Rapport d’activités 2018 de la Commission nationale pour la protection des données

La Commission nationale pour la protection des données (CNPD) a présenté son rapport d'activités avec les chiffres clés pour l'année 2018 lors d'une conférence de presse à Esch/Belval.

2018: des nouvelles règles en matière de protection des données

Depuis le 25 mai 2018, le règlement général sur la protection des données[1] ou 'RGPD' est applicable. Ce nouveau règlement a vocation à établir un cadre légal harmonisé au sein de l'Union européenne. Il a été complété au niveau national par une nouvelle loi organique de la CNPD et une loi en matière de police et de sécurité nationale[2].

 Les formalités préalables (notifications et autorisations) que les organismes devaient introduire auprès de la CNPD pour certains traitements avant le 25 mai 2018 ont été supprimées – ceci afin de se conformer à la nouvelle philosophie du RGPD visant à responsabiliser davantage les acteurs qui traitent des données personnelles.

En raison de cette nouvelle approche dite d'''accountability'', la CNPD est passée d'un système de contrôle a priori vers un contrôle a posteriori. Ce changement de paradigme lui permet de se concentrer davantage sur ses missions de guidance et d’enquête.

Un nombre record de demandes de renseignements et de réclamations

L'entrée en application des nouvelles règles a été accompagnée par une véritable prise de conscience des enjeux de protection des données auprès des professionnels et des particuliers. Cela a conduit à une augmentation importante des sollicitations de la CNPD.

Ainsi, la CNPD a reçu 1.112 demandes de renseignement par écrit en 2018, soit plus que le double qu'en 2017 où elle en avait reçu 528. De nombreuses questions ont porté sur la mise en conformité à la nouvelle législation, la vidéosurveillance et les droits des personnes concernées.

 Le nombre de réclamations de personnes qui ont estimé qu'il y a eu une violation de la loi ou une entrave à l'exercice de leurs droits a plus que doublé par rapport à l'année précédente, de 200 en 2017 à 450 en 2018.

Sensibilisation, guidance et conseil

La CNPD a mis l'accent sur de nombreuses mesures de sensibilisation et de guidance, dont notamment:

  • La distribution de 12.000 exemplaires de la nouvelle brochure sur les droits des citoyens et de gadgets dans de nombreux endroits stratégiques du Grand-Duché dans le cadre de la campagne 'Vos données? Vos droits!';
  • L'élaboration de nouvelles lignes directrices en matière de vidéosurveillance, concernant le droit à l'image, relatives aux règles de protection des données dans le cadre des élections sociales et pour le monde associatif;
  • L'organisation de la conférence 'Four Decades of Data Protection' en présence du Premier ministre Xavier Bettel, et de la Commissaire européenne à la justice, aux consommateurs et à l’égalité des genres, Vera Jourova;
  • La formation de plus de 500 personnes lors de 12 sessions d'introduction à la protection des données;
  • La participation à plus de 86 conférences et formations à l'attention de publics plus spécialisées (Chambre de commerce, Chambre des métiers, ABBL, Université du Luxembourg, etc.);
  • La publication de plusieurs formulaires (notification de violations de données, déclaration du délégué à la protection des données, demande de consultation préalable) facilitant la tâche aux responsables du traitement; ou encore
  • La participation au processus législatif avec 27 avis (soit 5 de plus qu'en 2017) sur des projets de loi ou mesures réglementaires en lien avec la protection des données.

Renforcement de la méthodologie d'enquête: audits et contrôles sur place

La stratégie de la CNPD a évolué en 2018 avec la mise en place d’enquêtes dites 'proactives'. Ces enquêtes sont effectuées sous la forme d'audits thématiques portant sur les nouvelles obligations du RGPD. 25 procédures d'audit ont été ouvertes en 2018 pour vérifier la conformité des organismes en matière de désignation et d'implémentation du rôle du délégué à la protection des données.

La CNPD a également réalisé des contrôles réactifs sur base d'incidents, de réclamations, d'informations relayée dans les médias ou faisant suite à un contrôle précédent. 12 enquêtes sur place ont eu lieu en 2018 dans les domaines de la vidéosurveillance, de la géolocalisation, de la publicité et du marketing.

Cause principale des violations de données: l’erreur humaine

Depuis le 25 mai 2018, les acteurs privés et publics doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. 172 violations de données ont été notifiées à la CNPD en 2018. La principale cause de ces violations était l’erreur humaine.

Perspectives d'avenir

Après l'entrée en application du RGPD, la CNPD consolide ses nouvelles structures et procédures. En 2019, elle poursuivra ses efforts d'accompagnement des acteurs dans l'application conforme de la législation en matière de protection des données personnelles et renforcera le contrôle du respect des obligations en découlant en coopération avec ses homologues européens.  

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données et la loi du 1er août 2018 relative à la protection des données en matière pénale ainsi qu'en matière de sécurité nationale qui a transposé la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

Communiqué par la Commission nationale pour la protection des données