Le RGPD vu comme une belle opportunité

Europe. Luxembourg
L’entrée en vigueur, en mai prochain, du règlement européen sur la protection des données (RGPD) est saluée par la Chambre de commerce qui note toutefois qu’il sera synonyme de charges administrative et financière supplémentaires pour les entreprises.

Sources | Paperjam.lu Par Frédéric Antzorn 12 février 2018

La Chambre de commerce vient de rendre son avis sur un projet de loi et deux règlements grand-ducaux devant décliner en droit luxembourgeois un règlement général européen sur la protection des données (RGPD), qui entrera en vigueur dans tous les États membres le 25 mai prochain.

Remplaçant la loi modifiée du 2 août 2002 et les règlements grand-ducaux du 7 juillet 2003, le nouveau régime en matière de protection des données à caractère personnel constituera selon la Chambre de commerce «un véritable changement de paradigme» puisque – indique-t-elle dans un communiqué – le Luxembourg passera d’un système de contrôle ex ante – autorisé autour des procédures de notification et d’autorisation préalable – à un système de contrôle ex post reposant sur le principe de responsabilisation des personnes en charge du traitement et des sous-traitants de données à caractère personnel.

Après s’être penchée plus particulièrement sur les dispositions du projet de loi mettant en œuvre le RGPD, la Chambre de commerce note que si les sanctions pénales actuellement prévues par la loi modifiée d’août 2002 ne sont pas reprises dans le projet de loi – ce dont elle se félicite –, elles sont par contre remplacées par des sanctions financières «très lourdes», qui pourront être infligées par les autorités de contrôle nationales.

Le RGPD prévoit en effet des amendes administratives dissuasives pouvant aller jusqu’à 20 millions d’euros, ou – dans le cas d’une entreprise – jusqu’à 4% du chiffre d’affaires annuel mondial, tout en laissant aux États membres la possibilité de mettre en place d’autres sanctions.

Sur ce point, la Chambre de commerce s’interroge sur l’article 50 du projet de loi qui reconnaît à la Commission nationale pour la protection des données (CNPD) le pouvoir d’assortir ses injonctions d’une astreinte. Elle se demande en particulier si cette disposition est bien conforme au RGPD, qui autorise les États à déterminer d’autres sanctions que les amendes administratives, pour autant qu’elles sanctionnent des violations différentes.
Code du travail: des articles à abroger

De nouvelles menaces pouvant donc peser sur les entreprises, la Chambre de commerce demande à la CNPD de «faire preuve de flexibilité, au moins dans les premiers mois suivant l’entrée en vigueur de la réforme», dans le cadre de sa mission de surveillance des nouvelles dispositions du RGPD et de la future loi.

Plus largement, elle salue le fait que le Luxembourg n’a pas introduit un trop grand nombre de dispositions spécifiques supplémentaires au RGPD et salue la décision prise par le gouvernement de ne pas produire une législation surabondante «qui rendrait tout objectif de conformité irréaliste du point de vue des entreprises».

Elle estime aussi que les changements que doivent opérer ces dernières aux niveaux organisationnel, informatique et juridique ainsi qu’au niveau des processus opérationnels afin de se mettre en conformité avec le nouveau RGPD «sont déjà générateur d’une importante charge administrative et nécessitent des ressources à la fois financières et humaines conséquentes».

Enfin, la Chambre de commerce demande que les articles du Code du travail concernant le traitement des données à caractère personnel à des fins de surveillance des salariés sur le lieu de travail soient formellement abrogés afin de lever toute insécurité juridique sur ce point, ces articles renvoyant à la loi modifiée d’août 2002 qui sera abrogée par l’entrée en vigueur du RGPD en mai prochain.

En conclusion, s’il était tenu compte de ses remarques, la Chambre de commerce considère que le RGPD pourrait constituer «une belle opportunité de susciter la confiance nécessaire au développement de l’économie numérique».