{"id":4163,"date":"2017-04-15T09:27:46","date_gmt":"2017-04-15T07:27:46","guid":{"rendered":"https:\/\/fedil.lu\/?post_type=position&p=4163\/"},"modified":"2017-10-11T10:05:54","modified_gmt":"2017-10-11T08:05:54","slug":"avis-de-la-fedil-rgpd","status":"publish","type":"position","link":"https:\/\/fedil.lu\/fr\/positions\/avis-de-la-fedil-rgpd\/","title":{"rendered":"Avis de la FEDIL – Transposition en droit national de certaines dispositions du RGPD"},"content":{"rendered":"

AVIS DE LA FEDIL EN VUE DE LA TRANSPOSITION EN DROIT NATIONAL DE CERTAINES DISPOSITIONS DU R\u00c8GLEMENT G\u00c9N\u00c9RAL SUR LA PROTECTION DES DONN\u00c9ES (EN ABR\u00c9G\u00c9\u00a0: RGPD)<\/strong><\/p>\n

Introduction\u00a0<\/strong><\/p>\n

La FEDIL, en tant qu\u2019acteur \u00e9conomique de poids repr\u00e9sentant quelque 550 membres dans 35 secteurs d\u2019activit\u00e9 au Luxembourg, entend ici porter les messages cl\u00e9s de ses membres afin de permettre au l\u00e9gislateur de prendre conscience des besoins et inqui\u00e9tudes des entreprises quant \u00e0 ce r\u00e8glement qui les impactera toutes, quelle que soit leur taille, \u00e0 br\u00e8ve \u00e9ch\u00e9ance. En effet, celui-ci, au regard des d\u00e9cisions strat\u00e9giques prises par le gouvernement, pourra avoir une incidence non n\u00e9gligeable, sur l\u2019activit\u00e9 des entreprises.<\/p>\n

Pour ce faire, la FEDIL a men\u00e9, avec ses membres, une r\u00e9flexion sur le sujet et organis\u00e9 un groupe de projet regroupant des entreprises de tous secteurs d\u2019activit\u00e9s qui ont ainsi pu faire part de leurs pr\u00e9occupations et de leurs besoins quant aux mesures \u00e0 prendre par le Luxembourg dans le processus de transposition.<\/p>\n

Commentaires g\u00e9n\u00e9raux\u00a0<\/strong><\/p>\n

Il est un fait que de nombreuses incertitudes demeurent quant \u00e0 la mise en application de ce r\u00e8glement. En effet, si ce r\u00e8glement a \u00e9t\u00e9 pens\u00e9 pour corriger les travers de la Directive de 1995 et les transpositions parfois divergentes faites par les Etats membres (EM) cr\u00e9ant ainsi trop de disparit\u00e9s et une fragmentation au niveau europ\u00e9en en terme de l\u00e9gislation sur la protection des donn\u00e9es, il n\u2019en demeure pas moins qu\u2019il laisse \u00e9galement aux EM une large autonomie de choix, qui fait craindre que le r\u00e9gime qui devait \u00eatre uniformis\u00e9, ne le soit en d\u00e9finitive pas. De plus, la longueur des consid\u00e9rants ainsi que leurs vell\u00e9it\u00e9s normatives finissent de brouiller la compr\u00e9hension de certaines r\u00e8gles figurant dans le corps du r\u00e8glement.<\/p>\n

Face au renforcement des pouvoirs des autorit\u00e9s de contr\u00f4le, les entreprises se montrent tr\u00e8s attach\u00e9es au modus vivendi<\/em> existant au Luxembourg, \u00e0 savoir une coop\u00e9ration et un support de la Commission Nationale pour la Protection des Donn\u00e9es (CNPD) dans le cadre des questions de protection des donn\u00e9es. Dans ce m\u00eame ordre d\u2019id\u00e9e, il est important que le Luxembourg adopte des mesures lui permettant de garantir sa comp\u00e9titivit\u00e9 sur le march\u00e9 de la donn\u00e9e en plein essor et d\u2019en saisir les opportunit\u00e9s. Les mesures de transposition envisag\u00e9es ne doivent \u00e9galement pas \u00eatre trop restrictives et aller au-del\u00e0 du texte.<\/p>\n

La m\u00e9thodologie employ\u00e9e pour le pr\u00e9sent avis a \u00e9t\u00e9 de prendre les points du r\u00e8glement n\u00e9cessitant une action des Etats membres dans un premier temps et dans un second temps, les points leur permettant d\u2019adapter leur l\u00e9gislation nationale.<\/p>\n

