Projet de règlement grand-ducal fixant les modalités ayant trait aux missions du chargé de la protection des données. (2853WJE)

Projet de règlement grand-ducal fixant les modalités ayant trait aux missions du chargé de la protection des données. (2853WJE)

AVIS DE LA CHAMBRE DE COMMERCE

Par sa lettre du 27 mai 2004, Monsieur le Ministre délégué aux Communications a bien voulu saisir la Chambre de Commerce pour avis du projet de règlement grand-ducal sous rubrique.

Le présent projet de règlement grand-ducal vise à instaurer les dispositions réglementaires prévues à l’article 40 paragraphe (10) de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Cet article énonce qu’« un règlement grand-ducal fixera les modalités de désignation et de révocation du chargé de protection des données, d’exécution de ses missions, de même que ses relations avec la Commission nationale ». La Chambre de Commerce se doit de faire remarquer d’emblée que le présent projet de règlement grand-ducal ne contient pas de dispositions ayant trait à la révocation des chargés de protection des données.

Les principaux griefs formulés par la Chambre de Commerce à l’égard du projet de règlement grand-ducal sous avis sont les suivants. En premier lieu, la Chambre de Commerce estime qu’il n’est pas nécessaire pour une personne morale chargée de la protection des données de désigner spécialement une personne physique comme représentant. Deuxièmement, elle est d’avis qu’il appartient au chargé de la protection des données, respectivement au responsable de traitement de décider du nombre de chargés de protection des données qu’il(s) estime(nt) nécessaires pour les différents domaines au sein d’un organisme. Troisièmement, la Chambre de Commerce s’oppose à l’exigence supplémentaire imposée au chargé de la protection des données de devoir remettre tous les quatre mois un relevé du registre des traitements effectués à la CNPD. Enfin, elle plaide pour une extension du délai d’un mois à trois mois pour procéder au remplacement d’un chargé de la protection des données révoqué, démissionnaire ou en incapacité d’exercer ses missions.

$$$PAGEBREAK$$$ 

Commentaire des articles

Concernant l’article 1er

La Chambre de Commerce se demande s’il n’y aurait pas lieu de modifier la deuxième phrase de l’article 1er (a) comme suit : « La décision concernant cet agrément sera prise sur contrôle des pièces et devra intervenir au plus tard trois mois après réception de la demande par la CNPD », la délivrance de l’agrément ne se faisant pas de façon automatique.

Concernant l’article 2

La Chambre de Commerce propose de modifier la deuxième phrase de l’article 2 (a) comme suit : « Toute personne peut prendre connaissance, à titre gratuit, du contenu de cette liste qui sera mise en ligne ». La Chambre de Commerce ne conçoit en effet guère l’emploi du conditionnel dans un texte législatif.

En ce qui concerne l’alinéa (b) de cet article, la Chambre de Commerce éprouve des difficultés à comprendre la nécessité pour une personne morale chargée de la protection des données de désigner une personne physique qui agit en son nom et ayant pouvoir pour l’engager dans la mesure où le responsable du traitement lui-même peut être une personne morale, voire une autorité ou un service, et que la loi elle-même n’impose pas à celles- ou ceux-ci de désigner une personne physique en tant que responsable de traitement. Par ailleurs, tous les textes légaux instaurant des personnes morales prévoient des dispositions traitant de la représentation de celles-ci.

Concernant l’article 3

La Chambre de Commerce est d’avis que l’alinéa (a) de cet article est superfétatoire en ce qu’il ne fait que rappeler l’article 40 paragraphe (5) de la loi du 2 août 2002 qui dispose que « Peuvent être désignés à la fonction de chargé de protection des données les personnes physiques et morales qui sont agréées par la Commission nationale ».

En ce qui concerne l’alinéa (b) de cet article, la Chambre de Commerce estime qu’il devrait toujours être possible de ne désigner qu’un seul et même chargé de la protection des données pour plusieurs domaines au sein d’un organisme, et non pas, comme le prévoit le projet de règlement grand-ducal sous avis, dans les seuls cas où la structure de l’organisme le permet. La Chambre de Commerce pense qu’il devrait rester de la responsabilité du chargé de la protection des données, respectivement du responsable de traitement, de décider du nombre approprié de chargés de protection des données. Par ailleurs, elle estime que cette exigence est définie de façon trop vague et floue pour pouvoir valoir obligation stricte.

Concernant l’article 4

La Chambre de Commerce se doit de réprimander l’exigence prévue par cet article et imposée au chargé de la protection des données de remettre tous les quatre mois un relevé du registre des traitements effectués à la CNPD, alors qu’une telle exigence va à l’encontre de l’objectif d’une simplification administrative et n’est d’ailleurs pas prévue par la loi. Il s’agit là d’une mesure supplémentaire imposée au chargé de la protection des données par rapport au responsable du traitement qui n’est tenu que de notifier les changements intervenus dans les traitements.

Concernant l’article 5

La Chambre de Commerce est d’avis que le délai d’un mois laissé au responsable du traitement pour procéder au remplacement d’un chargé de la protection des données révoqué, démissionnaire ou en incapacité d’exercer ses missions est trop court et qu’il y a lieu de l’étendre à trois mois.

*  *  *

Après consultation de ses ressortissants, la Chambre de Commerce ne peut marquer son accord au projet de règlement grand-ducal sous rubrique que sous réserve de la prise en compte de ses remarques.