Avec l'accroissement des échanges de données personnelles à travers les frontières, il est nécessaire d'assurer la protection effective des droits de l'homme et des libertés fondamentales, et en particulier du droit à la vie privée. Le 14 avril 2010, Gérard Lommel, président de la Commission nationale pour la protection des données (CNPD), a abordé, dans le cadre du cycle de conférences des "Midis de l'Europe" organisé par le Bureau d'information du Parlement européen à Luxembourg, la Représentation de la Commission européenne au Luxembourg, le Mouvement Européen Luxembourg et le Centre européen des consommateurs, le thème de la protection et de l’accès à des données à caractère personnel. L’expert a apporté des éléments de réponse aux questions de la vérification, de la modification, du contrôle et de la suppression des données personnelles. Par ailleurs, il a dressé le cadre légal du traitement des données à caractère personnel tant au niveau européen que national, et il a présenté les activités de la CNPD.

Le cadre légal du traitement des données à caractère personnel

Gérard Lommel a expliqué dans son intervention que la protection des données est née il y a 30 ans dans le cadre du Conseil de l’Europe. Afin de garantir à tout individu, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée à l’égard du traitement automatisé des données à caractère personnel le concernant, le Conseil de l'Europe a en effet élaboré la "Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel" qui a été ouverte à la signature le 28 janvier 1981. A l'heure actuelle, elle reste dans ce domaine le seul instrument juridique contraignant sur le plan international, à vocation universelle. "A ce moment, on avait surtout peur de l’Etat en tant que Big Brother qui pourrait surveiller les citoyens via les nouvelles techniques informatiques", a expliqué Gérard Lommel, "et on avait le souci de prévenir des abus de pouvoir".

L’article 8 de la Charte des droits fondamentaux, adoptée le 7 décembre 2000 par l’Union européenne et contraignante depuis l’entrée en vigueur du traité de Lisbonne le 1er décembre 2010, stipule quant à lui "que toute personne a droit à la protection des données à caractère personnel la concernant" et que "le respect de ces règles est soumis au contrôle d'une autorité indépendante", à savoir la CNPD pour le Luxembourg.

La directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, pour sa part, énonce des critères déterminés selon lesquels les données à caractère personnel sont accessibles. Il s’agit notamment du traitement loyal et licite des données, des finalités déterminées, explicites et légitimes de la collecte des données qui ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités. Par ailleurs, les données doivent être adéquates, pertinentes, non excessives, exactes et, si nécessaire, mises à jour. Selon Gérard Lommel, le principe de transparence doit également être respecté afin de permettre aux individus de contrôler leurs propres données. "L’objectif de cette directive était de créer un climat de confiance dans l’ère numérique", a-t-il expliqué.

La loi luxembourgeoise du 2 août 2002 a mis en place la CNPD en tant qu’autorité indépendante qui est chargée de contrôler et de vérifier la légalité des traitements des données à caractère personnel et doit assurer le respect des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel. La CNPD donne des autorisations préalables pour le traitement de données à des fins historiques, statistiques ou scientifiques, le traitement concernant le crédit et la solvabilité des personnes concernées, ainsi que le traitement de données biométriques ou génétiques. Selon Gérard Lommel, la loi luxembourgeoise est très bonne dans la mesure où elle protège les employés de la surveillance par leur employeur. L’utilisation de données à des fins autres que celles pour lesquelles elles ont été collectées ne peut par ailleurs être effectuée que moyennant le consentement préalable de la personne concernée. Les personnes concernées ont par ailleurs le droit d’accès à leurs données.

Les activités de la CNPD

Concernant les activités de la CNPD, Gérard Lommel a expliqué qu’elle a reçu depuis sa création un total de 13 000 notifications et qu’elle a délivré 3 000 autorisations, dont 2 000 pour des installations de vidéosurveillance. La CNPD s’occupe par ailleurs de cas concrets de surveillance des communications téléphoniques ou d’internet des employés par leurs employeurs, de la géolocalisation via GPS des flottes d’entreprises, de traitement de données sensibles ou de santé (comme le suivi de toxicomanes) ou de traitement de données biométriques.

D’autres cas concrets dans le cadre desquels la CNPD a mené des négociations afin de garantir au maximum la protection des données privées sont le projet de loi sur l’accès de la police à des fichiers des administrations publiques, l’enregistrement électronique des repas pris dans des cantines scolaires, l’enquête sur les loyers dans la Ville de Luxembourg, ou encore les photos des rues et des maisons prises par "Google Street View" qui met ensuite les images sur son site web.

Selon Gérard Lommel, après le 11 septembre 2001, les pouvoirs publics luxembourgeois ont instauré des systèmes nouveaux qui contrôlent les citoyens en vue de limiter le risque terroriste. Depuis, les données de communications électroniques sont conservées (directive 2006/24/CE) et il y a l’accès des services de sécurité américains aux données relatives à toutes les transactions financières mondiales, aux fichiers des instituts de cartes de crédit. Le Parlement européen a cependant remis en question ce système en rejetant l’accord SWIFT le 11 février 2010. La Commission européenne doit renégocier un nouvel accord avec le gouvernement des Etats-Unis qui est en accord avec la législation européenne sur la protection des données.

Gérard Lommel a ensuite mis en garde contre les nouvelles techniques qui permettent de plus en plus de surveiller les individus. Google, Youtube, Twitter, Facebook, les chats et les blogs présentent de plus en plus de dangers, tels que des virus, des chevaux de Troie, des moyens d’intrusion, des vols de données, le traçage, le cyberharcèlement, le vidéolynchage… Par ailleurs, les employeurs consultent ces sites afin de se faire une image des personnes qui postulent dans leur entreprise. Finalement, Gérard Lommel a constaté une prolifération du profilage pour analyser les préférences et comportements individuels et pour anticiper les besoins des consommateurs. La publicité ciblée est ainsi adressée en fonction des préférences et des caractéristiques d’une personnalité décelée sur internet. Le trafic de fichiers sans le consentement des personnes concernées donne aussi lieu à un démarchage téléphonique agressif, voire à l’escroquerie.

En guise de conclusion, Gérard Lommel a plaidé pour des règles contraignantes nécessaires afin de faire respecter sur internet le droit à l’oubli. Pour le président de la CNPD, le traitement des données doit se faire dans des limites bien définies et équilibrées. Il pense aussi que la CNPD, qui a pour l’instant uniquement le droit de donner des autorisations préalables et de saisir la justice dans l’intérêt de la protection des données, devrait avoir davantage de possibilités de prendre des sanctions.