Avis de la Chambre de Commerce
La Chambre de Commerce vient d’émettre son avis sur le projet de loi et les deux règlements grand-ducaux qui déclineront dans le droit luxembourgeois le règlement général européen sur la protection des données (RGPD) qui entrera directement et automatiquement en vigueur dans tous les Etats membres de l’Union européenne le 25 mai 2018. La chambre professionnelle estime que ces nouvelles dispositions (formant avec celles de deux directives[1] transposées en parallèle, le nouveau « paquet européen ») peuvent certes contribuer à créer le climat de confiance nécessaire au développement de l’économie numérique, mais entraînent également une charge administrative et financière supplémentaire pour les entreprises qui devront s’y conformer.
La Chambre de Commerce rappelle que les dispositions issues du projet de loi n°7184 portant sur la protection des données à caractère personnel et des deux projets de règlement grand-ducaux, portant respectivement fixation du siège de la CNPD (Commission nationale pour la protection des données) et des indemnités payées aux membres de celle-ci, entreront en vigueur simultanément avec le RGPD et abrogeront donc à partir du 25 mai 2018 les textes existants régissant au Luxembourg la protection des données à caractère personnel, à savoir la loi modifiée du 2 août 2002 (loi portant transposition de la directive 95/46/CE) et les règlements grand-ducaux du 7 juillet 2003.
Le nouveau régime en matière de protection des données à caractère personnel constituera un véritable changement de paradigme, puisque le Luxembourg passera d’un système de contrôle ex ante, organisé autour de procédures de notifications et d’autorisation préalable, à un système de contrôle ex post reposant sur le principe de responsabilisation (principe d'accountability) des responsables de traitement et des sous-traitants de données à caractère personnel.
Dans son avis, la Chambre de Commerce se penche particulièrement sur les dispositions du projet de loi qui mettent en œuvre le RGPD. Si les sanctions pénales actuellement prévues par la loi modifiée du 2 août 2002 ne sont pas reprises dans le projet de loi, ce dont la Chambre de Commerce se félicite, elles sont par contre remplacées par des sanctions financières très lourdes, qui pourront être infligées par les autorités de contrôle nationales. Le RGPD prévoit en effet des amendes administratives dissuasives pouvant aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial, tout en laissant aux Etats membres la possibilité de mettre en place d’autres sanctions.
A cet égard, la Chambre de Commerce s’interroge quant à l’article 50 du projet de loi qui reconnaît à la CNPD le pouvoir d’assortir ses injonctions d’une astreinte. Elle se demande en particulier si cette disposition est bien conforme au RGPD qui autorise les Etats à déterminer d’autres sanctions que les amendes administratives pour autant qu’elles sanctionnent des violations différentes.
Au vu des nouvelles menaces de sanctions qui vont peser sur les entreprises, la Chambre de Commerce demande à la CNPD de faire preuve de flexibilité, au moins dans les premiers mois suivant l’entrée en vigueur de la réforme, dans le cadre de sa mission de surveillance des nouvelles dispositions du RGPD et de la future loi.
La Chambre de Commerce salue de manière plus générale le fait que le Luxembourg n’a pas introduit un trop grand nombre de dispositions spécifiques supplémentaires au RGPD et salue la décision prise par le Gouvernement de ne pas produire une législation surabondante qui rendrait tout objectif de conformité irréaliste du point de vue des entreprises. La chambre professionnelle estime que les changements que doivent opérer ces dernières aux niveaux organisationnel, informatique et juridique ainsi qu’au niveau des processus opérationnels afin de se mettre en conformité avec le nouveau RGPD sont déjà générateurs d’une importante charge administrative et nécessitent des ressources à la fois financières et humaines conséquentes.
Finalement, la Chambre de Commerce demande que les articles L. 261-1 et L. 261-2 du Code du travail concernant le traitement des données à caractère personnel à des fins de surveillance des salariés sur le lieu de travail soient formellement abrogés afin de lever toute insécurité juridique sur ce point. Ces articles renvoient en effet à la loi modifiée du 2 août 2002, qui sera abrogée par l’entrée en vigueur du RGPD le 25 mai 2018.
En conclusion, la Chambre de Commerce estime que le RGPD pourrait constituer une belle opportunité de susciter la confiance nécessaire au développement de l’économie numérique.
Le texte intégral de l'avis de la Chambre de Commerce est disponible sur le site www.cc.lu, rubrique "Avis et législation": cliquez ici
[1] Directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. Cette directive, à transposer pour le 6 mai 2018 au plus tard, fait l’objet du projet de loi n°7168. Il s’agit ensuite de la directive (UE) 2016/681 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, à transposer pour le 25 mai 2018 qui fait l’objet du projet de loi n°7151. Les différents avis de la Chambre de Commerce relatifs au paquet européen sont consultables sur son site.