Le Quotidien Indépendant Luxembourgeois
Le 20e anniversaire de la Commission nationale pour la protection des données (CNPD) n’est qu’un point d’étape. La présidente Tina A. Larsen estime que tous les acteurs doivent se doter «de plus de moyens pour réussir le virage numérique».
En fait, la protection des données est «quelque chose de très ancien». «On connaît le terme depuis plus de 50 ans. Bon nombre de principes étaient déjà inscrits dans une directive européenne datant de 1995. Mais, le RGPD constitue un véritable changement de paradigme», relate Tine A. Larsen, la présidente de la Commission nationale pour la protection des données (CNPD).
Entré en vigueur mi-2018, le règlement général sur la protection des données (RGPD), appliqué à l’échelle de l’Union européenne, est aujourd’hui considéré comme la référence en la matière. Que ce soit au Luxembourg ou dans les autres pays membres de l’Union, il a fallu d’abord se doter d’outils et de procédures de contrôle pour appliquer le RGPD.
«Si avant, nous effectuions un contrôle a priori par le biais de notifications et autorisations préalables, la CNPD a dû réinventer son rôle avec le contrôle a posteriori, une approche visant à responsabiliser davantage les acteurs qui traitent des données personnelles», résume Tine A. Larsen.
La CNPD s’est «attaquée à un éléphant»
Les pionniers de la CNPD, créée il y a 20 ans sous l’impulsion du ministre François Biltgen, ont eu au départ comme objectif «de promouvoir une véritable culture de la protection des données au Luxembourg». Malgré le défi à relever, «la CNPD a vécu une enfance assez calme».
«L’adolescence a été un peu plus perturbée», justement à cause de l’arrivée du RGPD. Mais aujourd’hui, la Commission serait devenue «une adulte capable de prendre ses responsabilités», souligne Tine A. Larsen, venue succéder en 2014 au premier président Gérard Lommel.
L’année 2021 peut être considérée comme un tournant. Trois ans après l’entrée en vigueur du RGPD, la CNPD a rendu ses premières décisions en matière d’entrave au respect de la protection des données.
Sur les 49 dossiers clôturés, il y en a un qui a retenu l’attention : une amende de 746 millions d’euros infligée à Amazon. «On a tous été obligés de trouver notre chemin pour s’attaquer à cet éléphant», témoigne Tine A. Larsen. L’appel interjeté par le géant du numérique prolonge cette affaire que l’on peut qualifier de baptême du feu pour la CNPD (lire également ci-dessous).
«Protéger le droit à la vie privée»
«Le meilleur reste à venir», lance sans tarder la présidente d’une autorité comptant aujourd’hui près de 60 collaborateurs. «Un tsunami de données nous attend. On sera submergé d’une quantité encore inimaginable.» Le virage numérique que s’apprête à prendre l’UE se trouve à la base de cette nouvelle étape majeure à négocier par les Vingt-Sept en charge de la protection des données.
Un hic serait néanmoins le «manque d’homogénéité», notamment en ce qui concerne les procédures à mettre en place pour la large palette de réglementations spécifiques à venir : intelligence artificielle, cybersécurité, biométrie, reconnaissance faciale et bien d’autres.
«Le RGPD n’a été qu’un début. Le souhait est de générer des données, considérées comme or numérique. Il existe aussi une importante demande pour la digitalisation de procédures. Ce n’est pas la protection des données qui bloque les choses. On a peut-être besoin de se donner encore plus de moyens pour réussir ce virage numérique, surtout pour éviter de ne pas se prendre les pieds dans le tapis», clame Tine A. Larsen.
La CNPD disposerait toutefois de la «force pour faire respecter les règles et réprimande ceux qui les enfreignent». «En garantissant le respect des règles de protection de données, nous voulons garantir que les individus puissent avoir confiance dans les processus numériques qui sont omniprésents dans la société d’aujourd’hui», insiste la présidente, qui formule une promesse : «Nous continuerons à protéger le droit fondamental à la vie privée.»