Les points clefs de cet avis seront r\u00e9sum\u00e9s en fin de texte.<\/p>\n

Possibilit\u00e9s d\u2019action offertes par le r\u00e8glement<\/u><\/h1>\n

a. Article 6\u00a0: Lic\u00e9it\u00e9 du traitement<\/h2>\n

Les conditions de lic\u00e9it\u00e9 du traitement sont suffisamment explicit\u00e9es par le RGPD et d\u00e8s lors, aucune intervention du l\u00e9gislateur n\u2019est rendue n\u00e9cessaire. L\u2019auto-\u00e9valuation et la responsabilisation du responsable du traitement doivent \u00eatre privil\u00e9gi\u00e9es dans l\u2019approche.<\/strong><\/p>\n

Le RGPD apporte ici une pr\u00e9cision par rapport \u00e0 la Directive 95\/46, notamment en excluant toute finalit\u00e9 exprim\u00e9e de mani\u00e8re g\u00e9n\u00e9rale et donnant une v\u00e9ritable libert\u00e9 de choix au sujet de droit. Il s\u2019av\u00e8re, cependant, que les conditions initiales li\u00e9es \u00e0 un traitement peuvent diff\u00e9rer suivant l\u2019avanc\u00e9e du traitement et du dossier apparent\u00e9 de sorte que souvent, des questions op\u00e9rationnelles li\u00e9es se posent. Dans ce cas, il appartient au responsable de traitement d\u2019\u00e9valuer le cadre et les conditions de cet \u00e9largissement \u00a0notamment, la compatibilit\u00e9 des finalit\u00e9s nouvelles avec les finalit\u00e9s initiales au besoin avec le support de la CNPD. C’est en ce sens que la formation et l’information des acteurs clefs du RGPD doivent absolument \u00eatre mises en place.<\/strong><\/p>\n

La FEDIL est d\u2019avis qu\u2019il ne faut aucunement rendre la lic\u00e9it\u00e9 du traitement plus contraignante au Luxembourg<\/strong>.<\/p>\n

Le concept d\u2019int\u00e9r\u00eat public doit cependant s\u2019entendre de mani\u00e8re plus large qu’actuellement et notamment inclure dans sa prise en compte, les notions de s\u00e9curit\u00e9 du public et des utilisateurs et\/ou de danger imm\u00e9diat. Pour \u00eatre plus concret, il est parfois indispensable pour des raisons de s\u00e9curit\u00e9 \u00e9videntes (accident, fuite de gaz, etc.) que des conversations t\u00e9l\u00e9phoniques pass\u00e9es en dehors des num\u00e9ros d\u2019appel d\u2019urgence soient enregistr\u00e9es au-del\u00e0 de tout lien contractuel ou que des\u00a0 g\u00e9olocalisations soient possibles afin de permettre – dans des situations de stress \u00e9lev\u00e9 – de r\u00e9\u00e9couter l’enregistrement et les informations qu’il contient et qui n’auraient peut-\u00eatre pas \u00e9t\u00e9 enti\u00e8rement saisies par l’op\u00e9rateur. Il est donc encore une fois important que, dans l’appr\u00e9ciation de la lic\u00e9it\u00e9 du traitement, soit prise en compte la finalit\u00e9 de ce dernier et l’int\u00e9r\u00eat qu’elle prot\u00e8ge.<\/p>\n

Nous pensons, n\u00e9anmoins, que cet article peut s\u00e9rieusement nuire \u00e0 l\u2019harmonisation des r\u00e8gles au niveau europ\u00e9en et qu’il est dans l\u2019int\u00e9r\u00eat du Luxembourg de se positionner afin d’attirer des acteurs \u00e9conomiques d\u00e9sireux d’\u00eatre en pr\u00e9sence de r\u00e8gles simples et efficaces.<\/p>\n

b. Article 8\u00a0: Conditions applicables au consentement des enfants<\/h2>\n

Le point soulev\u00e9 ici va au-del\u00e0 de la lic\u00e9it\u00e9 du traitement suivant l\u2019\u00e2ge des enfants avec ou sans autorisation parentale. Il nous semble n\u00e9cessaire de mettre en perspective la situation au Luxembourg et d\u2019envisager ce que le gouvernement souhaite faire sur ce sujet. Un enfant, \u00e0 13 ans, peut-il librement consentir au traitement de ses donn\u00e9es qui serviront potentiellement \u00e0 le \u00ab\u00a0profiler\u00a0\u00bb et lui faire recevoir des offres commerciales\u00a0? Quelle est sa compr\u00e9hension des risques et surtout de la port\u00e9e de son consentement\u00a0? Se pose \u00e9galement la question lors de l\u2019utilisation des m\u00e9dias sociaux et de la possibilit\u00e9 d\u2019y laisser des donn\u00e9es qui pourront par la suite \u00eatre utilis\u00e9es.<\/p>\n

