«Protéger ses données n’est pas une punition»

Tine Larsen, présidente de la CNPD

Par Florence Thibaut

Ce mercredi 28 janvier célèbre la protection des données à caractère personnel. Enjeu phare de l’économie numérique, de la digitalisation de l’information et du désormais célèbre big data, le sujet repousse ou effraye parfois citoyens et entreprises. La CNPD a profité de cette journée pour organiser une conférence dédiée au nouveau projet de règlement européen attendu pour 2016 et perçu comme un bouleversement du cadre légal.

Neuvième édition de la journée européenne de la protection des données, l’événement entend insister sur l’importance de les tracer et de les maîtriser, quel que soit l’endroit où on se trouve. Non choisie au hasard, cette date correspond à l’anniversaire de l'ouverture à la signature de la Convention 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, le document de référence en Europe et au-delà depuis plus de 30 ans.

«Organiser une journée internationale sur le sujet est plus que jamais l’occasion de rappeller que c’est un enjeu qui nous concerne tous, consommateurs, acteurs privés ou organisations publiques, et qui ne fera qu’augmenter», introduit Tine Larsen, présidente de la CNPD. Des questions comme la portabilité des données ou l’oubli numérique s’inscrivent en filigrane.

Nouvelle philosophie

Très sensible et vivement discuté au parlement européen, le projet de règlement va venir modifier durablement l’environnement légal de la protection des données en Europe, et a fortiori au Luxembourg. «On s’attend à des changements pour tous les acteurs, y compris la CNPD, précise Tine Larsen. La loi actuelle manque de dents pour pouvoir mordre. Ce projet de règlement va rendre la surveillance plus efficace et les organes officiels plus compétents.» Épais de plus de 200 pages, le texte a déjà subi 4.000 amendements en tout. Une certitude: la responsabilité des entreprises va augmenter. Elles ne pourront plus ne pas intégrer la protection des données à leur arsenal légal. La fonction accréditée de «data protection officer» sera notamment obligatoire pour les entreprises d’une certaine taille.

Avant d’obtenir un consensus autour des propositions, de nombreuses questions doivent encore être débattues, notamment dans un contexte d’explosion des données en ligne et d’augmentation de la cybercriminalité. Et Cédric Nédélec, chargé de protection des données chez PwC, d’expliquer: «La loi de 95 en vigueur au Luxembourg était une belle mariée, mais n’est plus à jour. La situation a bien changé. On n’est plus au temps du minitel. La nature et le volume de données ne sont plus du tout comparables. Une actualisation de la loi était plus que nécessaire pour tenir compte des avancées technologiques.»

D’une approche a posteriori, il faudra passer à une démarche plus transversale, plus proche d’une méthode d’analyse des risques. «Certains principes existants comme le consentement explicite ou la notion de légitimité vont être renforcés. C’est une toute nouvelle gouvernance qu’il faudra mettre en place. Les sanctions seront également rehaussées. La finalité: donner de la confiance.»

La présidence luxembourgeoise à venir pourrait permettre d’avancer sérieusement dans ce domaine. «La Commission a déjà souhaité clôturer les discussions en 2014, mais n’a pas réussi. Trouver un dénominateur commun à 28 sur un sujet aussi sensible prend beaucoup de temps. Je pense que le Grand-Duché a une carte à jouer. Il peut jouer un rôle de pionnier, notamment grâce à son programme Digital Lëtzebuerg», appuie Tine Larsen.

Surveillance en pleine évolution

Instituée par la loi du 2 août 2002, la Commission nationale pour la protection des données est l’interlocuteur de référence au Luxembourg pour toutes les plaintes des consommateurs ou demandes de conformité des entreprises. Principalement administrative, cette autorité indépendante emploie à présent une équipe de 16 personnes. «En un peu plus de 10 ans, nous avons vu notre charge de travail croître. En 2013, par exemple, nous avons reçu 2.077 demandes de renseignement, ce qui correspond à une augmentation de 22% par rapport à 2012», poursuit la présidente de la CNPD. Toujours pour la même année, 26 investigations ont été menées, 1.072 notifications et 117 plaintes ont été reçues.

Avant tout chargée de vérifier la légalité des fichiers, elle doit assurer en parallèle le respect des libertés et droits fondamentaux des personnes physiques, notamment la protection de leur vie privée. Le nouveau règlement en préparation pourrait lui permettre de jouer un rôle d’investigation plus en amont. Son collège est aujourd’hui formé par la présidente, Thierry Lallemang  et Georges Wantz. Et Tine Larsen de partager: «Mon ambition lors de mon mandat est de rendre notre commission plus visible auprès des propriétaires de données personnelles, qu’ils sachent qu’on existe et qu’il y a des recours potentiels en cas de violation. Nous allons notamment nouer de nouveaux partenariats et augmenter notre volet conseil. Nous ne voulons pas seulement jouer le rôle de l’organe qui punit.»

Les notifications obligatoires ainsi que les procédures d’autorisation préalables étant amenées à disparaître, la charge administrative qui pèse sur les épaules des équipes devrait être plus légère. «Libérés de certaines obligations, nos collaborateurs pourront être plus proactifs et davantage en contact avec les acteurs privés, même si de nouvelles tâches vont sans doute se rajouter. Au lieu de laisser faire et d’intervenir après, nous allons développer davantage d’accompagnement.» En prime, l’IT et les procédures internes devraient être entièrement modernisées pour permettre à la CNPD d’être prête pour ses nouvelles missions. 

[Photo : CNPD - source : www.paperjam.lu]