En bonne adolescente – 14 ans au compteur depuis la loi du 2 août 2002 relative à la protection des données à l’égard du traitement des données à caractère personnel –, la CNPD poursuit sa croissance effrénée, qui se traduit par des besoins grandissants en personnel. L’équipe s’est peu à peu étoffée autour des trois membres effectifs prévus initialement. La Commission comptera bientôt 25 personnes.

Son budget a également été revu à la hausse afin d’absorber les charges salariales notamment.

La croissance des activités de la CNPD s’explique par l’explosion des traitements de données dans notre vie quotidienne. Et par conséquent, une préoccupation grandissante des citoyens, qui se traduit par une envolée des plaintes reçues chaque année par la CNPD.

Au fil des années, les plaintes à l’encontre de pratiques administratives ou commerciales jugées outrancières ont connu une hausse marquée sans pour autant dominer une typologie assez diversifiée. La CNPD reste également très sollicitée par les entreprises encore couvertes par l’obligation de déclarer tout traitement de données à caractère personnel, y compris à des fins d’administration du personnel (gestion de la clientèle, comptabilité, gestion des fournisseurs, recherche scientifique).

Certains traitements présentent en outre un risque particulier au regard de la vie privée des personnes et nécessitent l’autorisation préalable de la CNPD. Celle-ci a reçu 1.449 demandes en 2016 (+30% par rapport à 2015). 66% des demandes concernaient une surveillance sur le lieu de travail. La moitié était liée à l’exploitation de caméras de surveillance et 7% à l’usage de la géolocalisation afin de contrôler le déplacement de véhicules et de personnes. D’autres actions requièrent une autorisation, comme le traitement de données biométriques, le traitement de données génétiques, l’interconnexion de données, l’utilisation ultérieure de données pour d’autres objectifs et les traitements relatifs au crédit et à la solvabilité de personnes.

Quand l’arrêt Safe Harbor fait exploser le compteur

La CNPD supervise également le transfert de données à l’étranger. Une série de pays sont réputés «adéquats» par la Commission européenne, à savoir Andorre, l’Argentine, le Canada, les Îles Féroé, l’Île de Man, Guernesey, Jersey, la Nouvelle-Zélande, Israël, l’Uruguay, la Suisse et les États-Unis – dans certains cas seulement, puisque l’arrêt Safe Harbor de la Cour de justice de l’UE en octobre 2015 a invalidé les accords négociés en 2001 avec Washington.

Ce qui explique une explosion des transferts de données à des pays tiers puisqu’une partie des données transférées vers les États-Unis nécessite aujourd’hui une demande préalable. La majorité des demandes émane d’entreprises du secteur financier. «Le développement des échanges commerciaux et la mondialisation ont entraîné un accroissement des transferts de données à caractère personnel dans le cadre de projets de centralisation et d’outsourcing, de la gestion du personnel, de la clientèle ou des fournisseurs, ainsi que dans le contexte de l’externalisation de leurs activités informatiques», explique la CNPD dans son rapport d’activité.

Autant de missions qui vont évoluer avec l’entrée en vigueur du Règlement général sur la protection des données, plus connu sous le nom de RGPD, le 25 mai 2018. Le gouvernement luxembourgeois vient de déposer le projet de loi de transposition. «Un véritable changement de paradigme», souligne la CNPD. Les nouvelles règles restent protectrices - incluant en outre le droit à l’oubli -, mais selon le principe de la responsabilisation: les citoyens souhaitant avoir accès à leurs données devront s’adresser directement à l’organisme qui traite les données. La CNPD n’interviendra qu’en cas de refus.

Les procédures de notification ou d’autorisation préalable vont également disparaître au profit d’un contrôle a posteriori de la CNPD. Celle-ci n’aura pas moins besoin de davantage de moyens pour prendre en charge les demandes concernant les multinationales ayant installé leur siège au Luxembourg.