La question du discernement est, selon notre lecture, la notion clef, cette derni\u00e8re ne trouvant pas de r\u00e9ponse uniforme en droit luxembourgeois ni dans les pratiques existantes.<\/p>\n

Au Luxembourg, en mati\u00e8re p\u00e9nale, la jurisprudence fixe g\u00e9n\u00e9ralement l’\u00e2ge du discernement \u00e0 6 ans. D\u00e8s 12 ans, l’enfant peut ouvrir un compte bancaire avec l’accord de ses parents et \u00e0 15 ans disposer d’une carte de paiement. La majorit\u00e9 sexuelle est, quant \u00e0 elle, fix\u00e9e \u00e0 16 ans. En France, on estime que l’\u00e2ge de discernement se situe aux alentours de 12 ans sans que cette r\u00e8gle ne trouve une base l\u00e9gale.<\/p>\n

Ramener l\u2019\u00e2ge du consentement des enfants \u00e0 13 ans pourrait \u00eatre un avantage concurrentiel pour le Luxembourg mais \u00e0 l\u2019instar des autres EM, la question du recueil de l\u2019autorit\u00e9 parentale pose question. Comment s\u2019assurer que l\u2019autorisation a bien \u00e9t\u00e9 donn\u00e9e\u00a0? Comment le responsable du traitement peut-il s\u2019en assurer\u00a0?<\/p>\n

La FEDIL est en faveur d\u2019une uniformisation de l\u2019\u00e2ge avec ce qui se pratique dans les autres cas cit\u00e9s pr\u00e9c\u00e9demment au Luxembourg. L\u2019\u00e2ge de 15 ans ressort dans diff\u00e9rents \u00e9l\u00e9ments de la vie quotidienne (Compte bancaire, signature, etc.). La FEDIL propose de retenir cet \u00e2ge comme \u00e2ge de r\u00e9f\u00e9rence en mati\u00e8re de consentement.<\/strong><\/p>\n

c. Article 23\u00a0: Limitation<\/h2>\n

Cet article, d\u00e9j\u00e0 pr\u00e9sent dans la directive, voit cependant son champ d\u2019application s\u2019\u00e9tendre en permettant de limiter le droit de la personne concern\u00e9e quant \u00e0 l\u2019acc\u00e8s \u00e0 ses donn\u00e9es personnelles, \u00e0 leur gestion ou \u00e0 leur effacement ou limiter les cas de communication d\u2019une violation. Les conditions se font cependant sous couvert du respect des droits fondamentaux et qu\u2019il s\u2019agisse d\u2019une mesure n\u00e9cessaire et proportionn\u00e9e dans une soci\u00e9t\u00e9 d\u00e9mocratique.<\/p>\n

La FEDIL demande l\u2019application stricte par les autorit\u00e9s luxembourgeoises des limitations \u00e9num\u00e9r\u00e9es par le r\u00e8glement. <\/strong>Nous estimons, en effet, qu\u2019il n\u2019est nulle n\u00e9cessit\u00e9 d\u2019\u00e9largir les possibilit\u00e9s de limitation des droits. Celles-ci ne doivent en aucun cas devenir un moyen d\u00e9tourn\u00e9 pour limiter les droits de la personne concern\u00e9e quant \u00e0 la protection de ses donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

La FEDIL convie le l\u00e9gislateur \u00e0 \u00e9tablir, par voie r\u00e8glementaire ou l\u00e9gislative, une liste des autorit\u00e9s pouvant b\u00e9n\u00e9ficier de ces d\u00e9rogations. <\/strong>Cette liste doit \u00eatre publiquement accessible afin de permettre au responsable du traitement de pouvoir identifier l\u2019autorit\u00e9 de contr\u00f4le requ\u00e9rante, au besoin \u00e0 l\u2019aide de demande de documents \u00ab\u00a0d\u2019accr\u00e9ditation\u00a0\u00bb, et sa l\u00e9gitimit\u00e9 \u00e0 limiter les droits de la personne concern\u00e9e.<\/p>\n

