Recueil consolidé applicable au 03 mars 2022 généré de manière automatique à partir des versions consolidées des actes qui le composent. MINISTÈRE D’ÉTAT - SERVICE CENTRAL DE LÉGISLATION www.legilux.public.lu
Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données. ( Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État. )
Sommaire Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données............................................................ 3 Règlement grand-ducal du 1er août 2018 portant fixation des indemnités revenant au président, aux membres du collège et aux membres suppléants de la Commission nationale pour la protection des données...................................................................................................................... 22 Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.......... 23 Loi du 1er août 2018 relative au traitement des données des dossiers passagers................................. 56 Version consolidée applicable au 25/12/2020 : Loi modifiée du 30 mai 2005 - relative aux dispositions spécifiques de protection de la personne à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques et - portant modification des articles 88-2 et 88-4 du Code d’instruction criminelle................................................................. 69 Règlement grand-ducal du 8 octobre 2020 portant fixation du siège de la Commission nationale pour la protection des données.......................................................................................................... 81 Version consolidée applicable au 03/03/2022 : Loi du 17 août 2018 relative à l’archivage................... 82
Les dispositions du titre II s’appliquent aux responsables de traitement et aux sous-traitants établis sur le territoire luxembourgeois.
La Commission nationale pour la protection des données, désignée ci-après par le terme « CNPD », est un établissement public indépendant doté de la personnalité juridique. Elle jouit de l’autonomie financière et administrative. Son siège est fixé par règlement grand-ducal.
1° du règlement (UE) 2016/679 ; 2° de la présente loi ; 3° de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ; 4° des textes légaux prévoyant des dispositions spécifiques en matière de protection des données à caractère personnel.
La CNPD n’est pas compétente pour contrôler les opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles.
La CNPD représente le Luxembourg au « Comité européen de la protection des données » institué par l’article 68 du règlement (UE) 2016/679 et contribue à ses activités.
La CNPD exerce les missions dont elle est investie en vertu de l’article 57 du règlement (UE) 2016/679.
1° contrôle l'application des dispositions et des mesures d'exécution et veille au respect de celles-ci ; 2° favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données personnelles ; 3° conseille la Chambre des députés, le Gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données personnelles ; 4° encourage la sensibilisation des responsables du traitement et des sous-traitants aux obligations qui leur incombent ; 5° fournit, sur demande, à toute personne concernée, des informations sur l'exercice de ses droits et, le cas échéant, coopère à cette fin avec les autorités de contrôle d'autres États membres ; 6° traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association conformément à l'article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ; 7° vérifie la licéité du traitement, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification, conformément à l’article 16, paragraphe 3, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, ou des motifs ayant empêché sa réalisation ; 8° met en place des mécanismes efficaces pour encourager le signalement confidentiel des violations des traitements de données à caractère personnel ; 9° coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et des mesures prises pour en assurer le respect ; 10° effectue des enquêtes sur l'application de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique ; 11° suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication ; 12° fournit des conseils sur les opérations de traitement visées à l'article 27 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
La CNPD facilite l'introduction des réclamations visées à l’article 8, point 6, par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus.
La CNPD établit un rapport annuel sur ses activités, qui comprend une liste des types de violations notifiées et des types de sanctions imposées en vertu du règlement 2016/679 et de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. Les rapports sont transmis à la Chambre des députés, au Gouvernement, à la Commission européenne et au Comité européen de la protection des données et sont rendus publics.
L’accomplissement des missions est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données qui agit dans le cadre de ses missions. Lorsqu’une demande est manifestement infondée ou excessive, la CNPD peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à la CNPD de démontrer le caractère manifestement infondé ou excessif de la demande.
Dans le cadre des missions de l’article 7, la CNPD dispose des pouvoirs tels que prévus à l’article 58 du règlement (UE) 2016/679.
La CNPD a le pouvoir de porter toute violation du règlement (UE) 2016/679, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et de la présente loi à la connaissance des autorités judiciaires et, le cas échéant, le droit d’ester en justice dans l’intérêt du règlement (UE) 2016/679 conformément à son article 58 et dans l’intérêt de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
1° obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l'exercice de ses missions ; 2° avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ; 3° ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, le cas échéant, de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application de l'article 15 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ; 4° limiter temporairement ou définitivement, y compris d’interdire, un traitement ; 5° conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 27 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ; 6° émettre, de sa propre initiative ou sur demande, des avis à l'attention de la Chambre des députés et de son Gouvernement ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel.
Les organismes de certification visés à l’article 43, paragraphe 1er, du règlement (UE) 2016/679 doivent être agréés par la CNPD.
La CNPD est un organe collégial composé de quatre membres, dont un président. Les membres sont appelés Commissaires à la protection des données et sont autorisés à porter le titre de « Commissaire » sans que cela ne modifie ni leur rang ni leur traitement. Sont également nommés quatre membres suppléants. Les membres suppléants sont appelés à suppléer à l’absence ou à l’empêchement de siéger des membres du collège.
Les membres du collège et membres suppléants sont nommés et révoqués par le Grand-Duc sur proposition du Conseil de gouvernement. Le président est désigné par le Grand-Duc. Les membres du collège et membres suppléants sont nommés pour un terme de six ans, renouvelable une fois. Les membres du collège et les membres suppléants agissent en toute indépendance dans l’exercice de leurs missions et pouvoirs. Ils demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.
Le Conseil de gouvernement propose au Grand-Duc comme membres du collège et membres suppléants des personnes remplissant les conditions d’admission pour l’examen-concours du groupe de traitement A1 et ayant la nationalité luxembourgeoise. Les membres du collège et les membres suppléants sont nommés sur la base de leur compétence et expérience en matière de protection des données à caractère personnel. Les postes vacants pour les mandats des membres du collège sont publiés au plus tard six mois avant l’expiration du mandat. La publication se fait sous la forme d’un appel à candidats précisant le nombre de places vacantes, les conditions de nomination, les missions de l’organe à composer et les modalités de dépôt de la candidature.
Avant d’entrer en fonction, le président prête entre les mains du Grand-Duc ou de son représentant le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. » Avant d’entrer en fonction, les membres et membres suppléants prêtent entre les mains du président le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. »
Les membres du collège ont la qualité de fonctionnaire en ce qui concerne leur statut, leur traitement et leur régime de pension. Ils bénéficient d’une indemnité spéciale tenant compte de l’engagement requis par les fonctions, à fixer par règlement grand-ducal sans que pour autant le total du traitement barémique et de l’indemnité spéciale ne puisse dépasser le traitement barémique du grade S1.
Sans préjudice de l’application d’éventuelles sanctions disciplinaires, le membre du collège, qui bénéficiait auparavant du statut d’agent de l’État, dont le mandat n’est pas renouvelé ou qui est révoqué, est nommé au dernier grade de la fonction la plus élevée de l’un des sous-groupes de traitement, à l’exception du sous-groupe à attributions particulières, de la catégorie de traitement A, groupe de traitement A1 de son administration d’origine, à l’échelon de traitement correspondant à l’échelon de traitement atteint dans la fonction précédente ou, à défaut d’échelon correspondant, à l’échelon de traitement immédiatement inférieur. Les indemnités spéciales attachées à sa fonction de membre du collège ne sont pas maintenues. Il peut faire l’objet d’un changement d’administration dans une autre administration ou un établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.
Sans préjudice de l’application d’éventuelles sanctions disciplinaires, le membre du collège, qui ne bénéficiait pas auparavant du statut d’agent de l’État, dont le mandat n’est pas renouvelé ou qui est révoqué, est nommé au dernier grade de la fonction la plus élevée de l’un des sous-groupes de traitement, à l’exception du sous-groupe à attributions particulières, de la catégorie de traitement A, groupe de traitement A1 d’un département ministériel, à l’échelon de traitement correspondant à l’échelon de traitement atteint dans la fonction précédente ou, à défaut d’échelon correspondant, à l’échelon de traitement immédiatement inférieur. Les indemnités spéciales attachées à sa fonction de membre du collège ne sont pas maintenues. Il peut faire l’objet d’un changement d’administration dans une autre administration ou un établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.
En cas d’absence de vacance de poste budgétaire dans le groupe de traitement visé aux articles 21 et 22, l’effectif du personnel est augmenté temporairement jusqu’à la survenance de la prochaine vacance de poste dans ce groupe de traitement.
Les membres suppléants touchent une indemnité dont le montant est fixé par règlement grand-ducal.
En cas de cessation de mandat par un membre du collège ou un membre suppléant, il est désigné un successeur conformément aux articles 17 à 19.
Les membres du collège ou membres suppléants ne peuvent être membres du Gouvernement, de la Chambre des députés, du Conseil d’État ou du Parlement européen, ni exercer d’activité professionnelle ou détenir directement ou indirectement des intérêts dans une entreprise ou tout autre organisme opérant dans le champ des traitements de données.
Le cadre du personnel de la CNPD comprend des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État. Le cadre du personnel peut être complété, selon les besoins et dans la limite des crédits budgétaires, par des stagiaires, des employés et des salariés de l’État.
