En tant qu’autorité de contrôle nationale en matière de protection des données personnelles, la Commission nationale pour la protection des données (CNPD) a un rôle hautement pertinent à jouer dans la société fortement numérisée comme nous la connaissons aujourd’hui.

Photo- Andrii Yalanskyi/Shutterstock
Photo- Andrii Yalanskyi/Shutterstock

Ce rôle est double : d’abord, elle est chargée de veiller à la légalité des traitements des données à caractère personnel et assure le respect des droits et libertés fondamentaux des individus en matière de protection des données personnelles. La CNPD réalise cela en traitant les réclamations de personnes concernées et en menant, si elle le juge opportun, des enquêtes qui peuvent conduire à des sanctions et des mesures correctrices.

Mais la CNPD a aussi un rôle crucial à jouer en matière de sensibilisation, de guidance et d’éducation. Elle publie des recommandations et des guides pratiques pour clarifier les obligations légales et promouvoir une culture de protection des données au sein de la société. Veillant à démystifier le jargon technique des textes légaux applicables, elle organise des campagnes pour informer le public sur leurs droits et les bonnes pratiques en la matière. Dans ce sens, et pour faciliter la bonne compréhension et application des grands principes de la protection des données, la CNPD propose des formations et autres outils utiles.

Près de 7 ans après l’entrée en application du règlement général sur la protection des données (RGPD), la CNPD a pu constater un besoin continu de sensibilisation et de formation sur la bonne application de cette réglementation. Voilà pourquoi la Commission nationale étend son offre en outils de formation et de sensibilisation.

RGPD : le constat d’un manque de maturité des entreprises en la matière

Près de 7 ans après l’entrée en application du règlement général sur la protection des données (RGPD), la CNPD a pu constater un besoin continu de sensibilisation et de formation sur la bonne application de cette réglementation. En même temps, les progrès de la digitalisation, accélérés par des nouvelles technologies comme l’intelligence artificielle, conduisent à ce que les entreprises, administrations publiques, associations, indépendants et autres professionnels procèdent de plus en plus à la collecte, l’échange et le traitement de données à caractère personnel de personnes concernées (clients, consommateurs, patients, salariés, personnel de fournisseurs, citoyens, etc.).

Face à ces défis, il est important que les entreprises comprennent les grandes lignes de la protection des données personnelles et adoptent les bons réflexes à avoir. Voilà pourquoi la Commission nationale étend son offre en outils de formation et de sensibilisation.

DAAZ – pratique, accessible et facile à utiliser par tout un chacun

Développée en collaboration avec la Luxembourg House of Cybersecurity (LHC) et le National Cybersecurity Competence Center (NC3), DAAZ est une plateforme d’apprentissage en ligne qui répond aux défis de la protection des données personnelles. Il s’agit à la fois d’un outil de sensibilisation expliquant les principes de base et d’un moyen d’aide à la mise en conformité au RGPD.

Sélectionnée dans un appel à projet compétitif de la Commission européenne, DAAZ, acronyme de Data Accountability from A to Zen, fournit aux acteurs de l’économie nationale un outil en ligne simple, intuitif et gratuit permettant à ces derniers d’intégrer leurs obligations RGPD en tant que responsables du traitement ou de sous-traitants dans le cadre de leur activité. Sans avoir besoin de connaissances juridiques, ils sont accompagnés dans l’évaluation, le renforcement ainsi que le maintien de leur mise en conformité au RGPD, améliorant ainsi leur transparence et consolidant la confiance des consommateurs.

Accessible depuis le nom de domaine www.daaz-gdpr.lu, l’outil est entièrement gratuit et disponible en français, anglais et allemand.

Data Protection Basics – une introduction au RGPD

La CNPD a adapté en 2023 la formation Data Protection Basics mise en place en 2018 pour accompagner l’entrée en application du RGPD. Se déroulant sur une journée (5 heures), la formation a comme objectif d’expliquer les bases de la protection de la vie privée et des données personnelles pour permettre une bonne compréhension et application du RGPD. Sont abordés les principes clés de la protection des données, les droits des personnes concernées et les obligations des organisations. La formation fait également connaître le rôle du Délégué à la Protection des Données (DPO), ainsi que le rôle des autres autorités de contrôle. Enfin, elle donne un aperçu sur les outils de conformité volontaires comme les certifications et codes de conduite.