Il est essentiel que la limitation des droits ne se fasse que sur base d\u2019indices graves et concordants rentrant dans les cas d\u2019ouverture pr\u00e9cis\u00e9s par le RGPD et non pas dans le cadre d\u2019une simple recherche ou demande d\u2019information.<\/p>\n

d.\u00a0Article 58 : Pouvoirs des autorit\u00e9s de contr\u00f4le<\/h2>\n

Le r\u00e8glement impose, d’une part, aux EM de pr\u00e9voir par voie l\u00e9gislative, le pouvoir de l’autorit\u00e9 de contr\u00f4le pour agir en justice contre les violations du RGPD et d\u2019autre part, permet aux EM de donner des pouvoirs additionnels \u00e0 l’autorit\u00e9 de contr\u00f4le.<\/p>\n

Le RGPD, en privil\u00e9giant le contr\u00f4le \u00e0 posteriori du traitement, oblige les diff\u00e9rents acteurs et notamment les responsables du traitement, \u00e0 assumer leurs responsabilit\u00e9s. La sanction en cas de non-respect \u00e9tant le pouvoir pour la CNPD de prononcer des amendes ou d’agir en justice et ne n\u00e9cessite pas dans ce cas d’\u00e9largir les pouvoirs lui d\u00e9volus.<\/p>\n

La FEDIL plaide, d\u00e8s lors, en faveur d’un maintien strict des dispositions du r\u00e8glement sans \u00e9largir encore la palette d\u00e9volue aux autorit\u00e9s de contr\u00f4le<\/strong>.<\/p>\n

La question qui est par ailleurs soulev\u00e9e, est l’interconnexion forte entre diff\u00e9rentes autorit\u00e9s nationales intervenant sur des dossiers identiques, connexes ou similaires, comme la CNPD, la CSSF, l\u2019ILR ou encore le Commissariat aux assurances sans que cette liste ne soit exhaustive. La CSSF va, en effet, r\u00e9guler les donn\u00e9es clients alors qu’elle ne sera plus comp\u00e9tente pour les donn\u00e9es entre fournisseurs et clients. Il risque d\u00e8s lors d’y avoir en pratique quelques heurts. Il nous semble important, notamment pour les professions r\u00e9glement\u00e9es d’avoir un guichet unique (one stop shop), respectivement un point de contact unique permettant de renseigner les entreprises, de faciliter et coordonner les relations entre les diff\u00e9rentes autorit\u00e9s et les entreprises. <\/strong><\/p>\n

Le syst\u00e8me luxembourgeois repose sur la collaboration et la coop\u00e9ration avec la CNPD. C\u2019est un mod\u00e8le que les entreprises souhaitent voir perdurer malgr\u00e9 les nouveaux pouvoirs conf\u00e9r\u00e9s \u00e0 la CNPD.<\/strong> Il s’agit v\u00e9ritablement d’un avantage par rapport \u00e0 d’autres pays qui seront n\u00e9cessairement concurrents dans le d\u00e9veloppement de business relatifs \u00e0 la protection des donn\u00e9es ou qui se montreront plus imm\u00e9diatement r\u00e9pressifs.<\/p>\n

Il est, pour ce faire, \u00e9galement indispensable que la CNPD voit ses effectifs renforc\u00e9s mais surtout, que les entreprises puissent y trouver des officiers d\u00e9di\u00e9s en mesure de r\u00e9pondre \u00e0 leurs besoins.<\/strong><\/p>\n

e. Article 80 : Repr\u00e9sentation des personnes concern\u00e9es<\/h2>\n

Cet article pr\u00e9voit la possibilit\u00e9 de mandater une organisation pour repr\u00e9senter les int\u00e9r\u00eats de la personne concern\u00e9e mais \u00e9galement de pr\u00e9voir la possibilit\u00e9 d’agir sans mandat.<\/p>\n

La FEDIL se montre, de ce fait, fermement oppos\u00e9e \u00e0 toute action de Tiers sans mandat en la mati\u00e8re.<\/strong> Les risques sont, par ailleurs, plus importants que le b\u00e9n\u00e9fice attendu. En effet, la CNPD disposera d’un contr\u00f4le efficace et surtout d’un panel de sanctions dissuasives en mati\u00e8re de violation de protection des donn\u00e9es. Le sujet de droit redevient maitre de ses donn\u00e9es et des voies de droit s’ouvrent \u00e9galement \u00e0 lui de sorte qu’une protection juridique efficace et efficiente existera sans avoir besoin de l’intervention de Tiers.<\/p>\n