Les pouvoirs conférés au chef d'administration par les lois et règlements grand-ducaux applicables aux agents de l’État sont exercés à l'égard du personnel de la CNPD par le président. Les pouvoirs conférés au ministre du ressort ou au Conseil de gouvernement ou à l’autorité investie du pouvoir de nomination par les lois et règlements précités sont exercés à l'égard du personnel de la CNPD par le collège.
Les rémunérations et autres indemnités de tous les membres du collège, membres suppléants et agents de la CNPD sont à charge de la CNPD.
La CNPD peut faire appel à des experts externes dont les prestations sont définies et rémunérées sur la base d’un contrat de droit privé.
1° les conditions de fonctionnement de la CNPD ; 2° l’organisation des services de la CNPD ; 3° les modalités de la convocation des membres du collège et la tenue des réunions collégiales.
Le collège ne peut valablement siéger ni délibérer qu’à condition de réunir trois membres du collège au moins.
Les membres du collège et membres suppléants ne peuvent siéger, délibérer ou décider dans une affaire dans laquelle ils ont un intérêt direct ou indirect.
Les délibérations sont prises à la majorité des voix. En cas d’égalité des voix, la voix du président est prépondérante. Les abstentions ne sont pas recevables.
La CNPD peut intervenir de sa propre initiative ou à la demande de toute personne physique ou morale conformément aux articles 77 et 80 du règlement (UE) 2016/679 et aux articles 44 et 46 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
L’ouverture d’une enquête peut être proposée à tout moment par un membre du collège. Il soumet cette proposition au collège qui l’approuve endéans un délai d’un mois à la majorité des voix et qui désigne un membre du collège en tant que chef d’enquête. Le président ne peut être désigné comme chef d’enquête.
L’enquête doit se faire à charge et à décharge.
Un règlement de la CNPD définit la procédure devant la CNPD dans le respect du principe du contradictoire.
Le collège prend une décision sur l’issue de l’enquête dans les meilleurs délais. Le chef d’enquête ne peut ni siéger, ni délibérer lorsque le collège décide sur l’issue de l’enquête.
Sans préjudice de l’article 23 du Code de procédure pénale, toutes les personnes exerçant ou ayant exercé une activité pour la CNPD sont tenues au secret professionnel et passibles des peines prévues à l’article 458 du Code pénal en cas de violation de ce secret. Ce secret implique que les informations confidentielles qu’ils reçoivent à titre professionnel ne peuvent être divulguées à quelque personne ou autorité que ce soit, excepté sous une forme sommaire ou agrégée de façon que les personnes soumises à surveillance ne puissent être identifiées, sans préjudice des cas relevant du droit pénal en cas de violation de ce secret.
Par dérogation à l’interdiction de divulgation et de communication prévue à l’article 42 de la présente loi et à l’article 458 du Code pénal, les membres du collège, membres suppléants et agents de la CNPD sont autorisés, pendant l’exercice de leur activité, à communiquer aux autorités et services publics les informations et documents nécessaires à ceux-ci pour l’exercice de leurs missions, à condition que ces autorités, organes et personnes tombent sous un secret professionnel équivalent à celui visé à l’article 42 de la présente loi.
Par dérogation à l’interdiction de divulgation et de communication prévue à l’article 42 de la présente loi et à l’article 458 du Code pénal, les membres du collège, membres suppléants et agents de la CNPD sont autorisés, pendant l’exercice de leur activité, à communiquer aux autorités de contrôle des autres États membres, au comité européen de la protection des données ainsi qu’à la Commission européenne les informations et documents nécessaires à ceux-ci pour l’exercice de leur surveillance, à condition que ces autorités, organes et personnes tombent sous un secret professionnel équivalent à celui visé à l’article 42 de la présente loi et dans la mesure où ces autorités, organes et personnes accordent les mêmes informations à la CNPD.
L’exercice financier de la CNPD coïncide avec l’année civile.
Les comptes de la CNPD sont tenus selon les règles de la comptabilité commerciale. Avant le 30 juin de chaque année, le président du collège de la CNPD soumet au collège les comptes annuels comprenant le bilan et le compte de profits et pertes, l'annexe, arrêtés au 31 décembre de l'exercice écoulé, ainsi que son rapport d'activité et le rapport du réviseur d'entreprises agréé. Le budget annuel de la CNPD est proposé au collège par le président du collège avant le 31 décembre pour l'année qui suit. Les comptes annuels au 31 décembre de l'exercice écoulé avec le rapport du réviseur d'entreprises agréé, le rapport d'activité et le budget annuel sont transmis au Gouvernement en conseil qui décide de la décharge à donner à la CNPD. La décision constatant la décharge accordée à la CNPD ainsi que les comptes annuels de la CNPD sont publiés au Journal officiel. Le Gouvernement en conseil nomme un réviseur d'entreprises agréé sur proposition du collège de la CNPD. Le réviseur d'entreprises agréé a pour mission de vérifier et de certifier les comptes annuels de la CNPD. Le réviseur d'entreprises agréé est nommé pour une période de 3 ans renouvelable. Il peut être chargé par le collège de la CNPD de procéder à des vérifications spécifiques. Sa rémunération est à la charge de la CNPD.
La CNPD bénéficie d’une dotation d’un montant à déterminer sur une base annuelle et à inscrire au budget de l’État. Sans préjudice de l’article 11, la CNPD peut imposer des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation en vertu de l’article 58, paragraphe 3, lettres e), f), h) et j) du règlement (UE) 2016/679. Un règlement de la CNPD détermine le montant et les modalités de paiement des redevances.
Le recouvrement des amendes ou astreintes est confié à l’Administration de l’enregistrement et des domaines. Il se fait comme en matière d’enregistrement.
Quiconque empêche ou entrave sciemment, de quelque manière que ce soit, l’accomplissement des missions incombant à la CNPD, est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125 000 euros ou d’une de ces peines seulement.
1° les voies de recours contre la décision sont épuisées ; et 2° la publication ne risque pas de causer un préjudice disproportionné aux parties en cause.
1° par la notification d’une décision modifiant le montant initial de l’amende ou de l’astreinte ou rejetant une demande tendant à obtenir une telle modification ; 2° par tout acte de l’Administration de l’enregistrement et des domaines visant au recouvrement forcé de l’amende ou de l’astreinte.
1° aussi longtemps qu’un délai de paiement est accordé ; 2° aussi longtemps que l’exécution forcée du paiement est suspendue en vertu d’une décision juridictionnelle.
Un recours contre les décisions de la CNPD prises en application de la présente loi est ouvert devant le Tribunal administratif qui statue comme juge du fond.
Il est créé une administration dénommée « Commissariat du Gouvernement à la protection des données auprès de l’État », désignée ci-après par le terme « Commissariat ». Le Commissariat est placé sous l’autorité du Premier Ministre, Ministre d’État.
Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents désignent un ou plusieurs délégués à la protection des données. Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents, peuvent désigner le Commissariat comme leur délégué à la protection des données. La désignation est notifiée au Commissariat.
Le Commissariat peut également assurer la fonction de délégué à la protection des données pour les communes. Les collèges des bourgmestre et échevins peuvent désigner le Commissariat comme leur délégué à la protection des données. La désignation est notifiée au Commissariat.
1° de développer la protection des données à caractère personnel au sein de l’administration étatique ; 2° de promouvoir les bonnes pratiques à travers l’administration étatique et de stimuler la sensibilisation des agents ; 3° de contribuer à une mise en œuvre cohérente des politiques dans ce domaine : a) en proposant au Gouvernement un programme de gestion de la conformité des activités de traitement de données des entités de l’administration étatique avec la législation applicable, en guidant et accompagnant les chefs d’administration compétents dans la mise en place des mesures appropriées, de procédures et lignes de conduite pour les agents de l’État ; b) en assistant les délégués à la protection des données de l’administration étatique ; c) en conseillant, sur demande, les membres du Gouvernement ; 4° d’assurer, en cas d’application de l’article 57, alinéa 2, la fonction de délégué à la protection des données telle que définie à l’article 38 du règlement (UE) 2016/679 avec les missions décrites à l’article 39 du règlement (UE) 2016/679 ; 5° de collaborer étroitement avec le ministre ayant la Protection des données dans ses attributions.
Le Commissariat est dirigé par un commissaire du Gouvernement à la protection des données auprès de l’État. Le commissaire peut être assisté d’un commissaire adjoint.
1° a) à la prohibition de traiter les catégories particulières de données telle que prévue à l’article 9, paragraphe 1er, du règlement (UE) 2016/679 ; b) aux limitations concernant le traitement de données judiciaires prévues à l’article 10 du règlement (UE) 2016/679 ; lorsque le traitement se rapporte à des données rendues manifestement publiques par la personne concernée ou à des données qui sont en rapport direct avec la vie publique de la personne concernée ou avec le fait dans lequel elle est impliquée de façon volontaire ; 2° au chapitre V relatif aux transferts vers des pays tiers ou à des organisations internationales du règlement (UE) 2016/679 ; 3° à l’obligation d’information de l’article 13 du règlement (UE) 2016/679, lorsque son application compromettrait la collecte des données auprès de la personne concernée ; 4° à l’obligation d’information de l’article 14 du règlement (UE) 2016/679, lorsque son application compromettrait soit la collecte des données, soit une publication en projet, soit la mise à disposition du public, de quelque manière que ce soit de ces données ou fournirait des indications permettant d’identifier les sources d’information ; 5° au droit d’accès de la personne concernée qui est différé et limité en ce qu’il ne peut pas porter sur des informations relatives à l’origine des données et qui permettraient d’identifier une source. Sous cette réserve l’accès doit être exercé par l’intermédiaire de la CNPD en présence du président du Conseil de presse ou de son représentant, ou le président du Conseil de presse dûment appelé.
Lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique, ou à des fins statistiques, le responsable du traitement peut déroger aux droits de la personne concernée prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 dans la mesure où ces droits risquent de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques, sous réserve de mettre en place des mesures appropriées telles que visées à l’article 65.
Le traitement de catégories particulières de données à caractère personnel telles que définies à l’article 9, paragraphe 1er du règlement (UE) 2016/679, peut être mis en œuvre pour les finalités prévues à l’article 9, paragraphe 2, point j) de ce même règlement, si le responsable de traitement remplit les conditions de l’article 65.
1° la désignation d’un délégué à la protection des données ; 2° la réalisation d’une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ; 3° l’anonymisation, la pseudonymisation au sens de l’article 4, paragraphe 5, du règlement (UE) 2016/679 ou d’autres mesures de séparation fonctionnelle garantissant que les données collectées à des fins de recherche scientifique ou historique, ou à des fins statistiques, ne puissent être utilisées pour prendre des décisions ou des actions à l’égard des personnes concernées ; 4° le recours à un tiers de confiance fonctionnellement indépendant du responsable du traitement pour l’anonymisation ou la pseudonymisation des données ; 5° le chiffrement des données à caractère personnel en transit et au repos, ainsi qu’une gestion des clés conformes à l’état de l’art ; 6° l’utilisation de technologies renforçant la protection de la vie privée des personnes concernées ; 7° la mise en place de restrictions de l’accès aux données à caractère personnel au sein du responsable du traitement ; 8° des fichiers de journalisation qui permettent d’établir le motif, la date et l’heure de la consultation et l’identification de la personne qui a collecté, modifié ou supprimé les données à caractère personnel ; 9° la sensibilisation du personnel participant au traitement des données à caractère personnel et au secret professionnel ; 10° l’évaluation régulière de l’efficacité des mesures techniques et organisationnelles mises en place à travers un audit indépendant ; 11° l’établissement au préalable d’un plan de gestion des données ; 12° l’adoption de codes de conduite sectoriels tels que prévus à l’article 40 du règlement (UE) 2016/679 approuvés par la Commission européenne en vertu de l’article 40, paragraphe 9, du règlement (UE) 2016/679. Le responsable de traitement doit documenter et justifier pour chaque projet à des fins de recherche scientifique ou historique ou à des fins statistiques l’exclusion, le cas échéant, d’une ou plusieurs des mesures énumérées à cet article.
Le traitement de données génétiques aux fins de l’exercice des droits propres au responsable du traitement en matière de droit du travail et d’assurance est interdit.
Toute référence à la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel est remplacée par une référence au règlement (UE) 2016/679, à la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et la présente loi.
La loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État est complétée comme suit :
(a) Au paragraphe 1er, point 8° la mention « de membre effectif de la Commission nationale pour la protection des données » est supprimée et les termes « de commissaire du Gouvernement adjoint à la protection des données auprès de l’État, » sont ajoutés après les termes « de commissaire du Gouvernement adjoint du commissariat chargé de l’instruction disciplinaire, » ; (b) Au paragraphe 1er, point 9° la mention de « et de commissaire du Gouvernement à la protection des données auprès de l’État » est ajoutée après celle de « commissaire du Gouvernement chargé de l’instruction disciplinaire » ; (c) Au paragraphe 1er, point 16° la mention « président de la Commission nationale pour la protection des données » est remplacée par « commissaire à la protection des données » ; (d) Au paragraphe 1er, point 23° la mention « , de président de la Commission nationale pour la protection des données » est ajoutée après « de président de l’association d’assurance contre les accidents » .
(a) au grade 16, la fonction de « membre effectif de la Commission nationale pour la protection des données » est supprimée et la fonction de « commissaire du Gouvernement adjoint à la protection des données auprès de l’État, » est ajoutée après celle de « commissaire du Gouvernement adjoint du commissariat du Gouvernement chargé de l’instruction disciplinaire, » ; (b) au grade 17, la fonction de « président de la Commission nationale pour la protection des données » est remplacée par « commissaires à la protection des données » et la fonction de « commissaire du Gouvernement à la protection des données auprès de l’État, » est ajoutée après celle de « commissaire du Gouvernement chargé de l’instruction disciplinaire, » ; (c) au grade 18, la fonction de « président de la Commission nationale pour la protection des données » est ajoutée.
(a) au paragraphe 1er, les termes « de membre effectif de la Commission nationale pour la protection des données » sont supprimés ; (b) au paragraphe 1er, les termes « de commissaire du Gouvernement adjoint à la protection des données auprès de l’État, » sont ajoutés après « de commissaire du Gouvernement adjoint du commissariat du Gouvernement chargé de l’instruction disciplinaire, » et les termes « , de membre effectif de la Commission nationale pour la protection des données » sont supprimés.
« Titre VI - Traitement de données à caractère personnel à des fins de surveillance dans le cadre des relations de travail. »
« L. 261-1. (1) Le traitement de données à caractère personnel à des fins de surveillance des salariés dans le cadre des relations de travail ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6, paragraphe 1er , lettres a) à f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et conformément aux dispositions du présent article. (2) Sans préjudice du droit à l’information de la personne concernée, sont informés préalablement par l’employeur : pour les personnes tombant sous l’empire de la législation sur le contrat de droit privé : le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’inspection du travail et des mines ; pour les personnes tombant sous l’empire d’un régime statutaire : les organismes de représentation du personnel tels que prévus par les lois et règlements afférents. Cette information préalable contient une description détaillée de la finalité du traitement envisagé, ainsi que des modalités de mise en œuvre du système de surveillance et, le cas échéant, la durée ou les critères de conservation des données, de même qu’un engagement formel de l’employeur de la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information préalable. (3) Lorsque le traitement des données à caractère personnel prévu au paragraphe 1er est mis en œuvre : 1. pour les besoins de sécurité et de santé des salariés, 2. pour le contrôle de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou 3. dans le cadre d’une organisation de travail selon l’horaire mobile conformément aux dispositions du présent code, les dispositions prévues aux articles L.211-8, L.414-9 et L.423-1 s’appliquent, sauf lorsque le traitement répond à une obligation légale ou réglementaire. (4) Pour les projets des traitements visés au paragraphe 1er, la délégation du personnel, ou à défaut, les salariés concernés, peuvent, dans les quinze jours suivant l’information préalable, soumettre une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié dans le cadre des relations de travail à la Commission nationale pour la protection des données, qui doit rendre son avis dans le mois de la saisine. Cette demande a un effet suspensif pendant ce délai. (5) Les salariés concernés ont le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données. Une telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement. »
La loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est abrogée.
La CNPD continue la personnalité juridique, y compris le personnel et les engagements juridiques, de la Commission nationale pour la protection des données telle que créée par la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
La durée du mandat des membres du collège et des membres suppléants, nommés avant l’entrée en vigueur de la présente loi, est calculée à partir de la date de nomination de leur mandat en cours lors de l’entrée en vigueur de la présente loi.
Les membres du collège, nommés avant l’entrée en vigueur de la présente loi, sont classés dans le nouveau grade au même numéro d’échelon, diminué d’un échelon ou, à défaut d’un tel échelon, au dernier échelon du grade auquel ils ont été reclassés, sans préjudice du report de l’ancienneté d’échelon acquise sous l’ancienne législation.
En cas de non-renouvellement ou de révocation d’un mandat d’un membre du collège, nommé pour la première fois avant l’entrée en vigueur de la présente loi, celui-ci devient conseiller général auprès de la CNPD avec maintien de son statut et de son niveau de rémunération de base, à savoir le grade 17 pour le président et le grade 16 pour les deux autres membres, à l’exception des indemnités spéciales attachées à sa fonction antérieure. Il peut faire l’objet d’un changement d’administration dans une administration ou dans un autre établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.
La référence à la présente loi peut se faire sous une forme abrégée en recourant à l’intitulé suivant : « Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ».
Les membres suppléants de la Commission nationale pour la protection des données touchent une indemnité de soixante euros par vacation horaire à partir de leur entrée en fonction.
Le règlement grand-ducal du 7 juillet 2003 portant fixation des indemnités revenant au président, aux membres effectifs et aux membres suppléants de la Commission nationale pour la protection des données est abrogé.
Notre Ministre des Communications et des Médias est chargé de l'exécution du présent règlement qui sera publié au Journal officiel du Grand-Duché de Luxembourg.
( Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et portant modification 1° de la loi modifiée du 7 mars 1980 sur l'organisation judiciaire ; 2° de la loi modifiée du 29 mai 1998 portant approbation de la Convention sur la base de l'article K.3 du Traité sur l'Union européenne portant création d'un Office européen de police (Convention Europol), signée à Bruxelles, le 26 juillet 1995 ; 3° de la loi du 20 décembre 2002 portant approbation - de la Convention établie sur base de l'article K.3 du Traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes, signé à Bruxelles, le 26 juillet 1995 ; - de l'Accord relatif à l'application provisoire entre certains États membres de l'Union européenne de la Convention établie sur base de l'article K.3 du Traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes, signé à Bruxelles, le 26 juillet 1995 ; 4° de la loi modifiée du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité ; 5° de la loi modifiée du 16 juin 2004 portant réorganisation du centre socioéducatif de l’État ; 6° de la loi modifiée du 25 août 2006 relative aux procédures d'identification par empreintes génétiques en matière pénale et portant modification du Code d'instruction criminelle ; 7° de la loi du 24 juin 2008 ayant pour objet le contrôle des voyageurs dans les établissements d’hébergement ; 8° de la loi modifiée du 29 mars 2013 relative à l’organisation du casier judiciaire ; 9° de la loi modifiée du 19 décembre 2014 facilitant l'échange transfrontalier d'informations concernant les infractions en matière de sécurité routière ; 10° de la loi modifiée du 25 juillet 2015 portant création du système de contrôle et de sanction automatisés ; 11° de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l'État ; 12° de la loi du 23 juillet 2016 portant mise en place d'un statut spécifique pour certaines données à caractère personnel traitées par le Service de renseignement de l'État ; 13° de la loi du 22 février 2018 relative à l’échange de données à caractère personnel et d’informations en matière policière ; 14° de la loi du 18 juillet 2018 sur la Police grand-ducale ; et 15° de la loi du 18 juillet 2018 sur l’Inspection générale de la Police. )
a) par la Police grand-ducale dans l’exécution de missions à des fins autres que celles visées au paragraphe 1er et prévues par des lois spéciales, b) par le Service de renseignement de l’État dans l’exécution de ses missions prévues à l’article 3 de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État, c) par l’Autorité nationale de sécurité dans l’exécution de ses missions prévues à l’article 20 de la loi modifiée du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité, d) par l’Armée luxembourgeoise dans l’exécution de ses missions prévues à l’article 2 de la loi modifiée du 23 juillet 1952 concernant l’organisation militaire, e) par la Cellule de renseignement financier dans l’exécution de ses missions prévues aux articles 74-1 à 74-6 de la loi modifiée du 7 mars 1980 sur l’organisation judiciaire, et f) par les autorités luxembourgeoises dans le cadre des activités qui relèvent du champ d’application du titre V, chapitre 2, du Traité sur l’Union européenne relatif à la politique étrangère et de sécurité commune.
1° « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée « personne concernée » ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; 2° « traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; 3° « limitation du traitement » : le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur ; 4° « profilage » : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne ; 5° « pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ; 6° « fichier » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; 7° « autorité compétente » : a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, ainsi que les fonctionnaires et agents des administrations et services publics auxquels des lois spéciales ont attribué certains pouvoirs de police administrative ou judiciaire, dans les conditions et dans les limites fixées par ces lois, ou b) tout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; 8° « responsable du traitement » : l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union européenne ou le droit luxembourgeois, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union européenne ou le droit luxembourgeois ; 9° « sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; 10° « destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément à la loi ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ; 11° « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ; 12° « données génétiques » : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ; 13° « données biométriques » : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ; 14° « données concernant la santé » : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ; 15° « autorité de contrôle » : a) l’autorité de contrôle instituée par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, ciaprès désignée comme la « Commission Nationale pour la Protection des Données », et b) l’autorité de contrôle judiciaire instituée par l’article 40 ; 16° « organisation internationale » : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord, y compris l’Organisation internationale de police criminelle (OIPC - Interpol).
a) traitées de manière licite et loyale ; b) collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités ; c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ; d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ; e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
a) les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ; b) les personnes reconnues coupables d'une infraction pénale ; c) les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale, et d) les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux lettres a) et b).
a) lorsqu'ils sont autorisés par le droit de l'Union européenne ou en application de la présente loi ou d’une autre disposition du droit luxembourgeois ; b) pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique, ou c) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.
a) soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder à la communication ou prendre les mesures demandées, b) soit refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
a) l'identité et les coordonnées du responsable du traitement ; b) les coordonnées du délégué à la protection des données ; c) les finalités du traitement auquel sont destinées les données à caractère personnel ; d) le droit d'introduire une réclamation auprès d'une des deux autorités de contrôle visées aux articles 39 et 40 et les coordonnées de ladite autorité ; e) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel relatives à une personne concernée.
a) la base juridique du traitement ; b) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; c) le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales ; d) au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ; b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ; c) protéger la sécurité publique ; d) protéger la sécurité nationale et la défense nationale ; ou e) protéger les droits et libertés d'autrui.
a) les finalités du traitement ainsi que sa base juridique ; b) les catégories de données à caractère personnel concernées ; c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel, ou la limitation du traitement des données à caractère personnel relatives à la personne concernée ; f) le droit d'introduire une réclamation auprès de l'une des deux autorités de contrôle compétentes visées aux articles 39 et 40 et les coordonnées de ladite autorité ; g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source.
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ; b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ; c) protéger la sécurité publique ; d) protéger la sécurité nationale et la défense nationale ; ou e) protéger les droits et libertés d'autrui.
a) l'exactitude des données à caractère personnel est contestée par la personne concernée et qu'il ne peut être déterminé si les données sont exactes ou non, ou b) les données à caractère personnel doivent être conservées à des fins probatoires. Lorsque le traitement est limité en vertu de l’alinéa 1er , lettre a), du présent paragraphe, le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ; b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ; c) protéger la sécurité publique ; d) protéger la sécurité nationale et la défense nationale ; ou e) protéger les droits et libertés d'autrui. Le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès d'une autorité de contrôle ou de former un recours juridictionnel.
Lorsque les données à caractère personnel sont relatives à des faits qui font l’objet d’une enquête préliminaire, d’une instruction préparatoire, qui ont été renvoyés devant une juridiction de jugement, qui font l’objet d’une citation, ou lorsque l’autorité compétente sur base de la loi modifiée du 10 août 1992 relative à la protection de la jeunesse est saisie de ces faits, les droits visés aux articles 12, 13 et 15 sont exercés conformément aux dispositions du Code de procédure pénale ou à d’autres dispositions légales applicables.
a) n'agit que sur instruction du responsable du traitement ; b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; c) aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée ; d) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes, à moins qu’une disposition légale n'exige la conservation des données à caractère personnel ; e) met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect du présent article ; f) respecte les conditions visées aux paragraphes 2 et 3 pour recruter un autre sous-traitant.
Le sous-traitant, et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel ne les traite que sur instruction du responsable du traitement, à moins d'y être obligé par une disposition légale.
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données ; b) les finalités du traitement ; c) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ; d) une description des catégories de personnes concernées et des catégories de données à caractère personnel ; e) le cas échéant, le recours au profilage ; f) le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ; g) une indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées ; h) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données à caractère personnel ; i) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 28, paragraphe 1er .
a) le nom et les coordonnées du ou des sous-traitants, de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du délégué à la protection des données ; b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ; c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, lorsqu'il en est expressément chargé par le responsable du traitement, y compris l'identification de ce pays tiers ou de cette organisation internationale ; d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 28, paragraphe 1er .
Le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle compétente, à la demande de celle-ci, dans l'exécution de ses missions.
a) lorsqu'une analyse d'impact relative à la protection des données, telle qu'elle est prévue à l'article 26, indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, ou b) lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.
a) empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement (contrôle de l'accès aux installations) ; b) empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée (contrôle des supports de données) ; c) empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l'inspection, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées (contrôle de la conservation) ; d) empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle des utilisateurs) ; e) garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation (contrôle de l'accès aux données) ; f) garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission) ; g) garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l'introduction) ; h) empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée (contrôle du transport) ; i) garantir que les systèmes installés puissent être rétablis en cas d'interruption (restauration) ; j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; c) décrire les conséquences probables de la violation de données à caractère personnel, et d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ; b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et les libertés des personnes concernées visé au paragraphe 1er n'est plus susceptible de se matérialiser ; c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
a) informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la présente loi et d'autres dispositions du droit de l'Union européenne ou du droit luxembourgeois en matière de protection des données ; b) contrôler le respect de la présente loi, d'autres dispositions du droit de l'Union européenne ou du droit luxembourgeois en matière de protection des données et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s'y rapportant ; c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 26 ; d) coopérer avec l'autorité de contrôle compétente ; e) faire office de point de contact pour la personne concernée et l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 27, et mener des consultations, le cas échéant, sur tout autre sujet en relation avec ses missions.
