Le 30 janvier 2023, la Fondation Restena et l’Université du Luxembourg ont co-organisé  la 6^ème édition du Data Privacy Day dédié à la protection des données à caractère personnel. Après deux années en ligne, dû à la pandémie de COVID-19, l’événement s’est tenu pour la première fois en mode hybride. Pas moins de 240 participant-e-s, un record pour l’événement depuis sa création en 2018, se sont rassemblé-e-s autour des thématiques mis en avant : les transferts internationaux de données, avec un focus dans un contexte de recherche, la culture de la vie privée et la protection des données de santé, la protection des données à caractère personnel dès la conception, ainsi que le règlement Data Governance Act et l’applicabilité du Règlement général sur la protection des données (RGPD).

Après la session d’ouverture par Raoul Winkens, Data Protection Officer à l’Université de Maastricht, le Data Privacy Day 2023 a rassemblé des intervenant-e-s de la Commission européenne, de la Commission nationale pour la protection des données (CNPD), de BEE SECURE, de l'Association pour la protection des données à Luxembourg (APDL) et de l’Université du Luxembourg rejoints cette année par le cabinet d’avocats Togouna & Tome Avocats.

Des exigences renforcées pour le transfert et la santé

Le RGPD, qui définit le cadre principal du traitement des données à caractère personnel dans l'Union Européenne depuis mai 2018, a été abordé dès les premières minutes. Tout comme d’autres législations, le RGPD, en établissant des règles pour permettre la libre circulation des données personnelles et protéger les droits et libertés des personnes, est notamment nécessaire pour guider et orienter l’innovation et le développement.

La recherche, justement, ne connaît pas de frontières. Les activités liées nécessitent souvent de transférer des données en dehors de l'Union européenne et de l'Espace économique européen. Alors que des instruments juridiques complexes sont d’ores et déjà en vigueur, de nouvelles exigences ont été formulées par la Cour de Justice de l’Union européenne (arrêt Schrems II) dans le cadre de l’utilisation des Clauses Contractuelles Types (Standard Contractual Clauses - SCC) tels que recommandés par le Comité européen de la protection des données (European Data Protection Board – EDPB). L’EDPB a ainsi publié des ‘Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE’. En cas d’impossibilité de signer les CCT et d’appliquer des règles d’entreprises contraignantes (Binding Corporate Rules - BCR), il convient d’examiner si le transfert de données peut être réalisé au moyen des dérogations prévues à l’article 49 ‘Dérogations pour des situations particulières’.

Outre la recherche, le traitement de données relatives à la santé mérite également une attention particulière. Constituant une catégorie particulière de données à caractère personnel, un régime de traitement des données plus strict s’y applique. Leur utilisation engendre de nombreuses préoccupations, notamment sur la loyauté et la transparence des algorithmes, leur utilisation secondaire et la perte de contrôle des données personnelle, ou bien encore des questions éthiques. Réduire les risques de violation de la vie privée inhérents à l'utilisation des technologies numériques dans le secteur de la santé se révèle donc indispensable.

La vie privée, une donnée à protéger

Si la vie privée est une notion importante, son respect l’est encore plus. Aussi, tout utilisateur d’un produit ou service est en droit de s’assurer que sa vie privée soit respectée. Les concepteurs de produits sont ainsi invités à  prendre en compte et intégrer pleinement cette notion dès les prémisses de leurs produits, dans une perspective Privacy by design ou Protection de la vie privée dès la conception. Pour y parvenir, il se révèle indispensable non seulement de minimiser le recueil et le stockage de données, mais également de prouver aux personnes concernées la confidentialité de leurs données.

Dans le futur, une boîte à outils de support à la conformité à la protection des données (TOolkit DAta Protection CompLiance SupporT) verra le jour au Luxembourg. Cet outil, développé dans le cadre d’un projet européen mené par un consortium composé de la CNPD et du Luxembourg House of Cybersecurity (LHC) facilitera la mise en œuvre des obligations GDPR incombant aux très petites, petites et moyennes entreprises au Luxembourg.

Une nouvelle loi européenne sur la gouvernance des données (Data Governance Act), proposée par la Commission Européenne dans le cadre de sa stratégie en matière de données interagira également avec le GDPR. Applicable à partir de septembre 2023, elle impactera les experts en protection des données et les délégués à la protection des données qui seront inéluctablement amenés à prendre en comptes les considérations de ce nouveau document.