Il s’av\u00e8re qu’un principe \u00e9l\u00e9mentaire du droit est celui de ne pas pouvoir disposer de droit pour autrui, ce qui exclut toute action sans mandat.<\/p>\n

Par cons\u00e9quent, nous estimons qu\u2019il n’y a pas lieu de l’introduire via ce r\u00e8glement<\/strong>. Au surplus, les cons\u00e9quences ne sont pas \u00e9valuables et risquent d’\u00eatre pr\u00e9judiciables aux entreprises.<\/p>\n

En effet, les entreprises se retrouveront sous investigation; oblig\u00e9es de fournir des documents, les actions pouvant se multiplier entrainant de potentiels blocages, mobilisant des ressources qui ne devraient pas l’\u00eatre, etc.<\/p>\n

Il n’est pas exclu non plus que certaines actions se veuillent malveillantes et ne constituent un moyen d\u00e9tourn\u00e9 pour avoir acc\u00e8s – au moins partiellement – \u00e0 certains documents de l’entreprise.<\/p>\n

Par ailleurs, le plaignant sera inform\u00e9, ce qui peut aussi nuire \u00e0 l’entreprise vis\u00e9e par la plainte et violer ainsi la confidentialit\u00e9 n\u00e9cessaire \u00e0 toute activit\u00e9 surtout si cette derni\u00e8re est sensible.<\/p>\n

f. Article 88 : Traitement des donn\u00e9es dans le cadre de la relation de travail<\/h2>\n

Il est manifeste que la l\u00e9gislation actuelle figurant dans le code du travail n’est plus adapt\u00e9e aux r\u00e9alit\u00e9s de l’entreprise et des avanc\u00e9es technologiques.<\/p>\n

La FEDIL propose de r\u00e9viser et d\u2019adapter les articles L. 261-1 et suivants du code du travail, ces derniers \u00e9tant devenus obsol\u00e8tes.<\/strong><\/p>\n

De plus, l’usage de la vid\u00e9o doit \u00eatre permis dans un cadre plus large et se g\u00e9n\u00e9raliser. Se pose en premier lieu le probl\u00e8me de la formation. Beaucoup d’entreprises veulent tourner des vid\u00e9os pour expliquer les bons gestes ou les gestes \u00e0 proscrire. La vid\u00e9o est un excellent moyen didacticiel pour former des \u00e9quipes m\u00eame \u00e9loign\u00e9es ou donner des formations r\u00e9currentes pour les salari\u00e9s int\u00e9rimaires par exemple ou encore permettre de visionner certaines techniques \u00e0 plusieurs reprises. Or, \u00e0 ce jour, la l\u00e9gislation ne le pr\u00e9voit pas, repr\u00e9sentant un vrai manque pour les entreprises et pour les salari\u00e9s.<\/p>\n

Pareillement, pour les entreprises ayant des m\u00e9tiers \u00e0 risques ou sur des installations \u00e0 risques, des m\u00e9tiers exerc\u00e9s de mani\u00e8re isol\u00e9e et dont les salari\u00e9s peuvent intervenir seul sur une zone potentiellement dangereuse, il n’est \u00e0 l\u2019heure actuelle, pas possible de les localiser alors qu’il en va de leur s\u00e9curit\u00e9, la mesure rencontrant syst\u00e9matiquement l\u2019objection de la CNPD. Si les droits de la personne doivent naturellement \u00eatre prot\u00e9g\u00e9s, il n’en demeure pas moins que les mesures de surveillance se font aussi dans l’int\u00e9r\u00eat du salari\u00e9 qui les r\u00e9clame\u00a0: poste autonome, isol\u00e9, risqu\u00e9, d\u00e9placements fr\u00e9quents, …<\/p>\n

Une autorisation plus g\u00e9n\u00e9rale devrait \u00eatre possible pour des questions sp\u00e9cifiques. Ces questions devraient \u00eatre du ressort du responsable du traitement, au besoin avec la collaboration de la d\u00e9l\u00e9gation du personnel.<\/p>\n

Il est imp\u00e9ratif de revoir les l\u00e9gislations devenues obsol\u00e8tes et de ne plus voir le pouvoir de surveillance de l’employeur comme un \u00e9l\u00e9ment n\u00e9faste visant uniquement \u00e0 \u00ab\u00a0traquer\u00a0\u00bb le salari\u00e9.<\/p>\n