a) le transfert est nécessaire aux fins énoncées à l'article 1er ; b) les données à caractère personnel sont transférées à un responsable du traitement dans un pays tiers ou à une organisation internationale qui est une autorité compétente aux fins visées à l'article 1er ; c) en cas de transmission ou de mise à disposition de données à caractère personnel provenant d'un autre État membre, celui-ci a préalablement autorisé ce transfert conformément à son droit national ; d) la Commission européenne a adopté une décision d'adéquation en application de l'article 35 ou, en l'absence d'une telle décision, des garanties appropriées ont été prévues ou existent en application de l'article 36 ou, en l'absence de décision d'adéquation au titre de l'article 35 et de garanties appropriées conformément à l'article 36, des dérogations pour des situations particulières s'appliquent en vertu de l'article 37 ; e) en cas de transfert ultérieur vers un autre pays tiers ou à une autre organisation internationale, l'autorité compétente qui a procédé au transfert initial ou une autre autorité compétente du même État membre autorise le transfert ultérieur, après avoir dûment pris en considération l'ensemble des facteurs pertinents, y compris la gravité de l'infraction pénale, la finalité pour laquelle les données à caractère personnel ont été transférées initialement et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l'organisation internationale vers lequel ou laquelle les données à caractère personnel sont transférées ultérieurement.
a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant, ou b) le responsable du traitement a évalué toutes les circonstances du transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.
a) à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne ; b) à la sauvegarde des intérêts légitimes de la personne concernée ; c) pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers ; d) dans des cas particuliers, aux fins énoncées à l'article 1er, ou e) dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les fins énoncées à l'article 1er.
a) le transfert est strictement nécessaire à l'exécution de la mission de l'autorité compétente qui transfère les données ainsi que le prévoit le droit de l'Union européenne ou aux fins énoncées à l'article 1er ; b) l'autorité compétente qui transfère les données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert dans le cas en question ; c) l'autorité compétente qui transfère les données estime que le transfert à une autorité qui est compétente aux fins visées à l'article 1er dans le pays tiers est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ; d) l'autorité qui est compétente aux fins visées à l'article 1er dans le pays tiers est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié, et e) l'autorité compétente qui transfère les données informe le destinataire de la finalité ou des finalités déterminées pour lesquelles les données à caractère personnel ne doivent faire l'objet d'un traitement que par cette dernière, à condition qu'un tel traitement soit nécessaire.
L’autorité de contrôle instituée par l’article 3 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données est compétente pour contrôler et vérifier le respect des dispositions de la présente loi.
1) le Président de la Cour supérieure de Justice ou son délégué ; 2) un représentant des autres juridictions de l’ordre judiciaire ; 3) le Président de la Cour administrative ou son délégué ; 4) le Procureur général d’État ou son délégué ; 5) un représentant du Parquet de l’arrondissement de Luxembourg ou de l’arrondissement de Diekirch, et 6) un représentant de la Commission nationale pour la protection des données. Un fonctionnaire ou employé de l’administration judiciaire assume le rôle de secrétaire de l’autorité de contrôle judiciaire. Un ou plusieurs autres fonctionnaires ou employés de l’administration judiciaire peuvent être nommés en tant que membres du secrétariat de l’autorité de contrôle judiciaire, dont un en tant que secrétaire suppléant.
1) du président de la Cour supérieure de Justice pour les membres suppléants visés aux paragraphe 3, alinéa 1er, points 1) et 2), et pour les fonctionnaires et employés visés au paragraphe 3, alinéa 2 ; 2) du procureur général d’État pour les membres effectifs et suppléants visés au paragraphe 3, points 4) et 5), et 3) du président de la Commission nationale pour la protection des données pour le membre visé au paragraphe 3, point 6).
En cas de nomination d’un délégué au sens des paragraphes 3 et 4, le titulaire ayant procédé à la délégation ne pourra bénéficier de la prime visée à l’alinéa 1er pendant la durée de cette délégation.
a) contrôle l'application des dispositions de la présente loi et veille au respect de celles-ci ; b) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement ; c) conseille la Chambre des députés, le Gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement ; d) encourage la sensibilisation des responsables du traitement et des sous-traitants des traitements de données relevant de sa compétence aux obligations qui leur incombent en vertu de la présente loi ; e) fournit, sur demande, à toute personne concernée, des informations sur l'exercice de ses droits découlant de la présente loi et, le cas échéant, coopère à cette fin avec la Commission nationale pour la protection des données et les autorités de contrôle étrangères ; f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association conformément à l'article 47, enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ; g) vérifie la licéité du traitement en vertu de l'article 16 et informe la personne concernée dans un délai raisonnable de l'issue de la vérification, conformément au paragraphe 3 du même article, ou des motifs ayant empêché sa réalisation ; h) coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente de la présente loi pour en assurer le respect ; i) effectue des enquêtes sur l'application de la présente loi, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique ; j) suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication ; k) fournit des conseils sur les opérations de traitement visées à l'article 27. L’autorité de contrôle judiciaire facilite l'introduction des réclamations visées au paragraphe 1er , lettre f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus. L'accomplissement des missions de l’autorité de contrôle judiciaire est gratuit pour la personne concernée et pour les délégués à la protection des données compétents pour les traitements de données relevant du champ d’application de la présente loi. Lorsqu'une demande est manifestement infondée ou excessive en raison, notamment, de son caractère répétitif, l'autorité de contrôle judiciaire peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à l'autorité de contrôle judiciaire de démontrer le caractère manifestement infondé ou excessif de la demande.
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions de la présente loi ; b) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la présente loi, le cas échéant de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application de l'article 15 ; c) limiter temporairement ou définitivement, y compris interdire, un traitement. L’autorité de contrôle judiciaire obtient du responsable du traitement ou du sous-traitant accès à toutes les données à caractère personnel qui sont traitées et à toutes les autres informations nécessaires à l'exercice de ses missions. L’autorité de contrôle judiciaire conseille le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 27 et émet, de sa propre initiative ou sur demande, des avis à l'attention de la Chambre des députés et du Gouvernement ou d'autres institutions et organismes, ainsi que du public, sur toute question relative à la protection des données à caractère personnel relevant de sa compétence. L’autorité de contrôle judiciaire a le pouvoir de porter les violations des dispositions de la présente loi à la connaissance des autorités judiciaires en vue de faire respecter les dispositions de la présente loi.
La requête y afférente est consignée sur un registre tenu à cet effet au greffe de la chambre du conseil de la cour d’appel. Sous peine d’irrecevabilité, la requête doit être déposée au greffe de la chambre du conseil de la cour d’appel dans le délai d’un mois qui court à partir du jour de la notification de la décision en cause par l’autorité de contrôle judiciaire à la personne concernée, ou, lorsque l’autorité de contrôle judiciaire n’a pas statué sur la réclamation de la personne concernée, à partir de l’expiration d’un délai de trois mois à partir du jour de la saisine de l’autorité de contrôle judiciaire par la personne concernée. Le greffier avertit la personne concernée et le responsable du traitement au moins huit jours avant les jour et heure de l’audience. Le responsable du traitement ou son représentant et la personne concernée et, le cas échéant, son mandataire ont seul le droit d’assister à l’audience et de fournir tels mémoires et de faire telles réquisitions, verbales ou écrites, qu’ils jugent convenables. L’audience de la chambre du conseil n’est pas publique. Les notifications et avertissements visés au présent paragraphe se font dans les formes prévues pour les notifications en matière répressive. Ni le délai de recours, ni la saisine de la chambre du conseil de la cour d’appel en application du présent paragraphe n’ont d’effet suspensif.
a) être valablement constituée en tant qu’association ou fondation conformément aux dispositions de la loi modifiée du 21 avril 1928 sur les associations et les fondations sans but lucratif ; b) s’il s’agit d’une association sans but lucratif, avoir été reconnue d’utilité publique conformément à l’article 26-2 de la loi visée à la lettre a) ; c) la protection des droits et libertés de la personne concernée dans le cadre de la protection des données à caractère personnel doit figurer aux statuts de l’association ou de la fondation comme l’objet ou l’un des objets en vue desquels l’association ou la fondation a été créée ; d) disposer de la personnalité juridique au moment de l’introduction de la réclamation ou de l’action en justice au nom de la personne concernée ; e) avoir été mandatée par écrit et préalablement à l’exercice des droits de la personne visés aux articles 44 et 45.
L’astreinte court à compter de la date fixée dans la décision prononçant l’astreinte. Cette date ne peut être antérieure à la date de la notification de la décision. Un recours contre cette décision est ouvert devant le Tribunal administratif qui statue comme juge du fond.
