Dans les semaines qui suivront le vote à la Chambre des députés, une autorité de contrôle sera instituée, la Commission nationale pour la protection des données. Celle-ci aura quatre mois pour élaborer un schéma de notification, qui sera communiqué via la presse écrite aux citoyens et aux entreprises.
Ensuite, ceux-ci devront remplir un formulaire indiquant toutes les bases de données à caractère personnel dont ils disposent dans l'exercice de leur profession et la finalité de ce traitement : agendas professionnels, répertoires de clients, listes de fournisseurs etc. Il n'est donc pas nécessaire de préciser le contenu de ces banques de données, mais uniquement leur existence et leur finalité. Cette notification est rendue obligatoire par la nouvelle loi, il suffit d'en informer la Commission nationale.
Il s'agit donc uniquement de régler le traitement, l'usage des données personnelles enregistrées pour veiller à éviter les abus. Après notification, le traitement doit rester le même, sinon il faut une nouvelle démarche.
Un exemple cité par le rapporteur du projet de loi, Patrick Santer (PCS), est celui des cartes de fidélité des grandes surfaces. Celles-ci ont pour but d'enregistrer le montant des achats accumulés pour faire bénéficier le client d'une réduction. Offre certes alléchante, mais les données enregistrées sur la carte peuvent être d'autant plus intéressantes pour le commerçant qu'elles pourront déterminer les goûts du consommateur, ses habitudes alimentaires, savoir s'il a une famille à nourrir, des animaux domestiques, s'il est bricoleur etc. Ces données permettent même de déterminer sa religion, par exemple s'il a l'habitude d'acheter de la viande de porc ou pas.
En pratique, le commerçant devra informer la Commission nationale de l'existence de ces listes de détenteurs de cartes de fidélité et l'usage qu'il en fait d'ailleurs, le client doit avoir reçu cette information avant d'y avoir souscrit. Dès que l'usage en est modifié, que le commerçant souhaite utiliser ces données pour étudier les habitudes des consommateurs par exemple, il devra en informer la Commission nationale et le client, qui doit marquer son accord.
C'est pareil s'il souhaite transmettre ces données à une autre entreprise ou une autre personne qui pourra en faire usage. Sinon, il risque une peine de prison entre huit jours et un an et/ou une amende entre 251 et 125 000 euros. Cette large fourchette de sanctions a été prévue par le législateur pour donner au juge un pouvoir d'appréciation assez vaste selon la proportionnalité du délit.
Le deuxième principe de la loi sera donc l'information obligatoire de la Commission et de la personne concernée. La Commission nationale pourra aussi effectuer des contrôles irréguliers de l'usage des banques de données personnelles.
Pour les données plus sensibles comme la surveillance sur le lieu du travail, les données médicales ou génétiques, une autorisation spéciale de la Commission nationale est nécessaire.
La surveillance sur le lieu du travail avait suscité maintes discussions, surtout qu'une réglementation n'est pas prévue par la directive européenne transposée par la nouvelle loi. La Chambre de commerce et la Chambre de travail craignaient des abus et souhaitaient l'élimination l'article 11 de la loi pour des raisons totalement opposées. L'une craignait une restriction de la liberté d'action des employeurs, tandis que l'autre s'opposait à une aliénation de l'employé soumis à la dictature du Big Brother. Du coup, la Commission parlementaire du Travail et de l'Emploi a élaboré un avis séparé portant uniquement sur cet article-là (voir d'Land du 31 mai 2002), en concluant qu'il fallait légiférer plutôt que de laisser le soin aux juges de trancher au cas par cas.
La surveillance de l'usage des ordinateurs est un sujet d'actualité, d'autant plus que la Cour européenne des droits de l'homme a décidé que la sphère privée s'étendait aussi au lieu du travail. Les patrons n'ont donc en principe pas le droit de lire les messages électroniques de leurs employés.