Nous recommandons la r\u00e9vision des dispositions l\u00e9gales mais \u00e9galement qu’une certaine souplesse soit laiss\u00e9e au responsable du traitement afin justement de permettre au principe de proportionnalit\u00e9 de jouer. Principe qui, s\u2019il n’est pas respect\u00e9, fera l’objet d’un avertissement de la CNPD et de sanctions si ce dernier n’est pas pris en compte, rendant d\u00e8s lors inutile le maintien de dispositions l\u00e9gales ayant les m\u00eames cons\u00e9quences tout en rigidifiant des m\u00e9canismes qui ont besoin d’\u00e9voluer.<\/strong><\/p>\n

Les repr\u00e9sentants des salari\u00e9s auront largement la possibilit\u00e9 de jouer le r\u00f4le de lanceur d’alerte.<\/p>\n

g. Article 90\u00a0: Obligation de secret<\/h2>\n

Cet article laisse la possibilit\u00e9 aux EM d’adopter des r\u00e8gles sp\u00e9cifiques afin de d\u00e9terminer les pouvoirs des autorit\u00e9s de contr\u00f4le quant aux responsables de traitement ou sous-traitant soumis \u00e0 une obligation de secret.<\/p>\n

La FEDIL sugg\u00e8re la plus grande prudence quant \u00e0 la notion de traitement de donn\u00e9es personnelles dans le cadre du secret professionnel. Il est important que le pouvoir des autorit\u00e9s de contr\u00f4le tienne compte de ces facteurs et qu\u2019il soit de ce fait limit\u00e9.<\/p>\n

Il parait \u00e0 ce stade, ad\u00e9quat qu\u2019une ordonnance judiciaire, sans pr\u00e9judice de tout autre acte, soit au minimum d\u00e9livr\u00e9e pour acc\u00e9der aux donn\u00e9es et qu\u2019un juge puisse faire la balance des int\u00e9r\u00eats en pr\u00e9sence, et garantir la proportionnalit\u00e9 de la mesure tout en permettant une c\u00e9l\u00e9rit\u00e9 du traitement de la demande.<\/strong><\/p>\n

Les possibilit\u00e9s d’actions offertes par le r\u00e8glement<\/u><\/strong><\/h1>\n

Divers articles confrontent le RGPD \u00e0 la r\u00e8glementation nationale. S\u2019il n’est plus question pour les Etats d’agir quant \u00e0 la mise en place du RGPD dans leurs droits nationaux, il s’agit ici d’espaces laiss\u00e9s par le RGPD pour les lois nationales et une certaine application des textes.<\/p>\n

a. Article 28 : Sous-traitant<\/h2>\n

Cet article amplifie les obligations du sous-traitant et les dispositions contractuelles du contrat de sous-traitance. La question qui se pose imm\u00e9diatement aux entreprises est le lien avec les entreprises \u00e9trang\u00e8res et les cha\u00eenes de sous-traitance.<\/p>\n

Beaucoup de questions y relatives se posent : jusqu’o\u00f9 va la responsabilit\u00e9 du sous-traitant et quelles sont ses obligations en la mati\u00e8re\u00a0? Quelle responsabilit\u00e9 pour le DPO\u00a0? Comment peut-on avoir la certitude que le sous-traitant r\u00e9pondra \u00e0 ses obligations contractuelles, notamment lorsque les donn\u00e9es sont stock\u00e9es ou h\u00e9berg\u00e9es hors de l\u2019Union Europ\u00e9enne\u00a0?etc.<\/p>\n

L’audit des sous-traitants ?<\/u><\/em><\/p>\n

L\u2019audit des sous-traitants pourrait \u00eatre une solution pour permettre de s\u2019assurer de la conformit\u00e9 des sous-traitants <\/strong>comme cela est pratiqu\u00e9 par certaines grandes entreprises. Le cas des entreprises de taille plus modeste est ici soulev\u00e9 alors que ces derni\u00e8res ne disposent pas de suffisamment de ressources leurs permettant de contr\u00f4ler les agissements du sous-traitant. La question peut \u00eatre financi\u00e8re, avec la recherche du prix le plus concurrentiel\u00a0; humaine, le personnel n\u2019\u00e9tant pas form\u00e9 \u00e0 ces questions ou encore intellectuelle avec l\u2019absence de notion juridique les rendant d\u00e9pendantes du contrat propos\u00e9.<\/p>\n

Nous sommes d\u2019avis que le Luxembourg devrait tr\u00e8s clairement se diriger vers une obligation de moyen renforc\u00e9e quant \u00e0 la conformit\u00e9 des sous-traitants. <\/strong><\/p>\n

