Un garde-fou contre les adeptes de Big Brother

La Commission nationale pour la protection des données a dévoilé son rapport d’activité 2021. Elle ne chôme pas avec l’accélération de la digitalisation de nos sociétés.

La Commission nationale pour la protection des données (CNPD) a dévoilé son rapport d’activité pour l’année 2021. En 2021, la CNPD a publié ses premières décisions faisant suite aux enquêtes ouvertes depuis l’entrée en application du Règlement général sur la protection des données (RGPD). Au total, ce ne sont pas moins de 49 dossiers qui ont été clôturés. Trente-sept enquêtes ont abouti à des mesures correctrices (par exemple avertissement, rappel à l’ordre, mise en conformité, limitation temporaire, définitive, ou interdiction du traitement, etc.), dont 25 avec des amendes.

Au total, 48 décisions se rapportaient à des affaires nationales, avec un montant global de 319 500 euros d’amendes administratives et une décision a été prise dans le cadre de la coopération européenne à l’encontre de la société Amazon Europe Core SARL, avec une amende administrative de 746 millions d’euros. Amazon a fait appel de la décision.

La majorité des décisions (25 au total) ont été prises dans le cadre de la campagne d’enquête thématique sur la fonction de délégué à la protection des données. Vingt décisions concernaient le traitement des données opéré via un système de vidéosurveillance ou un dispositif de géolocalisation. Enfin, 4 décisions portaient sur des thématiques diverses dont une sur l’utilisation illicite de la banque de données Ju-Cha dans le cadre d’une procédure de recrutement d’un employé de l’État au sein de l’administration judiciaire.

Comme en 2020, la pandémie a continué à avoir un impact important sur les citoyens luxembourgeois. La CNPD a été amenée à fournir des réponses aux citoyens concernant leurs droits face à l’utilisation de leurs données personnelles, notamment dans le domaine de santé. En outre, elle a régulièrement mis à jour ses recommandations pour orienter les professionnels dans la poursuite de leurs activités et établi une liste de FAQ relatives à l’utilisation de l’application Covid Check. D’autre part, comme en 2020, la CNPD a conseillé le gouvernement pour les projets de loi Covid-19 successifs.

En 2021, la CNPD a reçu 618 demandes d’information par écrit (par rapport à 655 en 2020). Les trois principales catégories de demandes concernaient la pandémie Covid-19 (traçage des personnes, prise de température, télétravail, homeschooling…), la surveillance sur le lieu du travail et le droit des personnes concernées (droit d’accès, droit d’effacement, etc.). L’année dernière, la CNPD a également reçu 512 réclamations de personnes qui ont estimé qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits (par rapport à 485 en 2020). Plus d’un quart des réclamations (26 %) était motivé par le non-respect du droit d’accès par les responsables du traitement, 24 % concernaient les demandes d’effacement ou de rectification de données et 14 % des plaintes étaient relatives à la licéité du traitement.

Près de 333 violations de données ont été notifiées à la CNPD (par rapport à 379 en 2020). La Commission nationale reçoit environ 29 notifications de violations de données par mois. La principale cause reste l’erreur humaine dans 62 % des cas. Plus de la moitié des incidents sont détectés dans les 5 jours de leur survenance, précise l’institution dans son communiqué. La CNPD a effectué 18 visites sur place (8 en 2020), notamment en matière de vidéosurveillance.

L’apparition et le développement rapide de nouvelles technologies telles que des techniques d’intelligence artificielle, d’apprentissage de machines, de capteurs intelligents ou encore de la blockchain constitue un défi majeur de régulation, selon la CNPD. La Commission luxembourgeoise, comme ses homologues européens au sein de l’European Data Protection Board (EDPB), surveillent les technologies nouvelles et émergentes, ainsi que leur impact potentiel sur les droits fondamentaux et la vie quotidienne des citoyens. L’EDPB a déjà élaboré ou prépare l’élaboration de guidances sur l’utilisation des données biométriques, l’utilisation de la reconnaissance faciale, la blockchain et d’autres technologies dans le cadre de son programme de travail des deux prochaines années. L’adaptation nationale des textes communautaires concernant la protection des données figurent aussi parmi les défis que devra relever la structure luxembourgeoise.