« Le principe de proportionnalité des mesures prises par l'employeur, est de mise pour protéger le salarié d'une part et permettre au patron de limiter les abus de l'autre, explique Patrick Santer, la loi prévoit notamment un contrôle temporaire des prestations de travail lorsque c'est l'unique moyen possible. L'employeur a par exemple la possibilité d'effectuer un contrôle de l'ordinateur, d'installer des écrans informatiques, s'il souhaite éviter de voir proliférer des virus sur son réseau. Il peut aussi effectuer des contrôles inopinés du courrier électronique sans en lire le contenu ou de l'usage de l'internet, en ayant averti l'employé que ces vérifications auront lieu. » La Commission européenne a d'ailleurs institué un groupe d'experts des États membres chargés d'élaborer des lignes directrices en la matière (1).
Un autre exemple est la caméra de surveillance. Installée dans un magasin, elle est officiellement destinée à dissuader les vols et autres larcins. Toutefois, ces enregistrements ne pourront pas servir à licencier un employé qui a commis une faute, si l'usage de ces données collectées n'a pas été autorisée par la Commission nationale dans ce cas précis et si les employés n'ont pas été informés des véritables intentions de leur employeur.
C'est pareil pour les enregistrements des conversations téléphoniques dans les banques par exemple. Les services qui s'occupent des ordres de bourse des clients peuvent le faire pour en avoir la preuve en cas de litige. Néanmoins, ces enregistrements ne sont pas permis si le client n'est pas au courant et qu'il n'a pas donné son accord.
Le syndicat de la police grand-ducale s'est aussi manifesté au courant de ces dernières semaines, jugeant certaines dispositions de la loi trop contraignantes pour que ses agents puissent enquêter efficacement. Ils jugent certaines procédures trop lourdes et auraient préféré que la loi facilite par exemple l'accès aux communications électroniques et aux services postaux. Le rapporteur du projet de loi, Patrick Santer, précise en revanche, que ce texte-ci n'a pas pour objet d'autoriser ou de défendre certains types d'enquêtes, mais uniquement le traitement des données judiciaires. Il faudrait donc plutôt changer le Code d'instruction criminelle qui en détermine les procédures. Reste encore à fixer les traitements nécessaires à la prévention, à la recherche et à la constatation des infractions pénales dans un règlement grand-ducal.
La Commission parlementaire des Médias et des Communications n'a pas pris en compte les avis de différentes instances qui lui avaient recommandé de renoncer à l'article sur la liberté d'expression, car cette matière fait l'objet d'un projet de loi séparé. « Nous étions forcés de garder cet article dans la loi sur la protection des données, notamment parce que la directive européenne le prévoit ainsi, » explique Patrick Santer.
« Celle-ci considère aussi bien le traitement journalistique que l'expression artistique et littéraire. Le projet de loi sur la liberté d'expression dans la communication de masse ne touche en revanche que les journalistes et les écrivains, donc, nous aurions négligé toute une catégorie : l'expression artistique. »
Les députés ne semblent guère être conscients de la portée du projet de loi sur la liberté d'expression qui, loin de se limiter uniquement aux journalistes et aux écrivains, concerne toute personne qui s'exprime en public.
Le texte initial avait prévu que la Commission nationale ne pourrait intervenir « qu'en présence du président de l'organe représentatif de la presse ou de son délégué, » pour garantir un tant soit peu la protection des sources du journaliste. Ce paragraphe a été tout simplement biffé, parce que le Conseil d'État a estimé que ce serait conférer un pouvoir exorbitant aux organes de la presse, que s'ils n'étaient pas d'accord pour collaborer avec la Commission nationale, celle-ci serait condamnée à l'inaction. La mise en uvre des obligations et des procédures d'interventions devra donc être réglée plus tard Cette fois-ci par le projet de loi sur la liberté d'expression.
La Commission nationale sera composée de trois personnes dont un informaticien et un juriste probablement un magistrat plus toute une administration chargée de la gestion des dossiers. Elle présentera chaque année un rapport qui devra être avisé au préalable par la Commission consultative des droits de l'homme. Sur ce point, les députés sont passés outre l'avis du Conseil d'État craignant pour l'indépendance de la Commission nationale pour la protection des données et estimant qu'« il sera en tout cas difficile de justifier l'intention d'avoir voulu assurer une pareille surveillance critique à l'égard des activités de la Commission nationale ».
(1) www.europa.eu.int/comm/internal_market/fr/ dataprot/wpdocs/index.htm