En effet, devant la complexit\u00e9 de la mati\u00e8re, le responsable du traitement ou le DPO devrait pouvoir s’exon\u00e9rer de toute responsabilit\u00e9 en d\u00e9montrant avoir fait les recherches n\u00e9cessaires sur le sous-traitant, au besoin en lui ayant fait remplir une fiche d\u00e9clarative et en apportant la preuve des engagements contractuels pris.<\/strong><\/p>\n

Cette approche est fondamentale et doit ressortir du projet de loi alors que l’incertitude quant aux responsabilit\u00e9s risque \u00e0 terme de paralyser un certain nombre d’\u00e9changes. La strat\u00e9gie num\u00e9rique du Luxembourg passe par la captation d’acteurs num\u00e9riques et il convient de leur offrir un cadre juridique sain et clair.<\/p>\n

Il est important que les entreprises soient conscientes des efforts \u00e0 fournir en la mati\u00e8re en cas de sous-traitance mais il est indubitable que l’obligation de r\u00e9sultat est impossible \u00e0 exiger au regard de la multiplicit\u00e9 potentielle des intervenants partout dans le monde.<\/p>\n

Les entreprises doivent d\u00e8s lors \u00eatre raisonnablement tenues que du possible et de ce qui peut \u00eatre en leur pouvoir pour garantir le respect du r\u00e8glement de la part de leurs sous-traitants.<\/p>\n

La r\u00e9vision des contrats de sous-traitance ?<\/u><\/em><\/p>\n

Il est important de faire la promotion des r\u00e8gles relatives aux contrats de sous-traitance notamment les clauses propos\u00e9es par la Commission europ\u00e9enne dans le cadre de la sous-traitance en mati\u00e8re de transfert de donn\u00e9es. Des r\u00e8gles sui generis<\/em> peuvent \u00e9galement \u00eatre propos\u00e9es au niveau national et diffus\u00e9es aupr\u00e8s des entreprises afin de leur permettre de s\u00e9curiser au maximum leur traitement de donn\u00e9es.<\/p>\n

Il ne faut cependant pas devenir trop sp\u00e9cifique ce qui obligerait \u00e0 une r\u00e9vision globale de tous les contrats et d’engendrer trop de contraintes, mais il faut permettre aux contrats de sous-traitance de s’enrichir afin de prot\u00e9ger les responsables de traitement et DPO et au final les donn\u00e9es personnelles trait\u00e9es. L’\u00e9quilibre doit \u00eatre maintenu.<\/p>\n

b.\u00a0Article 32 : S\u00e9curit\u00e9 du traitement<\/h2>\n

A la lecture du texte, le droit d’un EM pourrait obliger le responsable du traitement ou le sous-traitant \u00e0 communiquer certaines donn\u00e9es. Cela pourrait \u00eatre le cas d’autorit\u00e9s judiciaires ou administratives.<\/p>\n

Nous jugeons ici important une nouvelle fois, de limiter les cas de recours respectivement de ne le permettre que sur base d’une autorisation officielle, id\u00e9alement \u00e9tablie par une autorit\u00e9 judiciaire afin d’\u00e9viter tout abus de droit dans le pr\u00e9sent cadre.<\/strong><\/p>\n

La notion de devoir de s\u00e9curit\u00e9 est \u00e9galement \u00e0 aborder dans ce cadre. En effet, c’est la finalit\u00e9 du traitement qui d\u00e9terminera le niveau de s\u00e9curit\u00e9 \u00e0 mettre en \u0153uvre. Les r\u00e8gles de s\u00e9curit\u00e9 sont donc amen\u00e9es \u00e0 \u00e9voluer constamment afin de tenir compte de l’\u00e9tat des menaces. Cela implique, d\u00e8s lors, une politique de gestion des risques pour les entreprises et un classement des donn\u00e9es en fonction de leur sensibilit\u00e9.<\/p>\n

c. Article 37: D\u00e9signation du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO)<\/h2>\n

Afin d’\u00e9viter la prolif\u00e9ration de formations quant au DPO, nous recommandons express\u00e9ment de mettre en place une formation officielle, respectivement, d’accr\u00e9diter des formations de DPO alors qu’actuellement sont propos\u00e9es sur le march\u00e9 un ensemble de formation avec des contenus plus ou moins aboutis.<\/strong><\/p>\n

