Si le Règlement général sur la protection des données (RGPD), d’application directe, est en vigueur depuis le 25 mai 2018, et a vocation à constituer un cadre harmonisé au sein de l’Union européenne, ce n’est que le 16 août 2018 qu’a été publiée la nouvelle loi portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (la Loi du 1er août 2018).
Elle abroge la loi du 2 août 2002 qui servait jusqu’alors de cadre juridique en matière de traitements de données personnelles.
La Loi du 1er août 2018 a pour objectif d’une part d’investir la Commission nationale pour la protection des données (CNPD) de missions étendues qui lui sont conférées par le RGPD et de la doter de pouvoirs accrus (partie 1), et de définir le cadre légal des dispositions spécifiques au droit luxembourgeois – et en particulier celles relatives à la surveillance des salariés (partie 2).
Champ de compétence, missions et pouvoirs de la CNPD
La CNPD a été instaurée par la loi du 2 août 2002 et était chargée de contrôler et de vérifier l’application de la loi, d’assurer la gestion des formalités administratives auxquelles les responsables de traitement étaient soumis, et avait le pouvoir de prononcer certaines sanctions administratives. La plupart des formalités administratives auxquelles les responsables de traitement étaient soumis ont été supprimées et en particulier l’obligation générale de notification préalable des traitements de données ainsi que les demandes d’autorisation préalable de certains traitements (transferts de données vers les pays tiers, traitements à des fins de surveillance, et cetera) – ceci afin de se conformer à la nouvelle philosophie du RGPD visant à responsabiliser les responsables de traitements de données.
La Loi du 1er août 2018 étend le champ de compétences de la CNPD aux traitements de données personnelles tombant dans le champ d’application de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données personnelles en matière pénale ainsi qu’en matière de sécurité nationale, à l’exception des traitements de données à caractère personnel effectués par les juridictions.
Cette loi étoffe également les missions de la CNPD, détaillées dans le RGPD et notamment à l’article 57. Une de ses missions principales est de contrôler l’application du RGPD et de veiller à son respect.
Dans ce cadre, la CNPD a notamment une mission de sensibilisation (i) du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement, et (ii) des responsables de traitement et sous-traitants en ce qui concerne les obligations qui leur incombent. La CNPD est également en charge de fournir sur demande à toute personne concernée des informations sur l’exercice de ses droits, de traiter les réclamations introduites par ces mêmes personnes, de traiter les notifications des violations de données, d’effectuer des enquêtes sur l’application du RGPD, de conseiller le parlement et le gouvernement ou d’autres institutions au sujet de mesures législatives ou administratives.
Afin de mettre concrètement en œuvre ces missions, la CNPD a d’ores et déjà mis en ligne sur son site web plusieurs formulaires et outils :
– un formulaire de notification des violations de données – permettant à chaque responsable de traitement de se conformer à son obligation de notifier les violations de données à caractère personnel à la CNPD dans un délai de 72 heures après en avoir pris connaissance si la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ;
– un formulaire de déclaration du délégué à la protection des données (DPO) – chaque responsable de traitement ou sous-traitant doit en effet communiquer à la CNPD les coordonnées du délégué à la protection des données (DPO) s’il en a désigné un ;
– un formulaire de demande de consultation préalable permettant au responsable de traitement d’obtenir un avis de la CNPD sur l’analyse d’impact qu’il a réalisée – chaque responsable de traitement s’il a identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (traitement de données sensibles à grande échelle par exemple), doit mener une analyse d’impact relative à la protection des données ;
– un outil interactif permettant notamment de vérifier le conformité au RGPD et de gérer le registre des traitements ;
– des lignes directrices sur différents sujets et notamment sur les obligations auxquelles le responsable de traitement peut être soumis, la documentation de la conformité, l’analyse d’impact relative à la protection des données, la vidéosurveillance, le délégué à la protection des données, et cetera.
En parallèle, les pouvoirs de la CNPD sont également étendus en application de l’article 58 du RGPD et des articles 12 à 14 de la Loi du 1er août 2018.
