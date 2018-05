A dix jours de l'entrée en vigueur du nouveau règlement européen, la Commission nationale pour la protection des données se retrouve au cœur de toutes les attentions. Pourtant, le 25 mai, aucune guillotine ne tombera. Sa présidente, Tine Larsen, invite le consommateur, à exiger des sociétés qu'elles respectent les règles du jeu.

Tine Larsen: «C'est au consommateur d'être exigeant»

Thierry LABRO A dix jours de l'entrée en vigueur du nouveau règlement européen, la Commission nationale pour la protection des données se retrouve au cœur de toutes les attentions. Pourtant, le 25 mai, aucune guillotine ne tombera. Sa présidente, Tine Larsen, invite le consommateur, à exiger des sociétés qu'elles respectent les règles du jeu.

Mme Larsen, de nombreux médias évaluent en pourcentages le degré de préparation des entreprises et des institutions. Où en est-on au Luxembourg?

Nous n'avons pas de sondage sur le degré de préparation. Nous avons fait le tour de toutes les institutions, des chambres professionnelles, de la Chambre de commerce ou des fédérations, le Syvicol, l'ABBL, pour sensibiliser tous les acteurs à ce nouveau règlement. On voit émerger des acteurs dans le domaine du conseil, des spécialistes, des avocats. Le Luxembourg, hub digital, a un bon niveau de préparation! Les principes ne sont pas vraiment nouveaux. La directive européenne de 1995 transposée en droit luxembourgeois en 2002, contenait déjà l'architecture des principes...

Est-ce que vous ressentez quand même des inquiétudes, de l'intérêt?

Depuis que le règlement commence à être médiatisé, des entreprises nous contactent pour se mettre en conformité avec les déclarations ou notifications, demandes d'autorisation, prévues depuis 2002...

...comme de mauvais élèves qui se dépêchent pour éviter une mauvaise note?

Non. Vous savez, en 2002, la digitalisation n'était pas très développée dans beaucoup d'entreprises. Prenez les caméras. Autrefois seulement utilisées dans des cas particuliers, on en a maintenant dans le moindre kebab qui veut surveiller le distributeur de boissons qui se trouve collé au bâtiment... La géolocalisation des voitures, un marché en plein boom, pour mieux gérer sa flotte de voitures... et accessoirement surveiller ses employés, change aussi le paysage...

Vous parliez du secteur du conseil en plein développement et en même temps, vous dites régulièrement que l'offre n'est pas toujours à la hauteur...

La CNPD n'a pas à juger de la qualité de ces experts. Chaque professionnel doit se renseigner, demander aux chambres professionnelles ou fédérations, recueillir des feed-back auprès de collègues... Il n'y aura pas de certification de ces consultants au Luxembourg!



Donner un coût de la mise en conformité avec le GDPR ne doit pas être possible non plus. Tout dépend de la situation de l'entreprise.

Tout dépend de l'entreprise... et du risque qu'elle veut prendre. Le règlement a deux objectifs majeurs: rendre le contrôle de ses données au citoyen et rendre possible la libre circulation des données. Dans les deux cas, il faut construire la confiance avec le consommateur. Ceux qui pensent pouvoir s'en affranchir se trompent! La confiance sera un avantage concurrentiel...



Vraiment? Mais si je demande à une société si elle a des données sur moi et ce qu'elle détient et qu'elle me répond «rien» ou pas grand-chose, que peut-il se passer après? Rien?

Si vous n'êtes pas satisfait, vous pouvez vous adresser à l'autorité de contrôle, à nous. On s'adressera à la société pour lui demander de s'exécuter. Vous pourriez aussi contester la réponse devant le tribunal administratif ou au tribunal civil. Les sanctions existent et sont dissuasives.

A condition que je réunisse des preuves, non? La CNPD ne va pas faire le travail à ma place?

Oui, à condition d'avoir des éléments tangibles qui semblent montrer que la société n'est pas sincère! Ce sera difficile d'avoir des preuves. La CNPD met en place une cellule d'investigation avec des auditeurs très expérimentés. Pensez à Max Schrems (qui a gagné contre Facebook pour l'effacement de ses données, ndlr)! Je suis sûr que nous allons avoir d'autres Max Schrems! Je l'espère. Il y en aura d'autres. C'est cette pression-là, cette question de la réputation qui jouera un rôle-clé. Dans un cas, avec Google, nous avons obtenu que nos demandes justifiées soient suivies d'effets. La plupart des sociétés veulent coopérer.



Vu l'énorme chantier auquel la CNPD doit faire face, avez-vous assez de ressources humaines?