Si le procureur d’État décide de poursuivre, la Commission nationale pour la protection des données ne procède pas. En cas de décision négative ou en l’absence d’une réponse du procureur d’État après le délai de deux mois, la Commission nationale pour la protection des données procède conformément à la loi du 1 er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données. Lorsqu’au cours de la procédure la Commission nationale pour la protection des données constate l’existence d’indices que les personnes suspectées sont susceptibles d’avoir contrevenu aux dispositions du paragraphe 8 ou des articles 48 et 49 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, elle se dessaisit du dossier et le transmet au procureur d’État qui procède conformément au Code de procédure pénale. Si le procureur d’État estime au cours de son enquête et avant qu’il ne cite à comparaître que les conditions d’une poursuite pénale ne sont pas remplies mais que des sanctions administratives sont susceptibles de s’appliquer, il transmet le dossier à la Commission nationale pour la protection des données qui procède conformément à la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
Si le procureur d’État estime au cours de son enquête et avant qu’il ne cite à comparaître que les conditions d’une poursuite pénale ne sont pas remplies mais que des sanctions administratives sont susceptibles de s’appliquer, il transmet le dossier à la Commission nationale pour la protection des données qui procède conformément à la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
« Art. 75-8. Le droit de toute personne d'avoir accès aux données à caractère personnel la concernant qui sont traitées par Eurojust, tel que prévu par l'article 19 de la décision précitée du Conseil du 28 février 2002 se fait suivant les modalités du droit d'accès au Luxembourg telles qu'elles sont prévues par les articles 13, 14 et 16 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. »
« Art. 3. L'autorité de contrôle prévue à l’article 2, paragraphe 1er, point 15) a), de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale est désignée comme l'autorité de contrôle nationale prévue à l'article 23 de la Convention avec mission de contrôler le respect des dispositions en matière de protection des données à caractère personnel dans le cadre de l'exploitation du système d'information Europol. »
« Art. 2. L’autorité de contrôle prévue à l’article 2, paragraphe 1er, point 15) a), de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale est désignée comme l'autorité de contrôle nationale prévue à l'article 17 de la Convention, avec mission de contrôler le respect des dispositions en matière de protection des données à caractère personnel dans le cadre de l'exploitation du système d'information des douanes. »
« Le traitement, par l'Autorité nationale de Sécurité, des informations collectées dans le cadre de ses missions est mis en œuvre conformément aux dispositions de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. »
1° À l’article 11bis, paragraphe 4, alinéa 2, la première phrase est remplacée comme suit : « Le procureur général d’État est considéré, en ce qui concerne le traitement des données à caractère personnel, comme responsable du traitement au sens de l’article 4, point 7), du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après désigné comme le « règlement (UE) n° 2016/279 ». » 2° À l’article 11bis, paragraphe 4, alinéa 3, la première phrase est remplacée comme suit : « Le directeur du centre est considéré, en ce qui concerne le traitement des données à caractère personnel dans le cadre de l’hébergement et de l’encadrement du pensionnaire, comme responsable du traitement au sens de l’article 4, point 7), du règlement (UE) n° 2016/679. »
1° À l’article 1er, la deuxième phrase est remplacée comme suit : « Le traitement de ces données est soumis aux prescriptions de l’article 9 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. » 2° À l’article 13, le paragraphe 2 est remplacé comme suit : « (2) Un profil d'ADN établi est à considérer comme donnée à caractère personnel, au sens de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, à partir du moment où le code alphanumérique de l'analyse d'ADN a été associé à une information relative à la personne physique en cause permettant de l'identifier. »
« Le logeur est obligé de communiquer à la Police grand-ducale la fiche d'hébergement concernant les personnes hébergées aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »
« Le SRE transmet sur une base trimestrielle la liste de ses demandes de délivrance et les motifs de ces demandes à l’autorité de contrôle judiciaire prévue à l’article 40 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ; »
« Art. 6. (1) Le traitement des données à caractère personnel dans le cadre de la présente loi est effectué à des fins de prévention, de recherche et de constatation des infractions pénales ou administratives relevant de son champ d'application et se fait conformément aux articles 24 à 32 de la décision 2008/615/JAI précitée et aux dispositions, y non contraires, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. (2) Toute personne concernée a le droit d'obtenir des informations sur les données à caractère personnel transmises dans le cadre de la présente loi, y compris la date de la demande et l'autorité compétente de l'État membre de l'infraction, conformément aux articles 11 à 17 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. »
« Art. 10. Le Centre procède au traitement des données à caractère personnel qui est nécessaire à l’accomplissement de ses missions qui est effectué conformément aux dispositions de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. »
1° À l’article 9, paragraphe 4, la dernière phrase est remplacée comme suit : « Sous réserve des conditions définies à l'alinéa 1er, le SRE peut échanger directement des données à caractère personnel avec des services de renseignement étrangers, y compris au moyen d'installations communes de transmission, conformément aux articles 34 et 38 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. » 2° À l’article 10, le paragraphe 1er est remplacé comme suit : « (1) Le SRE procède au traitement de données à caractère personnel qui sont nécessaires à l'accomplissement de ses missions légales qui est effectué conformément aux dispositions de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. » 3° À l’article 10, paragraphe 2, l’alinéa 3 est remplacé comme suit : « Le SRE transmet sur une base trimestrielle la liste de ses demandes de délivrance et les motifs de ces demandes à l’autorité de contrôle judiciaire prévue à l’article 40 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. » 4° À l’article 10, paragraphe 3, l’alinéa 1er est remplacé comme suit : « Le directeur est responsable du traitement des données visées aux paragraphes 1er et 2. Il désigne un chargé de la protection des données qui est compétent sous son autorité de l'application conforme de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et de la mise en œuvre des mesures de sécurité des traitements auxquels procède le SRE. »
1° À l’article 3, le paragraphe 11 est remplacé comme suit : « (11) Pendant l'exercice de la mission des experts, le directeur du Service de renseignement de l'État est le responsable du traitement des données au sens de l'article 2, point 8), de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, et les Archives nationales sont considérées comme sous-traitant du Service de renseignement de l'État au sens de l'article 2, point 9), de la même loi. » 2° À l’article 3, paragraphe 15, la première est remplacée comme suit : « Le rapport final ne peut contenir aucune donnée à caractère personnel ni aucun élément susceptible permettant l'identification d'une personne sauf consentement exprès de la personne concernée, conformément à l’article 6, paragraphe 1, lettre a), du règlement (UE) n° 2016/679. » 3° À l’article 4, paragraphe 2, le point 1 est remplacé comme suit : « 1. les banques de données historiques recensées au sens de l'article 3, paragraphe 6, point 2, sont versées définitivement aux Archives nationales tel que prévu à l'article 7 de la loi modifiée du 25 juin 2004 portant réorganisation des instituts culturels de l'État et sous réserve des dispositions du règlement (UE) n° 2016/679. Les Archives nationales deviennent responsables de traitement de ces données à partir de la date de versement définitif ; » 4° À l’article 5, les paragraphes 1 et 2 sont remplacés comme suit : « (1) L’accès d’une personne concernée à des données la concernant pendant l'exercice de la mission des experts s’effectue conformément aux dispositions des articles 13, 14 et 16 de la loi du 1 er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. (2) Des données à caractère personnel, constatées au cours de la mission des experts et couvrant des personnes qui ont déjà introduit une demande d'accès, sont communiquées à la personne concernée conformément aux dispositions visées au paragraphe 1er . » 5° À l’article 5, le paragraphe 5 est remplacé comme suit : « (5) Dans l'exercice de leur mission, les experts disposent d'un accès intégral aux banques de données historiques du Service de renseignement de l'État ainsi qu'un accès aux données à caractère personnel et traitent ces données conformément au principe de légitimité au sens de l'article 5, paragraphe 1er , lettre b), du règlement (UE) n° 2016/679. »
1° À l’article 1er, point 3), les mots « des articles 18 et 19 de la loi modifiée du 2 août 2002 relative à la protection des données à l'égard du traitement des données à caractère personnel » sont remplacés par les mots « du chapitre V de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ». 2° À l’article 25, le paragraphe 2 est remplacé comme suit : « (2) La transmission des données et informations se fait dans une forme permettant à la Commission nationale pour la protection des données de vérifier si toutes les conditions requises par la loi étaient remplies au moment de la transmission. La documentation de la transmission est conservée pendant une durée de deux ans. » 3° À l’article 26, le paragraphe 1er est remplacé comme suit : « (1) Les données et informations transmises à l’administration de l’État concernée font partie du traitement des données à caractère personnel dont l’administration ou son représentant est le responsable du traitement au sens de l’article 4, point 7), du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). La Commission nationale pour la protection des données est compétente pour vérifier l’application des dispositions du règlement précité et de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. » 4° L’article 28 est remplacé comme suit : « La Commission nationale pour la protection des données contrôle et surveille le respect des conditions d'accès prévues par la présente loi. Le rapport à transmettre au ministre ayant la Protection des données dans ses attributions, en exécution de l’article 10 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, contient une partie spécifique ayant trait à l’exécution de sa mission de contrôle exercée au titre de la présente loi. »
« L’autorité de contrôle prévue à l’article 2, paragraphe 1er, point 15), lettre a), de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale contrôle et surveille le respect des conditions d’accès prévues par le présent article. Le rapport à transmettre au ministre ayant la Protection des données dans ses attributions, en exécution de l’article 10 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, contient une partie spécifique ayant trait à l’exécution de sa mission de contrôle exercée au titre du présent article. »
1° Le paragraphe 3 est remplacé comme suit : « (3) Dans le cadre des missions énoncées aux articles 4, 7 et 9, l’IGP a accès aux données retraçant les accès aux traitements des données à caractère personnel dont le responsable du traitement est le directeur général de la Police. » 2° Le paragraphe 6 est remplacé comme suit : « (6) L’autorité de contrôle prévue à l’article 2, paragraphe 1er, point 15), lettre a), de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale contrôle et surveille le respect des conditions d’accès prévues par le présent article. Le rapport à transmettre au ministre ayant la Protection des données dans ses attributions, en exécution de l’article 10 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, contient une partie spécifique ayant trait à l’exécution de sa mission de contrôle exercée au titre du présent article. »
La référence à la présente loi se fait sous la forme suivante : « Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. »
( Loi du 1er août 2018 relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave et portant modification de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État. )
La présente loi règle le transfert, par les transporteurs aériens, des données des dossiers passagers et le traitement de ces données à des fins de prévention, de recherche, de constatation et de poursuite des infractions terroristes et des formes graves de criminalité.