La CNPD peut obtenir du responsable de traitement l’accès à toutes les données personnelles traitées et à toutes les informations nécessaires à l’exercice de ses missions. Elle est en mesure de dénoncer toute violation du RGPD aux autorités judiciaires et a elle-même le droit d’ester en justice. Elle peut en outre mener des enquêtes sous la forme d’audits sur la protection des données et a le droit d’obtenir accès à tous les locaux du responsable du traitement. On peut noter que la CNPD avait déjà ces pouvoirs sous l’empire de la loi du 2 août 2002.
L’une des nouvelles prérogatives de la CNPD concerne les pouvoirs de sanctions et la possibilité d’imposer des amendes administratives, telles que prévues à l’article 83 du RGPD, ainsi que des astreintes, alors que jusqu’à présent, la CNPD n’avait pas ce pouvoir. La Loi du 1er août 2018 prévoit cependant que l’État et les communes ne peuvent pas se voir infliger d’amendes administratives ou d’astreintes.
Les violations par le responsable de traitement de ses obligations lui incombant en vertu du RGPD, font l’objet d’amendes pouvant s’élever jusqu’à vingt millions d’euros ou, dans le cas d’une entreprise, jusqu’à quatre pour cent du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Les amendes doivent être dans chaque cas effectives, proportionnées et dissuasives. Le RGPD prévoit qu’il doit être tenu compte de circonstances aggravantes ou atténuantes pour décider s’il y a lieu d’imposer une amende administrative et pour fixer le montant de l’amende.
Ces circonstances concernent plus particulièrement la nature, la gravité et la durée de la violation, si la violation a été commise délibérément ou par négligence, si des mesures ont été pris pour atténuer le dommage subi par les personnes concernées, le degré de responsabilité du responsable de traitement compte tenu des mesures techniques et organisationnelles mises en œuvre, le degré de coopération du responsable de traitement avec la CNPD, les catégories de données personnelles concernées par la violation, ou la manière dont la CNPD a eu connaissance de la violation.
En outre, selon l’article 49 de la Loi du 1er août 2018, la CNPD peut, par voie de décision, infliger au responsable de traitement des astreintes jusqu’à concurrence de cinq pour cent du chiffre d’affaires journalier moyen réalisé au cours de l’exercice social précédent, ou au cours du dernier exercice social clos, par jour de retard à compter de la date qu’il fixe dans sa décision, pour le contraindre à communiquer toute information que la CNPD a demandée, ou à respecter une mesure correctrice que la CNPD a adoptée.
Enfin, outre les amendes et les astreintes, la CNPD dispose de tout un arsenal coercitif qui peut être appliqué en cas de violation du RGPD. La CNPD peut donner des avertissements, rappels à l’ordre, enjoindre le responsable de traitement de se conformer au RGPD, ou de communiquer à une personne concernée une violation de données. Elle peut aussi imposer une limitation temporaire ou définitive, y compris une interdiction de traitement, pour ordonner la rectification ou l’effacement de données personnelles ou la limitation du traitement.
Une exception notable aux pouvoirs de la CNPD concerne certaines professions soumises à une obligation de secret, telles la profession d’avocat, de notaire, de l’audit, qui prévoit que les pouvoirs d’accès aux données personnelles, aux informations et le cas échéant aux locaux du professionnel visé, ne peuvent se faire que dans le cadre des règles régissant leur profession.
On peut encore noter que toute décision de la CNPD qui sanctionnerait un responsable de traitement est susceptible de recours devant le tribunal administratif qui statue comme juge du fond.
Dispositions spécifiques en droit luxembourgeois
Le législateur a choisi de limiter au minimum les particularités du droit luxembourgeois des données personnelles par rapport au RGPD. Au vu des pouvoirs élargis de la CNPD, on peut s’attendre à ce que des précisions quant à l’interprétation et l’application du RGPD seront à l’avenir apportées par la CNPD, voire par les tribunaux administratifs dans le cadre de recours éventuels contre des décisions de la CNPD.