Le label pourrait s’inscrire dans cette d\u00e9marche alors qu’il permettrait de garantir les connaissances de ce professionnel et son \u00ab\u00a0agr\u00e9ation\u00a0\u00bb par l’autorit\u00e9 de contr\u00f4le. (Connaissances th\u00e9oriques, pratique du m\u00e9tier, etc.)<\/p>\n

Nous jugeons important que le l\u00e9gislateur se positionne sur une d\u00e9finition d’\u00a0\u00ab\u00a0activit\u00e9s de base consistant en un traitement \u00e0 grande \u00e9chelle de cat\u00e9gorie particuli\u00e8res de donn\u00e9es\u00a0\u00bb.<\/strong> En effet, cette terminologie reste absconde pour beaucoup d’entreprises et les d\u00e9finitions respectivement, les approches se dessinant dans les diff\u00e9rents Etat Membres sont loin d’\u00eatre concordantes. D\u00e8s lors, le Luxembourg gagnerait \u00e0 d\u00e9finir un cadre clair pour les entreprises en adoptant naturellement une approche restrictive quant aux cas d’ouvertures, le DPO \u00e9tant une charge pour les entreprises.<\/p>\n

d. Article 62 : Op\u00e9ration conjointe des autorit\u00e9s de contr\u00f4le<\/h2>\n

La FEDIL estime que les pouvoirs d\u2019une autorit\u00e9 \u00e9trang\u00e8re agissant sur le sol luxembourgeois ne doivent pas exc\u00e9der les pouvoirs d\u00e9volus \u00e0 la CNPD. Afin d\u2019\u00e9viter tout abus ou toute m\u00e9connaissance de tels droits, la FEDIL s\u2019oppose \u00e0 toute d\u00e9l\u00e9gation de pouvoir de la part de la CNPD dans le cadre d’enqu\u00eate \u00e0 une autorit\u00e9 \u00e9trang\u00e8re. <\/strong><\/p>\n

R\u00e9sum\u00e9 des Propositions de la FEDIL<\/strong><\/h1>\n

1. Possibilit\u00e9s d\u2019action offertes par le r\u00e8glement<\/u><\/strong><\/h2>\n

a. Article 6\u00a0: Lic\u00e9it\u00e9 du traitement<\/h3>\n
    \n
  • Ne pas rendre la lic\u00e9it\u00e9 du traitement plus contraignante au Luxembourg,<\/li>\n
  • Privil\u00e9gier dans l\u2019approche, l\u2019auto-\u00e9valuation et la responsabilisation du responsable du traitement,<\/li>\n
  • Mettre en place la formation et l\u2019information des acteurs clefs du RGPD.<\/li>\n<\/ul>\n

    b. Article 8\u00a0: Conditions applicables au consentement des enfants<\/h3>\n
      \n
    • Uniformiser l\u2019\u00e2ge du consentement avec ce qui se pratique dans d\u2019autres cas au Luxembourg,<\/li>\n
    • Retenir l\u2019\u00e2ge de 15 ans comme \u00e2ge de r\u00e9f\u00e9rence en mati\u00e8re de consentement.<\/li>\n<\/ul>\n

      c. Article 23\u00a0: Limitations<\/h3>\n
        \n
      • Appliquer strictement les limitations \u00e9num\u00e9r\u00e9es par le r\u00e8glement,<\/li>\n
      • Etablir par voie r\u00e9glementaire ou l\u00e9gislative, une liste des autorit\u00e9s pouvant b\u00e9n\u00e9ficier de d\u00e9rogations quant aux limitations \u00e9tablies et rendre celle-ci publique.<\/li>\n<\/ul>\n

        d. Article 58 : Pouvoirs des autorit\u00e9s de contr\u00f4le<\/h3>\n
          \n
        • Maintenir strictement les dispositions du r\u00e8glement sans \u00e9largir la palette de pouvoirs d\u00e9volus aux autorit\u00e9s de contr\u00f4le,<\/li>\n
        • Cr\u00e9er un guichet unique permettant de renseigner les entreprises, de faciliter et de coordonner les relations entre les diff\u00e9rentes autorit\u00e9s et les entreprises,<\/li>\n
        • Renforcer les effectifs de la CNPD pour r\u00e9pondre aux besoins des entreprises,<\/li>\n
        • Faire perdurer le mod\u00e8le luxembourgeois bas\u00e9 sur la collaboration et la coop\u00e9ration entre la CNPD et les entreprises.<\/li>\n<\/ul>\n

          e. Article 80 : Repr\u00e9sentation des personnes concern\u00e9es<\/h3>\n