En 2021, des amendes d’un total de 319 500 euros
DOSSIERS Courant 2021, les enquêteurs de la CNPD ont clôturé un ensemble de 49 dossiers, dont 48 qui ont concerné des affaires purement nationales. S’y ajoute le cas particulier d’Amazon.
DÉCISIONS En fin de compte, 37 des 49 dossiers d’enquête clôturés se sont soldés par des «mesures correctrices», tels des avertissements, rappels à l’ordre, des injonctions de mise en conformité, des limitations temporaires ou encore des interdictions du traitement de données.
AMENDES Par contre, 25 des 37 entreprises ayant entravé les règles de protection des données ont été sanctionnées par une amende. Le montant total est de 319 500 euros. Le dossier Amazon n’est pas inclus dans ce montant.
VENTILATION La majorité des décisions (25 au total) ont été prises dans le cadre de la campagne d’enquête thématique sur la fonction de délégué à la protection des données. S’y ajoutent 20 décisions qui concernaient le traitement des données opéré via un système de vidéosurveillance et/ou un dispositif de géolocalisation. Enfin, 4 décisions portaient sur diverses thématiques dont une sur l’utilisation illicite de la banque de données de la justice (JU-CHA) dans le cadre d’une procédure de recrutement.
Amazon en salle d’attente
La justice luxembourgeoise devra statuer sur le paiement de l’amende de 746 millions d’euros infligée par la CNPD.
L’action en référé, introduite devant le tribunal administratif du Luxembourg, évite pour l’instant à Amazon de payer l’amende record de 746 millions d’euros pour non-respect du RGPD. Les juges ont estimé fin décembre 2021 que la décision prise par la CNPD manquait de précision.
Le litige judiciaire opposant la petite autorité de contrôle luxembourgeoise au géant américain du net n’est cependant pas encore tranché. Un procès sur le fond de l’affaire doit encore avoir lieu.
L’enquête contre Amazon a été lancée en 2018, par une «équipe de novices», comme l’indique Tine A. Larsen. «Il nous a fallu à tous trouver le chemin pour nous attaquer à cet éléphant», ne cache pas la présidente de la CNPD.
L’affaire a été remise entre les mains de la CNPD par son homologue française, la Commission nationale de l’informatique et des libertés (CNIL). La raison : le siège européen d’Amazon est situé au Luxembourg. Il n’a pas été question cependant de faire cavalier seul : «La CNPD avait bien le lead, mais nous avons toujours été en contact avec les 26 autres autorités de contrôle de la protection des données.»
En fin de compte, les conclusions tirées par les commissaires de la CNPD ont reçu l’aval de l’ensemble de leurs homologues européens. L’enquête était constituée d’un questionnaire soumis à Amazon, mais aussi d’échanges en présentiel avec les représentants du géant du net. «Lors d’une audience, chaque camp a pu poser ses questions. Amazon était venu avec ses avocats français et luxembourgeois», se rappelle Tine A. Larsen.
Un appel aux juges européens?
Dans son ensemble, la coopération aurait été bonne. «Que ce soit Amazon ou une autre : toutes les entreprises sont disposées à coopérer, car elles veulent que cela fonctionne. Il faut d’ailleurs louer les efforts entrepris par les grandes sociétés établies au Luxembourg», affirme la présidente de la CNPD.
Aujourd’hui, le tribunal administratif se retrouverait toutefois assez esseulé face à Amazon. «Nous avons suggéré de poser des questions préjudicielles, renvoyant le dossier vers la Cour de justice de l’UE. Ce serait l’occasion d’interpréter le RGPD et établir des jurisprudences», développe Tine A. Larsen.
Une décision définitive ne sera pas prise de sitôt, au mieux en 2024, estime la CNPD.
Ils font un très bon travail, ils sont même allés in persona! à mon ancien travail de la VDL et du MEN pour trouver le coupable de mes infractions à ma protection de données! Et ils ont trouvé, et tout fait effacer! Excellent, merci!