Projet de loi n°7373 concernant la limitation de la portée de certains droits et obligations dans le cadre du RGPD

Ledit Projet ¹ a notamment pour objet d’introduire certaines limitations spécifiques facultatives dans la législation nationale afin d’adapter l’application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) en matière de surveillance du secteur financier et des assurances. La loi modifiée du 23 décembre 1998 portant création d’une commission nationale de surveillance du secteur financier (Loi CSSF) et la loi modifiée du 7 décembre 2015 sur le secteur des assurances (Loi Assurances) sont également impactées par ce Projet. Des adaptations ponctuelles sont prévues dans la loi modifiée du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d’investissement.  

Les articles 6 et 23 du RGPD prévoient la possibilité pour les Etats membres de différer ou limiter la portée de certaines obligations (comme par ex. les obligations d’informations de la part des différentes autorités de contrôle) ainsi que de certains droits de la personne concernée prévus par le RGPD (Par ex. : droits d’accès, de limitation du traitement, et d’opposition au traitement). Une limitation importante des droits de la personne concernée réside ici dans le secret professionnel de la CSSF.

Il est à noter que cette possibilité de limitation n’est possible que si elle constitue une mesure nécessaire et proportionnée pour garantir l’intérêt public général.

Le projet de loi exige que, dans le cadre de cette appréciation, la CSSF et le CAA tiennent compte de toutes les circonstances factuelles et juridiques du cas qui se présente à eux. Parallèlement, le texte du projet de loi prévoit des dispositions protectrices en contrepartie de cette limitation pour ainsi maintenir un haut degré de protection dans le chef des personnes concernées.

Dans son avis en date du 12 mars dernier, la Chambre de commerce ne peut approuver ledit Projet que sous réserve de la prise en compte de ses remarques.

Elle relève tout d’abord quelques observations notamment au sujet de l’intitulé du Projet qui ne reflète pas rigoureusement son contenu étant donné que celui-ci comporte trois articles modifiant respectivement la Loi CSSF et la Loi Assurances mais également la Loi du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d’investissement.

Si globalement la Chambre de commerce ne remet pas en question la légitimité des limitations aux droits des personnes concernées en matière de surveillance du secteur financier et des assurances admises par l’article 23 du RGPD, elle s’interroge toutefois sur certaines dispositions du Projet et leur compatibilité avec ledit article 23.

Le Projet insère ainsi des restrictions aux futurs articles 16-3 à 16-7 de la Loi CSSF et 13-3 et 13-7 de la Loi Assurances. La Chambre de commerce est dubitative quant à la liste des motifs que les autorités de surveillance peuvent invoquer pour exercer ces limitations. Elle constate que les critères d’application des limitations sont exprimés de manière trop large et par conséquent pourraient être susceptibles d’une application disproportionnée, ne remplissant donc pas la condition de « mesure nécessaire et proportionnée » de l’article 23 du RGPD.

La Chambre de commerce regrette également que le Projet ne se conforme pas totalement à l’article 23 du RGPD qui requiert que toute mesure législative introduisant des limitations sur cette base contienne a minima certaines « dispositions spécifiques ». Ainsi les dispositions spécifiques relatives à la détermination du responsable du traitement ou des catégories de responsables du traitement, ainsi qu’aux risques pour les droits et libertés des personnes concernées, sont absentes du Projet.

Concernant plus spécifiquement les informations à fournir à la Commission Nationale pour la Protection des Données (CNPD) par l’autorité de surveillance, les futurs articles 16-8 de la Loi CSSF et 13-8 de la Loi Assurances sont concernés. La Chambre de commerce constate que ces points doivent être clarifiés pour des raisons de sécurité juridique. En effet, le Projet n’est pas assez explicite quant aux informations à mettre à disposition de la CNPD. Le Projet doit préciser davantage s’il s’agit des motifs fondant la décision de l’autorité de surveillance, de la date de la fin de la limitation voire les deux. La Chambre de commerce relève également une insuffisance quant aux modalités de mise à disposition de ces informations à la CNPD.

S’agissant du secret professionnel auquel est soumis l’autorité de surveillance, la Chambre de commerce propose de lever cette limitation au bénéfice de la CNPD dans le cadre des informations mises à disposition de celle-ci.

Le projet de loi 7373/00 et l’avis de la Chambre de commerce 7373/01 sont disponibles sur LexNow.

Fourni par Legitech