Dès octobre dernier, Tine Larsen, présidente de la CNPD, évoquait «un équilibre entre innovation et protection de la vie privée». (Photo: CNPD / archives)

Dès octobre dernier, Tine Larsen, présidente de la CNPD, évoquait «un équilibre entre innovation et protection de la vie privée».  (Photo: CNPD / archives)

Il aura fallu patienter plus de 15 mois pour que le ministère de la Justice dépose le projet de loi (n°7168) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Il s’agit de transposer en droit national la directive européenne 2016/680 adoptée le 27 avril 2016 et qui dépoussière la législation en matière de protection des données personnelles. Une modernisation rendue évidemment indispensable par le développement exponentiel de l’utilisation d’internet ces dernières années et des milliards de données qui y transitent, parfois à l’insu de l’utilisateur.

Au niveau luxembourgeois, la base légale s’appuie sur la loi du 2 août 2002 relative à la protection des données à l’égard du traitement des données à caractère personnel. Dans ce cadre-là, les individus ne disposent que d’un accès «indirect» à leurs données détenues par une autorité compétente: c’est à ladite autorité de contrôle de procéder à la vérification des données de la personne concernée, sans que celle-ci ne puisse y avoir elle-même directement accès.

Ce ne sera désormais plus le cas, puisque la nouvelle loi prévoit que la personne concernée pourra directement s’adresser au responsable du traitement des données pour accéder à celles-ci. En cas de refus – motivé – de sa part, la personne concernée pourra toujours, évidemment, s’adresser à l’autorité de contrôle compétente.

Une seconde autorité créée

Le texte prévoit, en outre, un renforcement substantiel du rôle dévolu au délégué à la protection des données, en prévoyant un rôle beaucoup plus (pro)actif dans le cadre de l’exécution des obligations qui incombent au responsable du traitement. Cela concernera également les relations de ce dernier avec l’autorité de contrôle compétente.

Le projet de loi 7168 jette, en outre, les bases pour la création d’une seconde autorité de contrôle. Aux côtés de la Commission nationale pour la protection des données (CNPD) va ainsi être créée une autorité de contrôle de la protection des données judiciaires.

Son rôle sera de veiller à la bonne application de la loi et en particulier des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles.

Cette autorité de contrôle sera composée de six membres, représentant respectivement la Cour supérieure de Justice, les autres juridictions de l’ordre judiciaire, les juridictions de l’ordre administratif, le Parquet général, le Parquet de l’arrondissement de Luxembourg ou de Diekirch et de la CNPD.

Elle aura aussi pour mission de favoriser la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données personnelles. Elle pourra aussi conseiller la Chambre des députés, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à ce sujet.

Triple loi

À noter que le rôle de la CNPD est, lui-même, en cours de révision dans le cadre d’un autre projet de loi portant transposition du règlement européen 2016/679 sur le régime général pour la protection des données à caractère personnel. Ce règlement européen sera beaucoup plus «vaste», puisqu’il s’appliquera par défaut à tous les traitements de données à caractère personnel autres que ceux de la police, de la justice, du service de renseignement ou de l’armée et fera donc lobjet dun projet de loi distinct qui est encore en cours de finalisation.

Enfin, un troisième projet de loi est, depuis juin, dans le circuit, relatif à la transposition de la directive 2016/681 concernant lutilisation des données des dossiers passagers (PNR).

Ces trois textes composent le «paquet sur la protection des données» dont la finalisation était intervenue lors de la présidence luxembourgeoise du Conseil de lUnion européenne au second semestre 2015.

«Nous devrons tous trouver un équilibre entre innovation et protection de la vie privée», avait indiqué, en octobre dernier, la présidente de la CNPD, Tine A. Larsen, à l’occasion d’une journée d’études organisée par la Commission nationale pour la protection des données. «Les responsables de traitement devront adopter une approche ‘by design’ et intégrer la sécurité dès la conception d’un produit», avait-elle précisé.

Le Srel également concerné

Les textes européens, publiés fin avril 2016, prévoient un délai de transition de deux ans pour que tout le monde se mette en conformité, ce qui suppose une application généralisée à compter de fin mai 2018. Le projet de loi, lui, prévoit une mise en conformité des systèmes informatiques de traitement des données au plus tard pour le 6 mai 2018, avec des dérogations exceptionnelles possibles jusqu’au 6 mai 2026 au plus tard.

À noter enfin que, bien que les textes européens ne le prévoient pas, la loi en préparation est destinée à s’appliquer aux traitements de données à caractère personnel effectués par le Service de renseignement de lÉtat (Srel) dans lexercice de ses missions légales.