Nous avons recruté douze collaborateurs en quelques mois. C'est beaucoup parce qu'il faut les intégrer, qu'ils comprennent notre travail, la nature de notre institution. Grandir trop vite n'aurait aucun sens. Et rapporté au nombre d'habitants, le Luxembourg est plutôt bien doté. En 2021, nous devrions être 43 à 55. Il reste une question à régler avec le gouvernement, celle des moyens utiles à la CNPD pour la loi de transposition police-justice et son article 17. Si nous sommes désignés «autorité de contrôle», nous devrons avoir les moyens correspondants.

Vidéo-surveillance: le salarié protégé Le règlement européen définit un cadre par défaut pour tous les Etats membres. Ils peuvent aller plus loin s'ils le veulent. Le gouvernement présentera cette semaine deux amendements au code du travail qui renforcent les droits des salariés en cas de surveillance-vidéo. Jusqu'ici, l'entreprise devait avoir l'accord de la CNPD. Désormais, après l'accord préalable, et en dehors des cas où la vidéo-surveillance s'impose, les salariés ou leurs représentants pourront demander à la CNPD si tout le dispositif est conforme avec le GDPR. Même le consentement explicite des salariés ne rend pas le traitement des données légitimes. Ils pourront aussi introduire une réclamation qui ne pourra être ni un motif grave, ni un motif légitime de licenciement.

Est-ce que le Luxembourg pourrait devenir le centre européen de la protection des données?

Nous pourrions devenir un hub pour la protection des consommateurs. Il faudra le placer dans une collaboration avec les autres autorités de contrôle en Europe mais nous travaillons dans plusieurs langues, nous sommes ouverts au dialogue, nous sommes à la porte de Bruxelles, présents dans tous les groupes de travail autour de tous ces sujets. La présence des multinationales au Luxembourg nous donne une certaine habitude...

D'ailleurs nous pourrions dire un mot des «clauses d'entreprises contraignantes»...

Des groupes comme Paypal, Microsoft ou Rakuten ont en effet signé des clauses d'entreprises contraignantes avec nous...

C'est quoi?

Des manuels de sociétés qui organisent la protection des données, en interne et vis-à-vis de l'extérieur en indiquant toutes les règles, toutes les procédures qu'ils suivent, y compris et surtout quand ils transfèrent des données à des pays tiers... Certains grands acteurs se réunissent pour adopter ensemble un code de conduite.

Les données pourront être stockées ailleurs qu'en Europe?

Les responsables de traitement et les sous-traitants doivent respecter les règles du chapitre 5 du RGPD relatives aux transferts de données à caractère personnel vers des pays tiers ou à des organismes internationales. Le transfert doit dès lors présenter des garanties qui sont fournies soit par une décision d’adéquation que la Commission a émise à l’égard d’un pays tiers, se faire moyennant des garanties appropriées (art. 46), des règles d’entreprises contraignantes ou sur base d’une dérogation prévue à l’article 49. Le RGPD prévoit aussi que des codes de conduite ou des certifications peuvent conférer des garanties appropriées pour effectuer un transfert. En tout cas, les transferts doivent toujours respecter les règles de la sous-traitance.

Mme Reding et quelques autres se plaignent publiquement que des sociétés ont des stratégies d'évitement du règlement en vous obligeant à accepter leurs conditions sous peine de ne plus avoir accès à leur service ou à une partie du service. Ce n'est pas l'esprit du texte.

Ce n'est pas faux! Mais c'est aussi au consommateur de reprendre le contrôle, d'utiliser ce droit comme il utilise son bulletin de vote pour décider de l'avenir politique de son pays, de se renseigner! La responsabilité de l'utilisateur n'est pas de tout signer sans rien lire des conditions d'utilisation. Là, très clairement, nous avons un problème d'éducation. Nous devrons prendre le problème très tôt, dès l'école...

Il existe des secteurs d'activité, comme l'assurance, par exemple, et bientôt la santé, où les fournisseurs de service monnayent les données contre une baisse du prix des services. C'est imparable!

Oui mais là encore, c'est une question d'équilibre. D'accord, les jeunes conducteurs peuvent avoir de meilleurs tarifs mais les données qu'ils cèdent les obligent à rouler avec prudence...

Est-ce qu'il existe encore des zones de flou dans le règlement avec les autorités politiques?

Les domaines comme la santé et la recherche, l'archivage et donc les traitements ultérieurs ou encore le droit du travail, posent un certain nombre de questions auxquelles il n'est pas forcément possible de répondre tout de suite. De toute manière, il y aura une phase d'apprentissage, y compris pour la CNPD. Les cas concrets formeront la ligne à suivre.