Les dispositions spécifiques ont vocation à s’appliquer uniquement aux responsables de traitement (et aux sous-traitants) établis à Luxembourg.
Les traitements à des fins de journalisme ou d’expression universitaire, artistique ou littéraire
Les dispositions dérogatoires de la loi du 1er août 2018 sont prises afin de se conformer à l’article 85 du RGPD qui prévoit que les États membres concilient, en adoptant des dispositions légales spécifiques, le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire.
Ces dispositions spécifiques – détaillées à l’article 62 de la Loi du 1er août 2018 – ont pour but de ne pas entraver le travail des journalistes et chercheurs en limitant les exigences légales. Ils ne sont par exemple pas soumis aux restrictions des transferts de données vers les pays tiers, ni à l’interdiction de traiter des données sensibles, y inclus des données judiciaires, si ces données ont été rendues publiques par la personne concernée ou sont en rapport direct avec la vie publique de la personne concernée.
De plus, et afin de protéger leurs sources, les journalistes et chercheurs ne sont pas soumis à l’obligation d’information des personnes concernées quant au traitement de données effectué, si cette obligation compromettrait la collecte des données ou une publication en projet. De même, le droit d’accès des personnes concernées à leurs données est différé en ce qu’il ne peut pas porter sur des informations relatives à l’origine des données et qui permettraient d’identifier une source.
Les traitements à des fins de recherche scientifique, historique ou statistique
L’article 89 du RGPD donne la possibilité aux États membres de prévoir des dérogations à certains droits prévus par le RGPD lorsque des données personnelles sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques. Ceci inclut plus particulièrement le domaine de la recherche publique ou privée.
Le législateur luxembourgeois a utilisé cette possibilité en prévoyant aux articles 63 à 65 de la Loi du 1er août 2018 que les personnes concernées pourront ne pas avoir de droit d’accès, de droit de rectification, de droit à la limitation du traitement et de droit d’opposition, à la condition que certaines mesures appropriées additionnelles soient prises par le responsable de traitement.
Ces mesures, définies à l’article 65 de la loi sont obligatoires et incluent la désignation d’un délégué à la protection des données, la réalisation d’une analyse de l’impact des opérations de traitement envisagées sur la protection des données, l’anonymisation ou la pseudonymisation des données effectuée par un tiers de confiance indépendant, ainsi que des mesures techniques et organisationnelles visant à sécuriser les données, telles que le chiffrement des données personnelles.
Traitement de données à des fins de surveillance des salariés
La loi du 1er août 2018 modifie l’article L.261-1 du code du travail qui règlemente les traitements de données effectués par l’employeur à des fins de surveillance dans le cadre des relations de travail.
Ces mesures de surveillance peuvent inclure la vidéosurveillance, la surveillance du courrier électronique, la surveillance de l’utilisation d’Internet, l’enregistrement des conversations téléphoniques des salariés, le contrôle électronique des accès par les salariés, la surveillance électronique des horaires de travail, et cetera.
La modification de cette disposition a fait l’objet d’avis assez tranchés pendant le processus d’examen du projet de loi. Et pour cause, l’idée générale de la mise en œuvre du RGPD et de la nouvelle loi était d’aller vers plus de droits et de garanties pour les personnes concernées, et plus de contraintes pour les responsables de traitements afin de garantir plus efficacement la protection des données personnelles.
Or force est de constater qu’en ce qui concerne les traitements de données à des fins de surveillance, le gouvernement et le législateur luxembourgeois ont fait le choix de libéraliser le régime juridique applicable à la surveillance des salariés, ce qui explique, les positions critiques, non seulement de la Chambre des salariés mais également de la Commission consultative des droits de l’homme à l’égard du texte tel qu’il était présenté, la CNPD de son côté, soutenant la modification apportée.
