Depuis 20 ans, la CNPD veille à la protection de nos données numériques afin de garantir notre droit à la vie privée. Elle a présenté mardi son activité durant l’année 2022.
La Commission nationale pour la protection des données (CNPD) a présenté ce mardi son rapport d’activité portant sur l’année 2022, année qui a par ailleurs marqué les 20 ans d’existence de cet établissement public indépendant chargé de vérifier que la collecte et l’utilisation des données des individus sur internet se font en toute légalité, afin de protéger leur liberté et leur droit «fondamental» à la vie privée.
Que de chemin parcouru depuis sa création en 2002 ! «L’émergence de l’informatique nécessitait de créer des règles juridiques, mais il fallait trouver un équilibre entre liberté de circulation des données et protection de la vie privée. Il faut s’imaginer qu’à l’époque, il semblait impensable qu’un enfant ait un portable et l’existence du métavers n’était pas envisageable par le public. On était alors très peu sollicité», rappelle la présidente de la CNPD, Tine A. Larsen.
Aujourd’hui, à l’ère où le «tout digital» est devenu un véritable leitmotiv, le public semble plus au fait des enjeux d’une société toujours plus numérique. Preuve en sont les demandes de renseignement reçues par la CNPD en 2022 (589) et le nombre de réclamations (482), ces dernières portant essentiellement sur des demandes d’effacement ou de rectification non respectées (21 % des réclamations), sur le non-respect du droit d’accès (15 %) ou encore sur la licéité du traitement des données (15 %). Il y en avait moins de 200 en 2011, selon les chiffres disponibles. «Le nombre de demandes de renseignement et des réclamations sont en légère baisse par rapport à 2021, mais la complexité des questions a fortement augmenté», précise Tine A. Larsen.
Il est à noter que tout comme en 2021, la CNPD a eu à traiter en 2022 un nombre important de questions relatives aux traitements des données en lien à la pandémie de Covid-19, notamment le «Covid Check» et son application sur le lieu de travail, ainsi que la surveillance sur le lieu de travail et dans le cadre du télétravail. «Les citoyens peuvent aussi tout à fait déposer des réclamations auprès de la CNPD contre des entreprises et organismes basés en dehors du Luxembourg», confirme Thierry Lallemang, commissaire. En fait, une fois la réclamation introduite, «le système va définir qui sera l’entité de contrôle» en charge de traiter l’incident. Par exemple, l’Irlande pour un problème avec Meta, et le Luxembourg pour Amazon.
Manque de transparence
L’introduction du Règlement général sur la protection des données (RGPD) en 2018 au sein de l’UE a clairement constitué un jalon dans le travail de la CNPD, mais aussi dans la prise de conscience du grand public de l’importance de faire attention à son identité numérique. La CNPD enregistre d’ailleurs un pic des demandes de renseignement cette année-là, environ 1 100! Mais beaucoup de travail reste à faire.
C’est à cet égard qu’en 2022, la CNPD a continué à organiser des formations et des conférences, par exemple sur la question des cookies, ces fichiers de données que l’on est encore nombreux à accepter sans y prêter attention. Deux labels lancés ou approuvés en 2022 viennent en outre garantir que les entreprises, administrations et autres organismes respectent la protection des données : le «GDPR-CARPA» et l’«EDPB», valables tant sur le plan national que sur le plan européen.
Si la directrice reconnaît que «les différents gouvernements successifs» ont tous compris l’importance du rôle joué par la CNPD en lui accordant les ressources financières et humaines nécessaires pour suivre l’évolution des technologies (la CNPD dispose en 2023 d’un budget de quelque 9 millions d’euros et compte 65 personnes dans ses rangs), Tine A. Larsen déplore toutefois de ne pouvoir être plus transparente sur le travail de la CNPD : «On ne peut ni donner les noms des organismes sur lesquels nous enquêtons, ni l’objet de nos enquêtes», explique-t-elle, promettant d’en référer au ministère de tutelle, le ministère de la Communication et des Médias.
Lorsque les réclamations n’aboutissent pas, l’établissement peut en effet ouvrir des enquêtes, qui peuvent donner lieu à des sanctions financières (sauf pour l’État et les communes, pour lesquels les sanctions ne consistent qu’en des «avertissements»). En 2022, la CNPD a mené 10 enquêtes et infligé 48 375 euros d’amendes administratives.