaces et lieux publics à des fins de sécurité publique (Visupol), le recours à la vidéosurveillance par les communes, le registre des bénéficiaires effectifs et la mise en place du dossier de soins partagé.
Une hausse des réclamations
Si la CNPD conseille, elle surveille également. Elle a traité 625 réclamations (alors que la sollicitation est une demande de renseignements, la réclamation est une approche plus contentieuse, ndlr) en 2019 contre 480 en 2018. Des réclamations introduites par des gens estimant leurs droits violés. 26% des réclamations ont été motivés par le non-respect du droit d’accès par les responsables du traitement. Les demandes d’effacement ou de rectification de données auxquelles les suites souhaitées n’avaient pas été réservées ont constitué 21% des réclamations, et 11% étaient relatives au droit d’opposition et à la prospection.
La CNPD a dénombré 526 violations en matière de données depuis l’entrée en application du RGPD le 25 mai 2018, dont 354 pour 2019. Soit en moyenne 28 notifications par mois. «Comme pour 2018, la principale cause reste l’erreur humaine», note la CNPD.
Une manière de reconnaître implicitement la critique générale des entreprises et autres institutions selon laquelle cette réglementation est très complexe à comprendre et à mettre effectivement en place.
Si elle dispose du pouvoir d’imposer des amendes, la CNPD ne l’a toujours pas utilisé en 2019. Les manquements au RGPD ont, cette année encore, été réglés par l’imposition de mesures correctrices. «Aucun dossier d’enquête examiné en 2019 n’a présenté des violations dont la gravité aurait justifié le prononcé d’une amende administrative. Par conséquent, aucune amende administrative n’a été imposée par la CNPD depuis l’entrée en vigueur de la loi du 1er août 2018», indique la CNPD.
Pour faciliter ses interventions, la Commission a élaboré, début 2020, un nouveau règlement relatif à la procédure d’enquête. D’un côté, elle pourra désormais visiter un site sans s’être annoncée – une approche dite «réactive» – et, d’un autre côté, diligenter des audits – une approche qualifiée de «proactive».
En 2019, il y aura eu 33 descentes sur site, contre 18 un an plus tôt. Principalement sur des questions relatives aux domaines de la vidéosurveillance et de la géolocalisation. 25 audits consacrés à la fonction de délégué à la protection des données (DPD) ont également été conduits.