En effet, l’ancienne version de l’article L.261-1 du code du travail prévoyait cinq cas d’ouverture limitatifs dans lesquels une surveillance des salariés était légitime. Le traitement de données à des fins de surveillance sur le lieu de travail n’était par conséquent possible que s’il était nécessaire :
1. pour les besoins de sécurité et de santé des salariés, ou
2. pour les besoins de protection des biens de l’entreprise, ou
3. pour le contrôle du processus de production portant uniquement sur les machines, ou
4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou
5. dans le cadre d’une organisation de travail selon l’horaire mobile conformément au présent code.
Comme l’a à juste titre relevé la CNPD dans son avis sur le projet de loi, « en prévoyant une liste limitative de finalités légitimes, le législateur a dès lors exclu qu’un employeur puisse mettre en œuvre un traitement de données à des fins de surveillance pour d’autres finalités »1.
Or le nouvel article L.261-1 du Code du travail, prévoit désormais que le traitement de données à des fins de surveillance des salariés ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6 du RGPD, c’est-à-dire les conditions générales de licéité des traitements de données.
Concrètement, cela signifie que l’employeur pourrait fonder un traitement à des fins de surveillance des salariés sur le consentement du salarié, alors que jusqu’à présent il était explicitement prévu à l’article L.261-1 du Code du travail que le consentement de la personne concernée ne rend pas légitime le traitement mis en œuvre par l’employeur – et que par ailleurs il est admis que le consentement du salarié n’est pas considéré comme libre et éclairé du fait du lien de subordination lié au contrat de travail2.
Cela signifie aussi que l’employeur peut désormais fonder un traitement à des fins de surveillance des salariés s’il considère que le traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit, condition de licéité qui reste vague et sujette à interprétation, même si cette condition suppose la mise en balance des intérêts respectifs du responsable du traitement de données et de la personne concernée.
La CNPD a soutenu cette modification, parce qu’elle considérait que l’ancien article L.261-1 du code du travail était contraire à la jurisprudence de la Cour de Justice de l’Union européenne, et contraire au RGPD car il enlève à l’employeur la possibilité de légitimer un traitement à des fins de surveillance sur le lieu de travail sur la base de ses intérêts légitimes, et qu’il modifie la portée de l’un des principes de l’article 6 du RGPD3.
En revanche, la Commission consultative des droits de l’homme et la Chambre des salariés ont considéré dans leurs avis sur le projet de loi que « le texte de loi proposé offre en fait moins de protection aux salariés que l’article L-261-1 du Code du travail actuel » et recommandaient « de revenir à une liste limitative de finalités autorisées dans le cadre de relations de travail »4.
Par ailleurs, et afin de compenser la suppression de l’autorisation préalable qui était nécessaire pour mettre en place un traitement à des fins de surveillance dans le cadre des relations de travail, le législateur a prévu un mécanisme selon lequel l’employeur doit informer préalablement à la mise en œuvre du traitement le comité mixte, ou à défaut la délégation du personnel ou à défaut encore l’Inspection du travail et des mines. Cette information doit notamment contenir une description détaillée de la finalité du traitement, ainsi que les modalités de mise en œuvre du système de surveillance, et un engagement formel de l’employeur de ne pas détourner les finalités du traitement.
En outre, dans les quinze jours suivant l’information préalable, la délégation du personnel, ou à défaut les salariés concernés, peuvent soumettre une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié à la CNPD qui doit rendre son avis dans le mois de la saisine. La demande d’avis a en outre un effet suspensif du projet de surveillance pendant ce délai. Il n’est cependant pas précisé si cet avis de la CNPD a un effet contraignant sur la mise en place du système ou s’il est simplement consultatif, ce qui rendrait son utilité toute relative. Le Conseil d’État estime pour sa part que cet avis préalable équivaut en réalité à une autorisation5.
En conclusion, si la volonté du législateur de limiter les spécificités nationales par rapport au RGPD au minimum, afin de se conformer à l’objectif d’harmonisation du cadre juridique de la protection des données au sein de l’Union européenne semble atteint, il sera intéressant de voir si, et dans quelle mesure, la CNPD, voire les juridictions, useront de leurs pouvoirs d’interprétation du RGPD, dont certaines dispositions restent assez vagues et à l’appréciation de ceux qui doivent les appliquer et s’y conformer.