Les entreprises luxembourgeoises doivent se préparer à la nouvelle législation européenne sur la protection des données personnelles, estime PwC Luxembourg.

La Commission Européenne a entrepris un processus de révision de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce projet s’inscrit pleinement dans l’esprit du Traité de Lisbonne du 1er décembre 2009 qui érige comme principe dans la Charte des droits fondamentaux que « Toute personne a droit à la protection des données […] ». L’enjeu est ici de concilier une meilleure protection du droit des individus aux défis technologiques et à la mondialisation tout en renforçant l’idée d’une Europe harmonisée en vue, notamment, de renforcer la confiance des consommateurs vis-à-vis des entreprises et, en particulier, des services en ligne.

Le projet de la Commission Européenne contient deux volets :
– un règlement définissant un cadre général de l’Union Européenne pour la protection des données et,
– une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Ces propositions vont à présent être transmises au Parlement européen et aux États membres de l’UE (qui se réunissent au sein du Conseil des ministres) pour y être examinées et débattues. Elles entreront en vigueur deux ans après leur adoption.

Les entreprises du Grand-Duché devront donc, tout comme leurs semblables européennes, veiller à assurer de façon continue et en toute transparence la protection des données personnelles qu’elles traitent ; le but étant notamment ici de mettre fin à l’idée que la seule notification d’un traitement à la Commission Nationale pour la Protection des Données suffirait pour en assurer la conformité. A cette fin, la règlementation devrait par exemple exiger, dans le cas où l’accord de la personne concernée par le traitement est requis, que celui-ci soit obtenu de façon expresse. De même, la notion de droit à l’oubli numérique devrait être renforcée ainsi que la protection des données traitées hors de l’Union Européenne, sans oublier l’apparition dans l’arsenal juridique de nouveautés telles que l’obligation de déclarer toute violation grave de données à caractère personnel. Elles devront en outre être en mesure d’assurer le suivi effectif et permanent de cette protection afin de faire face à un contrôle accru des autorités et à des amendes supérieures à celles pratiquées actuellement.

Dans les faits, les formalités relatives au traitement des données à caractère personnel qui s’appliqueront au Luxembourg devraient être plus pragmatiques, voire simplifiées, afin d’assouplir leur mise en œuvre et d’alléger leur poids financier. A l’inverse, le contrôle du suivi du traitement et des moyens utilisés serait renforcé, notamment via la coopération policière. Parallèlement, le rôle de la Commission Nationale pour la Protection des Données s’adapterait en conséquence. Il semble que les acteurs économiques luxembourgeois, du moins ceux qui ne l’ont pas déjà fait, doivent se préparer à mettre en place des moyens techniques et humains adaptés pour garantir le « principe d’accountability » : leur capacité à rendre des comptes sur leur gouvernance en matière de traitement de données à caractère personnel.

Par Vincent Villers, Associé IT Risk et Security Leader et Cédric Nédélec, Chargé de protection des données, PwC Luxembourg