Instituée par la loi du 2 août 2002, la CNPD (la Commission nationale pour la protection des données)  est chargée de vérifier la légalité des traitements des données à caractère personnel et d’assurer le respect des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée.

Face à l’essor croissant des flux de données personnelles par voies électroniques (e-mails, SMS, réseaux sociaux, etc.), sa mission s’étend également à assurer le respect des dispositions de la loi modifiée du 30 mai 2005 sur la protection de la vie privée dans le secteur des communications électroniques.

Que ce soit auprès des commerces, des banques, des acteurs du secteur de la santé ou des ministères, l’objectif de la CNPD est de promouvoir au fil des années une véritable culture de la protection des données au Luxembourg. Dès le début, elle a opté pour une approche d’information, de sensibilisation et de responsabilisation des différents acteurs.

Après ses premières années d’existence, elle s’est dégagée de sa fonction purement administrative pour se consacrer davantage à d’autres tâches telles que ses fonctions de consultation, de guidance et de coopération avec les différents acteurs. Elle fut également plus disponible à répondre aux plaintes et aux demandes d’information formulées par les citoyens. Davantage connue qu’à ses débuts, l’autorité de protection des données luxembourgeoise rencontre désormais une oreille attentive auprès du gouvernement, des administrations et des entreprises.

En vue de vérifier le respect des obligations légales, la Commission nationale procède à des contrôles et investigations. Ce domaine va gagner en importance dans les mois à venir. Mais auprès du grand public, sa principale mission reste l’information et la sensibilisation.

Révision du cadre légal européen sur la protection des données

Au niveau européen, la protection des données fait actuellement l’objet d’un important débat visant à moderniser le cadre légal actuel constitué de la directive de 1995 et tenant compte de la mondialisation des flux d’information et du développement des nouvelles technologies et de l’Internet depuis le début des années 2000.

Les propositions de la Commission européenne du 25 janvier 2012 visent à améliorer la protection des données en offrant aux citoyens la possibilité de mieux contrôler ce qui advient de leurs données, en responsabilisant davantage les détenteurs de données, en rendant plus efficace l’exécution des dispositions légales en la matière et en renforçant les pouvoirs des autorités de contrôle.

La révision du cadre légal européen était également au cœur des discussions de la traditionnelle « Spring Conference ». En mai 2012, c’est la CNPD qui a organisé ce rendez-vous qui a réuni tous les délégués des autorités de 38 pays ainsi que les représentants de la Commission européenne, du Conseil de l’Europe et de l’OCDE.

Septième Journée de la Protection des Données

Le Conseil de l’Europe, avec le soutien de la Commission européenne, a proclamé solennellement le 28 janvier de chaque année comme Journée de la Protection des Données. Son but est de sensibiliser les citoyens européens sur l’importance de la protection de leurs données personnelles et du respect de leurs libertés et droits fondamentaux, en particulier de leur vie privée.

Pourquoi le 28 janvier? C’est la date de l’ouverte à la signature de la « Convention 108 » du Conseil de l’Europe (28 janvier 1981). Cette dernière a été le premier instrument international juridiquement contraignant en la matière. Depuis plus de 30 ans, la loi vise à protéger toute personne contre l’utilisation abusive des données qui la concernent et à assurer la transparence quant aux fichiers et traitements des données personnelles.

Les dates clés de la CNPD :

2002:

• Adoption de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
• Assermentation des membres effectifs (Gérard Lommel, Edouard Delosch et Pierre Weimerskirch) de la CNPD.

2003:

• Etablissement du shéma de notification en vue des déclarations des traitements des données à caractère personnel.
• Cas Mister Minit: Suite aux réclamations du syndicat LCGB, la CNPD a jugé disproportionnée la surveillance au moyen de caméra vidéo la société. Ce refus de donner le feu vert à Mister Minit a été validé en décembre 2004 par un jugement du Tribunal administratif. La Cour administrative a confirmé par la suite le jugement du tribunal administratif.

2004:

• Première campagne de sensibilisation avec le lancement de la brochure « Protection des données et vie privée ».

2005:

• Adoption de la loi du 30 mai 2005 sur la protection de la vie privée dans le secteur des communications électroniques.
• 18 octobre 2005: Thierry Lallemang remplace Edouard Delosch en tant que membre effectif de la Commission nationale.
• Contrôle des mesures organisationnelles internes et de sécurité des données pratiquées au Centre Commun de la Sécurité Sociale et de l’Assurance Maladie.
• Première décision en matière de traitement de données biométriques pour la surveillance des accès : La CNPD a décidé de ne pas autoriser le système de contrôle d’accès par l’authentification des personnes au moyen de leur empreinte digitale mis en place dans le domaine thermal de Mondorf.

 2006:

• Publication d’un calendrier avec caricatures en collaboration avec l’Union Luxembourgeoise des Consommateurs (50 000 exemplaires).

2007:

• Adoption de la loi du 27 juillet 2007 (Simplification de la loi du 2 août 2002).
• Autorisation unique pour le contrôle électronique d‘accès et la gestion de l‘horaire mobile.
• Elaboration d’un formulaire électronique pour l’autorisation des vidéosurveillances.
• Mission de vérification de la conformité des traitements de données des opérateurs de téléphonie luxembourgeois à la législation sur la protection des données (2007-2009).

2008:

• Elaboration d’une décision-type qui vise à concilier respect de la vie privée des salariés sur le lieu de travail et intérêt légitime des employeurs.

2009:

• Rôle de chef de file dans l’examen conjoint par les autorités de plusieurs pays européens de la charte « BCR » du groupe eBay.

2010:

• Loi du 24 juillet 2010 (modification de la loi du 30 mai 2005): introduction d’une durée limitée pour la rétention des données qui est de 6 mois au Luxembourg.
• Notification unique simplifiant la déclaration par les communes des fichiers et traitements de données à caractère personnel.

2011:

• 27 janvier 2011: Partenariat avec le Centre Interdisciplinaire pour la Sécurité, la Fiabilité et la Confiance (SnT) de l’Université du Luxembourg.
• Organisation de la conférence “No Privacy Online anymore?”.
• Loi du 28 juillet 2011 (modification de la loi du 30 mai 2005): notifications des violations de sécurité des opérateurs de télécommunications.

2012:

• 25 janvier 2012: La Commission européenne a présenté ses propositions pour réformer le cadre légal règlementant la protection des données dans l’Union européenne.
• 03-04 mai 2012: Organisation de la “Spring Conference 2012”.
• 06 décembre 2012: Déménagement dans le nouveau bâtiment administratif de l’Etat à Esch-Belval.