LUXEMBOURG
LJ

Deux ans après l‘entrée en vigueur du Règlement Général sur la Protection des Données: 983 réclamations de particuliers - zéro amende jusqu‘ici

Voici près de deux ans que le règlement général sur la protection des données est entré en vigueur au niveau européen. Le député socialiste Mars di Bartolomeo vient de rebondir sur une étude d’un cabinet d’avocats faisant état de plus de 545 notifications de violation du cadre RGPD au Luxembourg jusqu’ici, mais de zéro sanctions, pour demander un état des lieux aux ministres d’Etat et de la Justice.

Et Xavier Bettel et Sam Tanson de préciser d’abord que les chiffres mentionnés dans l’étude du cabinet d’avocats DLA Piper concernent les notifications des violations des données que la Commission Nationale pour la Protection des Données reçoit des responsables de traitement. Il ne s’agit donc pas de réclamations émanant des personnes concernées.

En effet, depuis le 25 mai 2018, les responsables de traitement des données doivent notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Quant aux réclamations adressées par des particuliers, la CNPD en a enregistré 983 entre le 25 mai 2018 et le 31 décembre 2019. 665 personnes ont directement fait appel aux services de la CNPD pour déposer leur réclamation. Aux réclamations au niveau national, il faut en ajouter 318 à travers le système européen de coopération. A noter que plus d’un quart des réclamations (26%) a été motivé par le non-respect du droit d’accès par les responsables du traitement ce qui veut dire que ces derniers ont refusé aux citoyens d’accéder à leurs données, ignoré leurs requêtes ou ne leur ont pas donné assez de renseignements par rapport aux obligations légales à respecter en matière de droit à l’information et d’accès. 20% des plaintes concernent des demandes d’effacement ou de rectification de données auxquelles les suites souhaitées n’avaient pas été réservées. Dans 11% des cas, les plaignants ont demandé à la CNPD de vérifier la licéité de certaines pratiques administratives ou commerciales, comme par exemple la publication des données à caractère personnel en ligne ou encore la prise de photos à l’insu de la personne concernée. Dans 10% des cas, les réclamations concernaient le droit d’opposition à la prospection commerciale ou politique. Enfin, 6% des réclamations concernent la transmission non autorisée de données à des tiers.

Un volet «réactif» et un volet «proactif»

L’approche de la CNPD serait en double: un volet «réactif» sur base des réclamations, mais aussi un volet «proactif». Des enquêtes non-annoncées sont ainsi réalisées dans des organisations sélectionnés sur base d’un échantillonnage. 45 de ces enquêtes ont été réalisées depuis fin mai 2018, la majorité ayant eu pour objet de vérifier la conformité des mesures de surveillance mises en œuvre par un responsable de traitement, notamment par la mise en place de caméras de vidéosurveillance et d’outils de géolocalisation. En plus, la CNPD a lancé 34 audits. 25 audits sont du type «proactif» et sont conduits dans le cadre de la vérification des dispositions relatives aux délégués à la protection des données. Parallèlement aux audits DPO, 9 audits du type réactif ont été ouverts suite à la détection d’une difficulté dans le cadre de réclamations.

Résultat des courses: Entre le 25 mai 2018 et le 31 décembre 2019, 83 réclamations nationales ont conduit à l’adoption de mesures correctrices. Il s’agit selon les ministres des cas où la CNPD a ordonné au responsable du traitement de mettre en place des mesures pour se conformer au RGPD. En plus des réclamations introduites au niveau national, s’ajoutent à travers le système européen de coopération encore 36 réclamations qui ont été clôturées par des mesures correctrices.

A noter que selon le RGPD, les violations par le responsable du traitement du RGPO peuvent faire l’objet d’amendes pouvant s’élever jusqu’à vingt millions d’euros ou jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Mais le règlement exige aussi que que les sanctions soient «effectives, proportionnées et dissuasives» , c’est-à-dire que des critères comme la taille de l’entreprise, la gravité des faits, l’ampleur de la violation, des dommages ou encore du nombre de personnes touchées sont pris en compte.

Aucun dossier d’enquête examiné par la commission restreinte du CNPD jusqu’à présent n’aurait présenté jusqu’ici des violations dont la gravité aurait justifié le prononcé d’une amende administrative. Mais les enquêtes peuvent prendre du temps suivant leur complexité . Et elles peuvent nécessiter une concertation avec des autorités au-delà des frontières.