1° « transporteur aérien » : toute entreprise de transport aérien possédant une licence d'exploitation en cours de validité ou l'équivalent lui permettant d'assurer le transport aérien de personnes ; 2° « passager » : toute personne, y compris une personne en correspondance ou en transit et à l'exception du personnel d'équipage, transportée ou devant être transportée par un aéronef avec le consentement du transporteur aérien, lequel se traduit par l'inscription de cette personne sur la liste des passagers ; 3° « dossier passager » : le dossier relatif aux conditions de voyage de chaque passager, qui contient les informations nécessaires pour permettre le traitement et le contrôle des réservations par les transporteurs aériens concernés qui assurent les réservations, pour chaque voyage réservé par une personne ou en son nom, que ce dossier figure dans des systèmes de réservation, des systèmes de contrôle des départs utilisés pour contrôler les passagers lors de l’embarquement ou des systèmes équivalents offrant les mêmes fonctionnalités ; 4° « système de réservation » : le système interne du transporteur aérien, dans lequel les données PNR sont recueillies aux fins du traitement des réservations ; 5° « système de contrôle des départs » : le système utilisé pour contrôler les passagers lors de l’embarquement ; 6° « données PNR » : les données contenues dans le dossier passager et énumérées à l’annexe I ; 7° « méthode push » : la méthode par laquelle les transporteurs aériens transfèrent les données PNR vers la base de données de l'Unité d’informations passagers telle que créée à l’article 3 ; 8° « infractions terroristes » : les infractions visées au Livre II, Titre 1ier, Chapitre III-1 du Code pénal ; 9° « formes graves de criminalité » : les infractions énumérées à l'annexe II qui sont passibles d’une peine privative de liberté d’une durée maximale d’au moins trois ans ; 10° « dépersonnaliser par le masquage d'éléments des données » : rendre invisibles pour un utilisateur les éléments des données qui pourraient servir à identifier directement la personne concernée ; 11° « services compétents » : les services visés à l’article 13.
1° de la collecte des données PNR transférées par les transporteurs aériens ainsi que de la conservation et du traitement de ces données ; 2° du transfert de ces données et des résultats de leur traitement aux services compétents ; 3° de l’échange de ces données et des résultats de leur traitement avec les unités d’informations passagers des autres États membres de l’Union européenne, avec Europol et avec les pays tiers.
Sans préjudice des obligations imposées en vertu de la loi modifiée du 29 août 2008 sur la libre circulation des personnes et l’immigration, les transporteurs aériens transfèrent à l’UIP, par la méthode push, les données PNR de tous les passagers en provenance de, à destination de ou transitant par le Luxembourg pour autant qu’ils aient déjà recueilli de telles données dans le cours normal de leurs activités de transport aérien. Lorsqu’il s’agit d’un vol en partage de code entre un ou plusieurs transporteurs aériens, l’obligation de transférer les données PNR incombe au transporteur aérien qui assure le vol.
1° 48 heures avant l’heure de départ programmée du vol ; 2° immédiatement après la clôture du vol, c'est-à-dire dès que les passagers ont embarqué à bord de l'aéronef prêt à partir et qu'ils ne peuvent plus embarquer ou débarquer. Le transfert visé à l’alinéa 1er, point 2°, peut se limiter à une mise à jour du transfert visé à l’alinéa 1er, point 1°.
Le traitement de données PNR qui révèlent l'origine raciale ou ethnique d'une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle est interdit. Lorsque les données PNR transférées par les transporteurs aériens comportent des informations telles que visées à l’alinéa 1er, l’UIP efface ces informations dès réception et de façon définitive.
Lorsque les données PNR transférées par les transporteurs aériens comportent des données autres que celles énumérées à l’annexe I, l’UIP efface ces données supplémentaires dès réception et de façon définitive.
1° aux traitements de données à caractère personnel mis en œuvre par les services compétents ou qui leur sont accessibles dans l’exercice de leurs missions ; 2° à des critères préétablis. L’évaluation des passagers au regard de critères préétablis est réalisée de façon non discriminatoire. Les critères sont fixés et réexaminés à des intervalles réguliers par l’UIP en coopération avec les services compétents. Ils doivent être ciblés, proportionnés et spécifiques et ne sont en aucun cas fondés sur l'origine raciale ou ethnique d'une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.
L’UIP traite les données PNR afin de mettre à jour ou de définir de nouveaux critères à utiliser pour les évaluations visées à l’article 10.
L’UIP traite les données PNR aux fins de répondre aux demandes des services compétents, dûment motivées et fondées sur des motifs suffisants visant à ce que des données PNR leur soient communiquées et à ce que celles-ci fassent l’objet d’un traitement dans des cas spécifiques aux fins visées à l’article 1er, et visant à communiquer aux services compétents ou, le cas échéant, à Europol, le résultat de ce traitement.
1° la Police grand-ducale ; 2° le Service de renseignement de l’État conformément à l’article 5, paragraphe 4, de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État ; 3° l’Administration des douanes et accises. En recherchant les crimes et délits visés à l’article 2, points 8° et 9°, le procureur d’État peut, par une décision écrite et motivée, charger un officier de police judiciaire de requérir l’UIP afin de communiquer les données des passagers conformément à l’article 12.
Les services compétents ne peuvent traiter les données PNR et le résultat du traitement de ces données que pour les finalités de la présente loi telles que définies à l’article 1er. L’alinéa 1er est sans préjudice des compétences de la Police grand-ducale et de l’Administration des douanes et accises lorsque d'autres infractions ou indices d'autres infractions sont détectés à la suite de ce traitement.
Les services compétents ne prennent aucune décision produisant des effets juridiques préjudiciables à une personne ou l'affectant de manière significative sur la seule base du traitement automatisé de données PNR. Les décisions produisant des effets juridiques préjudiciables à une personne ou l'affectant de manière significative ne peuvent pas être fondées sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.
Lorsqu’une personne est identifiée conformément à l’article 10, l’UIP communique toutes les données pertinentes et nécessaires ou le résultat du traitement de ces données aux UIP des autres États membres de l’Union européenne concernés. Lorsque l’UIP est destinataire d’informations telles que visées à l’alinéa 1er de la part d’une autre UIP, elle transmet ces informations aux services compétents.
La demande, dûment motivée, peut être fondée sur un quelconque élément de ces données ou sur une combinaison de tels éléments, selon ce que l'UIP requérante estime nécessaire dans un cas spécifique de prévention ou de détection d’infractions terroristes ou de formes graves de criminalité, ou d’enquêtes ou de poursuites en la matière. Si les données demandées ont été dépersonnalisées par masquage conformément à l’article 26, l’UIP ne transmet l’intégralité des données PNR que lorsqu’il existe des motifs raisonnables de croire que le transfert est nécessaire aux fins visées à l’article 12 et si elle y est autorisée par le procureur général d’État ou son délégué. Les dispositions du présent paragraphe ne portent pas atteinte aux dispositions tant internationales que nationales sur l’entraide judiciaire internationale en matière pénale.
L’UIP et les services compétents visés à l’article 13 peuvent demander aux UIP des autres États membres de l’Union européenne des données PNR ou les résultats du traitement de ces données. Lorsqu’un service compétent demande directement des données PNR auprès de l’UIP d’un autre État membre de l’Union européenne, il transmet copie de sa demande à l’UIP.
L’échange de données effectué en application du présent chapitre peut avoir lieu par l’intermédiaire de tous les canaux de coopération existant entre les services compétents des États membres de l’Union européenne. La langue utilisée pour la demande et l’échange des données est celle applicable au canal utilisé.
1° lorsque cela est strictement nécessaire au soutien et au renforcement de l’action des États membres en vue de prévenir ou de détecter une infraction terroriste spécifique ou une forme grave de criminalité spécifique, ou de mener des enquêtes dans la matière et ; 2° dans la mesure où ladite infraction relève de la compétence d’Europol.
1° l’une des conditions prévues à l’article 34, paragraphe 1er, point d) de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale est remplie ; 2° l’autorité destinataire est chargée de la prévention, recherche, constatation et poursuite d’infractions terroristes ou de formes graves de criminalité ; 3° le transfert est nécessaire aux fins telles que définies à l’article 1er ; 4° le pays tiers n'accepte de transférer les données à un autre pays tiers que lorsque cela est strictement nécessaire aux fins telles que définies à l’article 1er ; 5° les conditions prévues à l’article 17, paragraphe 1er sont remplies. Les dispositions du présent article ne portent pas atteinte aux dispositions légales sur l’entraide judiciaire internationale en matière pénale.
