Luxembourg – Comment la CNPD contrôle votre conformité RGPD
Maxime JAILLETConnaissez-vous la Commission Nationale pour la Protection des Données (CNPD) ? Cet organe est chargé de faire respecter le RGPD au sein du Grand Duché de Luxembourg. Il privilégie actuellement l’accompagnement à la répression mais cela pourrait changer. En attendant, c’est pour vous l’occasion d’avancer sur la gestion de vos cookies. On vous dit tout. C’est notre actualité marché du jour.
Qu’est-ce que la Commission Nationale pour la protection des données (CNPD) ?
Le Grand-Duché de Luxembourg a son régulateur en matière de protection des données personnelles. Cette autorité, c’est la Commission Nationale pour la protection des données, ou CNPD.
La CNPD a été instaurée initialement par la loi du 02 août 2002. Ses pouvoirs ont ensuite été étendus à la suite :
- de l’entrée en vigueur du règlement européen RGPD ;
- du vote au Luxembourg d’une loi du 1er août 2018.
Le 22 janvier 2020, la Commission a quant à elle adopté un règlement d’ordre intérieur et un règlement relatif à la procédure d’enquête. Elle dispose par conséquent désormais d’un cadre juridique clair qui lui permettra d’exercer pleinement ses pouvoirs d’investigations.
Quelles sont les missions de la CNPD ? Comme toute autorité de régulation, elle veille à la bonne application de la réglementation. Cela implique :
- de sensibiliser le grand public sur ces questions ;
- de traiter les réclamations relatives à la manière dont les données sont traitées ;
- de réaliser des enquêtes auprès des entreprises ;
- etc.
Pourquoi la CNPD vous fera accélérer sur votre conformité RGPD ?
Désormais, la CNPD dispose des pouvoirs d’investigations et de sanctions qui lui sont nécessaires. Mais les exerce-t-elle ?
Cette année, le Premier ministre, Xavier Bettel (DP) et la la Ministre de la Justice, Sam Tanson (Déi Gréng), en réponse à une question parlementaire du député Mars Di Bartolomeo (LSAP), ont dressé un bilan sur la période allant du 25 mai 2018 au 31 décembre 2019.
- La protection des données est une préoccupation croissante. Le régulateur a enregistré 983 réclamations émanant de personnes dont les données sont traitées.
- 83 réclamations ont donné lieu à des demandes d’actions correctives auprès des entités concernées.
- La CNPD oriente principalement son action sur l’accompagnement des démarches de mise en conformité RGPD et non sur la répression. A ce jour, aucune sanction n’a en effet été émise par le régulateur.
Pourquoi dans ces conditions faut-il accélérer sur la mise en conformité RGPD de vos activités ? Les raisons ne manquent pas.
- Les plaintes émises auprès de la Commission peuvent donner lieu à des enquêtes. De ce point de vue, l’action de contrôle de la CNPD est en partie réactive. Or les réclamations enregistrées ont notamment concerné des droits non respectés (opposition à la prospection commerciale, accès aux données, effacement…). Prendre en compte ces demandes suppose un plan d’action qui impactera de façon transversale et structurante vos activités.
- La CNPD met également en œuvre des contrôles proactifs. En un an et demi, 45 enquêtes non annoncées ont été mises en œuvre. La CNPD est donc susceptible d’intervenir sur des thématiques qu’elle juge prioritaires. Même si le risque de sanction semble pour l’instant en pratique mesuré, des demandes d’actions correctives auront nécessairement un impact sur vos budgets et plannings de développement.
- Sans surprise, la cybersécurité est un enjeu majeur pour la pérennité de vos activités. En 2020, le Cabinet DLA Piper a ainsi relevé 545 notifications de violations de données personnelles au Luxembourg. Aucune de ces notifications n’a cependant donné lieu à une sanction par la CNPD.
- La gestion des cookies déposés via les sites web est une thématique de préoccupation forte pour les régulateurs. Au point que cette année, les cookies ont figuré au programme prioritaire de contrôles en France et en Belgique. A quand le tour au Luxembourg ?
- La pression sur les régulateurs des données s’accroît. Les contrôles ont donc vocation à s’intensifier et les sanctions à gagner en importance. Les amendes prononcées par l’autorité britannique ICO en sont un très bon exemple.
Comment gérer la conformité RGPD de vos cookies ?
L’attitude faiblement répressive de la Commission Nationale pour la Protection des Données – CNPD vous offre une occasion idéale d’avancer sans pression sur votre conformité RGPD.
Il s’agit naturellement de sécuriser vos activités en limitant le risque financier inhérent à une enquête voire une sanction. Mais au-delà, c’est aussi l’occasion rêvée pour vous de basculer dans une logique de marketing choisi.
- Priorisez la mise en conformité RGPD de vos sites web. Ils sont une vitrine de vos produits et services mais aussi du niveau de conformité des traitements de données que vous mettez en œuvre. Il ne s’agit ni plus ni moins que de renforcer la confiance que vos prospects et vos clients vous accordent.
- Simplifiez-vous la vie, installez un module de gestion des cookies. Un site web peut avoir un mode de fonctionnement d’autant plus complexe qu’il embarque de nombreux outils ou plugins tiers. Ce module vous permettra par conséquent d’encapsuler et gérer l’ensemble des tags dont le chargement entraîne le dépôt de cookies.
- Puisqu’il s’agit de demander à l’utilisateur s’il accepte ou non vos cookies, privilégiez une approche conversationnelle. Travaillez l’UX design de votre bannière et proposez une interface de gestion des consentements agréable.
- Restez en veille. Il s’agit bien sûr d’intégrer les exigences réglementaires actuelles que les régulateurs ont fixé. Mais le cadre légal devrait évoluer avec l’adoption d’un futur règlement ePrivacy, en remplacement d’une directive. En travaillant maintenant sur vos cookies, vous anticiperez ces évolutions.
Conclusion : Et si la CNPD vous faisait prioriser la conformité RGPD de vos cookies ?
Comme ses homologues, la CNPD a vu ses prérogatives renforcées pour devenir une véritable autorité de contrôle.
Bien qu’elle privilégie pour l’instant l’accompagnement des acteurs et une régulation discrète, son action répressive est appelée à se renforcer.
Pour vous, c’est une opportunité véritable de prioriser le chantier de votre conformité RGPD. Le sujet des cookies en fait partie.
Alors n’attendez plus, à vos sites web. Besoin d’aide ? Axeptio peut vous fournir un module efficace et user-friendly.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.