Protection des données personnelles
La Constitution, dans l’article 11, dispose que « l’État garantit la protection de la vie privée, sauf les exceptions fixées par la loi ». L'article 8 (1) de la Charte des droits fondamentaux de l'Union européenne énonce que « Toute personne a droit à la protection des données à caractère personnel la concernant ».
Dans sa politique visant le développement diversifié de nouvelles technologies, le gouvernement prête une attention particulière à la protection de la vie privée et des libertés individuelles, pour tirer le meilleur parti du progrès technologique.
Le défi en matière de protection des données personnelles et de la vie privée est double dans une société numérique: d'un côté, il s'agit de garantir aux citoyens des standards élevés de protection de la sphère privée et de leur permettre un contrôle de l'utilisation de leurs données personnelles, et de l'autre côté, il faut veiller à ne pas freiner le développement du potentiel économique lié aux évolutions technologiques, comme les blockchains ou l’intelligence artificielle, qui peuvent offrir des opportunités exceptionnelles.
Le 15 décembre 2015, la Présidence luxembourgeoise du Conseil de l'Union européenne était parvenue à un accord informel en trilogues avec le Parlement européen sur le paquet "protection des données" qui définit les nouvelles règles européennes applicables en matière de vie privée à l'ère numérique. Le Règlement (UE) 2016/679 (règlement général sur la protection des données “RGPD”) est entré en application le 25 mai 2018. Il est directement applicable dans tous les États membres de l'Union européenne y inclus du Luxembourg.
Il appartient à la Commission nationale pour la protection des données (CNPD), l'autorité indépendante instituée par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, de veiller au respect des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée. Sa mission s'étend également à assurer le respect des dispositions de la loi modifiée du 30 mai 2005 sur la protection de la vie privée dans le secteur des communications électroniques.
Ces règles visent à donner aux citoyens plus de contrôle sur leurs données à caractère personnel, à responsabiliser davantage les entreprises tout en réduisant leurs charges administratives et à renforcer le rôle des autorités de protection des données telles que la CNPD.
Prévention des obstacles à la circulation des données non personnelles
Afin d’exploiter le potentiel du marché des données de l’Union européenne, il a semblé nécessaire d’améliorer la mobilité des données à caractère non personnel à travers les frontières du marché unique, tout en préservant la capacité des autorités compétentes de demander et d’obtenir l’accès aux données à des fins de contrôle réglementaire, et de permettre aux utilisateurs professionnels des services de stockage ou de traitement des données de changer de fournisseur et de transférer leurs données plus facilement, sans que cette charge ne soit excessive pour les fournisseurs de service, ni créer de distorsion sur le marché.
C’est dans cette optique que le règlement (UE) 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne a été adopté (règlement « free flow of (non personal) data »). Ce règlement européen énonce un principe de libre circulation des données à caractère non personnel, selon lequel il appartient à chaque État membre d’éliminer de sa législation toute exigence de localisation de données non personnelles, sauf si une restriction ou une interdiction se justifie par des motifs de sécurité. Ce principe fait écho à ce qui se pratique en matière de données personnelles, en effet le RGPD énonce que les États membres ne peuvent ni limiter ni interdire la libre circulation des données personnelles au sein de l’UE pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données personnelles.
De plus, le règlement (UE) 2018/1807 assure que les données soient disponibles à des fins de contrôle réglementaire de la part des autorités compétentes et instaure notamment un mécanisme de coopération entre autorités compétentes de différents États membres.
Enfin, le règlement « free flow of data » promeut l’autorégulation en matière de portabilité de données entre fournisseurs de services et les utilisateurs professionnels, grâce au développement de codes de conduites européens.
Le Service des médias, des communications et du numérique est le point de contact pour la libre circulation des données non personnelles.