Rapport d’activités 2019 de la Commission nationale pour la protection des données
2019 était la première année complète que la CNPD a travaillé sous l’égide du Règlement général sur la protection des données [1] (RGPD) et des nouvelles lois nationales de 2018 en matière de protection des données [2].
Une activité en hausse
Les nouvelles règles et l’intérêt croissant des particuliers et des professionnels aux enjeux de la protection des données ont conduit à une augmentation des sollicitations de la CNPD.
Tout en restant en-dessous du pic de demandes en 2018, le nombre de sollicitations restait élevé avec 708 demandes de renseignement par écrit en 2019. Alors qu’en 2018, avec l’entrée en application du RGPD, un grand nombre de demandes était en lien avec des questions plus générales relatives à la mise en conformité à la nouvelle législation, les sollicitations sont devenues plus spécifiques, démontrant une plus grande sensibilisation des acteurs en 2019.
Avec 16 avis sur des projets de loi ou règlements grand-ducaux en lien avec la protection des données, la CNPD a participé activement au processus législatif. Un des avis les plus marquants de l’année était relatif au fichier central de la police grand-ducale. La CNPD a par ailleurs pris position concernant notamment la vidéosurveillance des espaces et lieux publics à des fins de sécurité publique (VISUPOL), le recours à la vidéosurveillance par les communes, le registre des bénéficiaires effectifs, les associations sans but lucratif et fondations, les annuaires référentiels d’identification des patients et des prestataires ou encore les modalités et conditions de mise en place du dossier de soins partagé.
Le rapport annuel 2019 comprend par ailleurs une partie spéciale sur les traitements de données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale couvrant la période allant du 20 août 2018 au 31 décembre 2019.
Guidance, sensibilisation et veille sur des sujets variés
La CNPD a poursuivi ses efforts de guidance et de sensibilisation en 2019 avec l’élaboration de lignes directrices sur différents sujets comme les conséquences du Brexit en matière de transferts internationaux de données, les campagnes électorales dans le respect de la protection des données ou encore la conformité au RGPD des caméras de vidéosurveillance mobiles destinées à filmer la voie publique (de type « dashcams »).
L’autorité de contrôle a continué à organiser ses ateliers de travail « DaProLab [3] » qui ont entre autres porté sur la protection des données dans les domaines de la santé, de la recherche scientifique/historique et finances/assurances. À côté des événements qu’elle a organisé elle-même, la Commission nationale a aussi participé à une trentaine de formations, conférences et séminaires pour sensibiliser des publics plus spécialisés aux enjeux de la protection des données.
En outre, la CNPD a commencé à mettre en place une activité de veille technologique et juridique pour suivre des sujets d’innovation comme notamment les nouvelles technologies dans le secteur financier (Fintech), la technologie blockchain et l’intelligence artificielle.
Augmentation des réclamations et une nouvelle procédure d’enquête
Le nombre de réclamations a augmenté considérablement par rapport à l’année précédente, de 450 en 2018 à 625 en 2019. Ces réclamations émanaient de personnes qui ont fait appel aux services de la CNPD lorsqu’elles ont estimé qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits.
En 2019, la CNPD a élaboré un nouveau règlement relatif à la procédure d’enquête qui a été adopté début 2020. D’un côté, il y a les enquêtes non-annoncées avec visite sur site, largement dirigées par les réclamations, et de l’autre côté les enquêtes sous la forme d’un audit.
Le nombre d’enquêtes sur place a augmenté de 12 en 2018 à 33 en 2019. Ces enquêtes concernaient notamment les domaines de la vidéosurveillance et de la géolocalisation.
Les autres enquêtes ont été effectués sous forme d’audit sur la protection des données. En 2019, la CNPD a poursuivi le travail entamé en 2018 concernant la campagne d’audit thématique sur la fonction de délégué à la protection des données (DPD) dans 25 organisations.
526 violations de données depuis l’entrée en application du RGPD
Les responsables de traitement doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
En 2019, 354 violations de données ont été notifiées à la CNPD. Au total, la CNPD a reçu 526 violations de données depuis le 25 mai 2018, soit en moyenne 28 notifications par mois. Comme pour 2018, la principale cause restait l’erreur humaine.
Réorganisation des services et adaptation de l’organigramme de la CNPD
Au cours de l’année 2019, la CNPD a réorganisé ses services et a adapté son organigramme afin de mieux pouvoir assurer ses missions et de faciliter la lisibilité de ses activités.
L’année 2019 était également marquée par la préparation à un changement de locaux. Les travaux de planification ont débuté en été 2018 pour permettre un déménagement de la CNPD dans le nouveau bâtiment NAOS sur le site de Belval dans la commune de Sanem en été 2020.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[2] Loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données et loi du 1er août 2018 relative à la protection des données en matière pénale ainsi qu’en matière de sécurité nationale
[3] CNPD’s Open Data Protection Laboratory
Communiqué par la Commission nationale pour la protection des données (CNPD)