POLITIQUE & INSTITUTIONS — Politique

protection des données

Le RGPD se renforce



europe-3256079_960_721.jpg

La législation luxembourgeoise précise et encadre localement le règlement européen sur la protection des données. (Photo: Licence C.C.)

Le Règlement général de protection des données (RGPD) est entré en vigueur le 25 mai dernier dans l’Union européenne. Deux projets de loi luxembourgeois renforcent la mise en place de ce règlement avec un responsable RGPD dans chaque entreprise et le renforcement des pouvoirs de la Commission nationale pour la protection des données (CNPD).

Deux projets de loi ont été votés pour mieux encadrer le règlement européen sur la protection des données, implanté en mai dernier.

Le projet de loi 7168, adopté par une large majorité des députés, précise dans le cadre du règlement RGPD les principes relatifs au traitement des données à caractère personnel et les droits de la personne concernée.

Il prévoit l’installation des responsables de traitement de ces données à l’intérieur de chaque organisme ou société. Ces derniers sont responsables de la mise en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté, et doivent notifier à l’autorité de contrôle toute violation et en informer la personne concernée.

La nouveauté, c’est également la désignation d’un délégué à la protection des données (DPO), qui aura des missions d’information et de conseil.

Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires

Le projet de loi 7184 vise, quant à lui, à réformer le fonctionnement de la CNPD, qui devient de fait l’autorité de contrôle compétente. Le contrôle exercé par la CNPD a pour but de responsabiliser les acteurs qui traitent des données personnelles, via un autocontrôle des entreprises.

Ce changement permettra à la CNPD de procéder au contrôle du respect des dispositions en vigueur sur le terrain, plutôt que d’opérer en amont, ce qui mobilisait auparavant toutes les ressources de l’organisme. La CNPD va pouvoir recentrer ses activités sur une mission de sensibilisation et d’accompagnement des responsables de traitement de données.

En parallèle à la prévention, le texte de loi met également en place des moyens de contrôle et de sanction plus conséquents et dissuasifs pour les infractions.

La CNPD aura ainsi le pouvoir de mettre des amendes administratives, pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.