Ce cours vise des personnes à titre individuel, personnel ou professionnel, intéressées mais novices en protection des données. Aucun prérequis n’est demandé ou recommandé pour y participer. Les sessions sont gratuites et offertes en langue française et anglaise.

DAAZ (Data Accountability from A to Zen) fournit aux acteurs de l’économie nationale un outil en ligne simple, intuitif et gratuit permettant à ces derniers d’intégrer leurs obligations RGPD en tant que responsables du traitement ou de sous-traitants dans le cadre de leur activité.

Data Protection Basics & Artificial Intelligence

Dans le contexte de la percée forte et rapide de l’intelligence artificielle (IA) dans le quotidien des organisations et de la société et l’importance croissante qu’est donnée à cette évolution au niveau national et européen, la CNPD propose une formation permettant de se familiariser avec les concepts de base de l’IA dans le contexte de la protection des données personnelles et du RGPD.

Offerte en langue française, la formation gratuite de 4 heures se veut interactive, ponctuée par des exercices et discussions permettant aux participants de se projeter dans différentes situations. En plus d’introduire le sujet de l’IA dans le contexte du RGPD, le cours aborde également les inférences entre le RGPD et l’AI Act (règlement européen sur l’intelligence artificielle). Des connaissances au moins de base de la protection des données et du RGPD sont prérequis pour pouvoir participer à cette formation, qui est gratuite et se déroule en présentiel en langue française.

DaProLab : un espace de discussion pour avancer ensemble

S’adressant à un public expérimenté en protection des données, la CNPD organise régulièrement des ateliers de travail appelés Data Protection Laboratory (DaProLab). Lors d’une séance de DaProLab, un sujet défini à l’avance est discuté de façon collaborative, à huis clos entre les participants. Ces derniers confrontent entre eux leur compréhension, prises de position, points de vue, idées et décisions par rapport aux principes de la protection des données, au RGPD, aux sujets d’actualité, etc. afin d’obtenir un feedback critique. Il s’agit avant tout d’un échange de connaissances, d’expériences et de bonnes pratiques.

La CNPD intervient en tant que modérateur et médiateur de cette rencontre mais ne participe pas de façon active dans les discussions. Le but de ce format est de favoriser une culture de responsabilisation des participants. Les thèmes d’ateliers DaProLab précédents comprenaient les Analyses d’Impact sur la Protection des Données (AIPD), les décisions automatisées, l’intelligence artificielle, etc.

La CNPD sur la route de l'innovation numérique responsable

Outre les outils de formation mentionnés, la CNPD met à la disposition des professionnels des outils volontaires pour les soutenir dans leur conformité aux obligations découlant du RGPD. Elle peut être amenée à revoir des codes de conduite proposés par des organismes d’un même secteur d’activité et propose par ailleurs le schéma de certification dénommé GDPR-CARPA, premier à avoir été adopté sur base du RGPD en Europe. Ce dernier répond aux besoins des professionnels ayant déjà atteint un certain niveau de maturité et qui souhaitent démontrer que leurs opérations de traitement respectent le règlement général sur la protection des données.

Par ailleurs, la Commission nationale a lancé en 2024 Sandkëscht, un bac à sable réglementaire. Sandkëscht offre un environnement dédié à la mise à l’essai et à la compréhension des implications légales des nouvelles technologies et/ou de nouveaux usages de la donnée, notamment dans le domaine de l'intelligence artificielle.

Toutes ces initiatives témoignent de l’engagement déterminé de la CNPD à soutenir un écosystème dynamique et innovant dans le respect de la protection des données personnelles. Nous restons ouverts à toutes les contributions et suggestions de la part des acteurs luxembourgeois pour continuer à les accompagner efficacement dans leur transition vers une économie numérique responsable et respectueuse de la vie privée.

Visitez le site de la CNPD pour plus d’informations.