La Commission nationale pour la protection des données (CNPD) a présenté le 27 mai 2014 son rapport d’activités 2013 à la presse. En 2013, la CNPD a reçu 177 plaintes. Il s’agit d’"un nombre record", selon le rapport, et d’une augmentation de 33 % par rapport à 2012 ce qui témoigne "d’une sensibilité croissante" des citoyens au respect de la vie privée. 69 % des plaintes proviennent d’autres pays membres de l’UE, soit par l’intermédiaire d’une autre autorité de protection de données ou directement par un ressortissant étranger. Ces plaintes sont dues au fait que de nombreuses sociétés internationales (comme Microsoft, Amazon, EBay, Skype ou PayPal) ont établi leur siège européen au Luxembourg et que pour celles-ci  "la CNPD est l’autorité compétente pour assurer le respect de la législation nationale en matière de protection de données", explique le rapport. Dans 62 % des cas, ces plaintes visaient des entreprises offrant des services sur Internet.

Dans un quart des plaintes, il s’agit d’une demande d’effacement ou de rectification des données, comme par exemple des demandes de clôture de compte auprès de commerces en ligne ou des données bancaires. Dans 19 % des cas, la CNPD a été sollicitée pour vérifier la licéité de certaines pratiques administratives ou commerciales, comme par exemple, la distribution par une commune d’une brochure avec des informations personnelles (noms et adresses) des résidents. 16 % des plaignants se sont vus refuser l’accès à leurs données, notamment lors de fermetures ou suspension de comptes clients.  Dans 15 % des cas, l’objet des plaintes était la transmission de données à des tiers non-autorisés, comme l’envoi de courriels confidentiels de façon collective ou la publication de photos de voitures mal stationnées sur Facebook sur lesquelles les plaques d’immatriculation étaient encore visibles. Dans 9 % des cas, l’objet de la plainte était la vidéosurveillance.

L’ombre de l’affaire NSA

Un grand dossier de 2013 était une plainte déposée en juin contre Skype et Microsoft, qui étaient soupçonnés d’avoir ouvert leurs serveurs informatiques à l’agence de renseignement américaine NSA dans le cadre de l’affaire Prism. La CNPD a conclu fin novembre 2013 "qu’il n’y pas d’élément laissant à penser qu’il y ait eu une initiative active ou un accès consciemment donné aux autorités des services secrets américains ou d’autres pays pour les données des utilisateurs européens de Skype", selon Gérard Lommel, président de la CNPD.

Un des buts affichés de la CNPD est de consolider sa crédibilité internationale. "Certains pays ne cessent de penser qu’un pays comme l’Irlande ou le Luxembourg aurait des visées pour faciliter l’établissement de grandes multinationales, en leur rendant la vie plus facile sur le plan de la surveillance de la protection des données, mais ce n’est pas notre but. Et ce n’est pas ainsi que nous sommes connus des groupes de travail européens", estime Gérard Lommel, insistant sur le fait qu’il a été nommé fin février vice-président du groupe Article 29 qui rassemble toutes les autorités européennes chargées de la protection des données. "Nous sommes rigoureux sur les principes", poursuit-il, tout en concédant que la CNPD est "plus accessible, plus accentuée sur le dialogue avec les entreprises". 

La réforme européenne de la protection des données attendue "avec impatience"

La CNPD attend, selon Gérard Lommel, "avec impatience" le règlement européen qui fait partie du projet de réforme sur la protection des données. Elle a été votée par le Parlement européen le 12 mars 2014, mais doit encore être approuvée par le Conseil.  "Il aboutira à dépoussiérer les règles et les formalités de les appliquer dans le droit actuel, le rendant moins bureaucratique et de mettre sur les épaules des entreprises et organismes publics une plus grande responsabilité ("accountability") – ceux qui collectent des données de citoyens doivent rendre des comptes et se comporter de façon responsable", a noté Gérard Lommel. Il estime que le règlement "renforcera le rôle des autorités de protection de données", et ce en conférant à toutes les autorités des 28 Etats membres "les mêmes pouvoirs pour faire des enquêtes et appliquer des sanctions".

Les moyens d’agir de la CNPD : déficits et anticipations

Dans ce contexte, Gérard Lommel a déploré que la CNPD ait  "moins de moyens de sanctions que d’autres pays", notamment en matière de sanctions financières. Pourtant, la loi luxembourgeoise n’est pas dépourvue de moyens d’intervention, a-t-il précisé. "Nous avons le moyen de prendre des mesures immédiates, notamment d’interdire un traitement de données, partiellement ou entièrement" ou encore des mises en demeure ou des avertissements. Une mesure toutefois "rare" et suspendue à la possibilité de recours au tribunal administratif. 

Gérard Lommel s’est par ailleurs dit "fier" d’avoir "anticipé la mise en vigueur du règlement européen, en nous emparant d’un outil" du PIA (Private impact assessment), de l’évaluation de l’impact sur la vie privée. La CNPD accompagne Luxmetering, un groupement d’intérêt économique de sept gestionnaires de réseau d’électricité et de gaz, dans la mise en place de compteurs intelligents, prévue en 2016, après avoir élaboré des recommandations pour trouver le "juste équilibre" entre l’économie d’énergie et la protection des données, afin d’éviter "qu’un système collecte trop de données qui permet de savoir trop sur un ménage spécifique et que l’accès à ces données soit limité». 

La CNPD appelle également le gouvernement à renforcer ses effectifs, notamment à cause des grands dossiers qu’elle traite, comme par exemple les demandes de vérification de Microsoft et Skype en 2013, et qui la place "dans la vitrine internationale", selon Lommel.

La CNPD a par ailleurs reçu 833 demandes d’autorisation en 2013 (contre 706 en 2012), également un nombre record depuis sa création en 2003, dont 70 % concerne l’exploitation de caméras de surveillance, notamment sur le lieu du travail. En vertu de la loi luxembourgeoise selon laquelle tout traitement de données à caractère personnel, sauf les traitements les plus courants, doit être notifié à la CNPD, près de 20.713 traitements ont été déclarés depuis 2003, soit 1.072 en 2013.  La CNPD a par ailleurs effectué 26 contrôles et investigations en 2013 et reçu 2077 demandes de renseignement, notamment de la part d’entreprises souhaitant se mettre en conformité avec la loi.

La CNPD a en outre émis 10 avis législatifs en 2013 qui concernent entre autre l’organisation du Service de Renseignement de l’Etat ou encore le registre national du cancer. Dans un avis sur la transposition d’une directive européenne concernant l’échange transfrontalier d’informations relatives aux infractions en matière de sécurité routière, la CNPD a constaté un "manque de lisibilité" et des "besoins d’amélioration". Elle critique "l’absence d’un texte spécifique de transposition en droit luxembourgeois", ayant pour effet une "dispersion" de dispositions de protection de données applicables en matière pénale dans 20 différents textes légaux qui "ne sont pas de nature à favoriser ou à faciliter l’exercice effectif des droits des personnes concernées".