1° ces transferts sont essentiels pour répondre à une menace précise et réelle liée à une infraction terroriste ou à une forme grave de criminalité dans un État membre de l’Union européenne ou un pays tiers ; 2° l’accord préalable n’a pas pu être obtenu en temps utile. L’UIP de l’État membre de l’Union européenne, qui n’a pas pu donner son accord en temps utile, est informée sans retard et le transfert est dûment enregistré et soumis à une vérification à posteriori.
L’UIP ne peut transférer des données PNR et les résultats du traitement de ces données aux autorités compétentes de pays non membres de l’Union européenne qu’après avoir obtenu l’assurance que l’utilisation que les destinataires entendent faire de ces données PNR respecte les conditions et garanties de la présente loi.
Le délégué à la protection des données visé à l’article 29 est informé de tout transfert de données PNR à un pays non membre de l’Union européenne.
L’UIP conserve les données PNR pendant une durée maximale de cinq ans à compter du transfert par le transporteur aérien. À l’issue de cette période de cinq ans, elle efface les données PNR de manière définitive. Cette disposition ne s’applique pas si les données PNR spécifiques ont été transférées à un service compétent et sont utilisées dans le cadre de cas spécifiques à des fins de prévention, de détection d'infractions terroristes ou de formes graves de criminalité ou d'enquêtes ou de poursuites en la matière.
1° le(s) nom(s), y compris les noms d'autres passagers mentionnés dans le PNR, ainsi que le nombre de passagers voyageant ensemble figurant dans le PNR ; 2° l'adresse et les coordonnées ; 3° des informations sur tous les modes de paiement, y compris l'adresse de facturation, dans la mesure où y figurent des informations pouvant servir à identifier directement le passager auquel le PNR se rapporte ou toute autre personne ; 4° les informations « grands voyageurs » ; 5° les remarques générales, dans la mesure où elles comportent des informations qui pourraient servir à identifier directement le passager auquel le PNR se rapporte ; 6° toute donnée API qui a été recueillie.
1° elle est nécessaire aux fins visées à l’article 12 ; 2° elle a été approuvée par le procureur général d’État ou son délégué ou, si les données sont destinées à être communiquées au Service de renseignement de l’État, par la commission spéciale prévue à l’article 7 de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État.
L’UIP ne conserve le résultat de l’évaluation réalisée en vertu de l’article 10 que le temps nécessaire pour informer les services compétents et, s’il y a lieu, les UIP des autres États membres de l’Union européenne de l'existence d'une concordance positive. Lorsque, à la suite du réexamen individuel par des moyens non automatisés conformément à l’article 10, paragraphe 3, le résultat du traitement automatisé s'est révélé négatif, il peut néanmoins être archivé tant que les données de base n'ont pas été effacées en vertu de l’article 25, de manière à éviter de futures fausses concordances positives.
L’autorité de contrôle visée à l’article 39 de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale est compétente pour contrôler et vérifier le respect des dispositions de la présente loi en ce qui concerne le traitement des données à caractère personnel. Elle exerce ses missions conformément à l’article 8 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données et elle dispose, à cette fin, des pouvoirs prévus à l’article 14 de la même loi.
Il informe et conseille le responsable et le personnel de l’UIP sur les obligations qui leur incombent en matière de protection des données. Il fait office de point de contact pour les personnes concernées pour toutes les questions relatives au traitement de leurs données PNR et pour la Commission nationale pour la protection des données.
1° ses coordonnées ; 2° les coordonnées du délégué à la protection des données ; 3° les finalités du traitement auquel sont destinées les données PNR ; 4° le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données et les coordonnées de cette autorité ; 5° l’existence du droit de demander au responsable de l’UIP l’accès aux données PNR, leur rectification ou leur effacement, et la limitation du traitement des données PNR relatives à une personne concernée.
L’UIP conserve, traite et analyse les données PNR en un ou des endroits sécurisés situés sur le territoire du Grand-Duché de Luxembourg.
Le responsable de l’UIP met en œuvre des mesures et des procédures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité adapté aux risques présentés par le traitement et la nature des données PNR. En ce qui concerne le traitement automatisé, le responsable de l’UIP met en œuvre, à la suite d'une évaluation des risques, des mesures telles que prévues à l’article 28, paragraphe 2 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
1° le nom et les coordonnées du service et du personnel chargés du traitement des données PNR au sein de l’UIP et les différentes autorisations d’accès ; 2° les demandes formulées par les services compétents et les UIP des autres États membres de l’Union européenne ; 3° toutes les demandes et tous les transferts de données PNR vers un pays tiers. L’UIP met toute la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci.
L’UIP tient des registres pour la collecte, la consultation, la communication et l’effacement des données PNR. Les registres des opérations de consultation et de communication indiquent la finalité, la date et l’heure de l’opération et l’identité de la personne qui a consulté ou communiqué les données PNR ainsi que l’identité des destinataires de ces données. Les registres sont utilisés uniquement à des fins de vérification et d’autocontrôle, de garantie de l’intégrité et de la sécurité des données ou d’audit. L’UIP met les registres à la disposition de l'autorité de contrôle, à la demande de celle-ci. Les registres sont conservés pendant cinq ans.
Lorsqu'une atteinte aux données à caractère personnel est susceptible d'engendrer un risque élevé pour la protection des données à caractère personnel ou d’affecter négativement la vie privée de la personne concernée, l’UIP informe sans retard injustifié la personne concernée et la Commission nationale pour la protection des données de cette atteinte.
La violation intentionnelle de l’article 8, alinéa 1er et de l’article 15 est punie d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125 000 euros ou d’une de ces peines seulement. La juridiction saisie prononce la cessation du traitement contraire aux dispositions de l’article 8, alinéa 1er et de l’article 15 sous peine d’astreinte dont le maximum est fixé par ladite juridiction. Pour le surplus, les dispositions de l’article 47, paragraphes 1er, 2, 4, 5 et 6 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale sont applicables en ce qui concerne les violations des règles relatives à la protection des données établies par la présente loi et par les lois auxquelles elle se réfère.
Le transporteur aérien a accès au dossier et est mis à même de présenter ses observations écrites dans un délai d’un mois sur le projet de sanction. L’amende est prononcée par le ministre ayant la Police grand-ducale dans ses attributions.
« (4) Pour un ou plusieurs faits qui ont trait à des activités de terrorisme, d’espionnage, de prolifération d’armes de destruction massive ou de produits liés à la défense et des technologies y afférentes, ou de cyber-menace dans la mesure où celle-ci est liée aux activités précitées, le SRE peut demander la communication des données PNR visées à l’article 10, paragraphe 4, et à l’article 12, de la loi du 1er août 2018 relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave. Le directeur du SRE rapporte tous les mois par écrit au Comité la liste des consultations des données des passagers ainsi que les motifs spécifiques pour lesquels l’exercice des missions a exigé la demande de communication. En cas d’urgence, la demande de communication des données PNR peut être mise en œuvre sur autorisation verbale du directeur, à confirmer par écrit dans un délai de quarante-huit heures. »
À l’article 8, paragraphe 1er de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État, la lettre a) est supprimée.
La référence à la présente loi peut se faire sous une forme abrégée en recourant à l’intitulé suivant : « Loi du 1er août 2018 relative au traitement des données des dossiers passagers ».
1° Code repère du dossier passager ; 2° Date de réservation/d'émission du billet ; 3° Date(s) prévue(s) du voyage ; 4° Nom(s) ; 5° Adresse et coordonnées (numéro de téléphone, adresse électronique) ; 6° Toutes les informations relatives aux modes de paiement, y compris l'adresse de facturation ; 7° Itinéraire complet pour le PNR concerné ; 8° Informations « grands voyageurs » ; 9° Agence de voyages/agent de voyages ; 10° Statut du voyageur, y compris les confirmations, l'enregistrement, la non-présentation ou un passager de dernière minute sans réservation ; 11° Indications concernant la scission/division du PNR ; 12° Remarques générales (notamment toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans, telles que le nom et le sexe du mineur, son âge, la ou les langues parlées, le nom et les coordonnées du tuteur présent au départ et son lien avec le mineur, le nom et les coordonnées du tuteur présent à l'arrivée et son lien avec le mineur, l'agent présent au départ et à l'arrivée) ; 13° Informations sur l'établissement des billets, y compris le numéro du billet, la date d'émission, les allers simples, les champs de billets informatisés relatifs à leur prix ; 14° Numéro du siège et autres informations concernant le siège ; 15° Informations sur le partage de code ; 16° Toutes les informations relatives aux bagages ; 17° Nombre et autres noms de voyageurs figurant dans le PNR ; 18° Toute information préalable sur les passagers (données API) qui a été recueillie (y compris le type, le numéro, le pays de délivrance et la date d'expiration de tout document d'identité, la nationalité, le nom de famille, le prénom, le sexe, la date de naissance, la compagnie aérienne, le numéro de vol, la date de départ, la date d'arrivée, l'aéroport de départ, l'aéroport d'arrivée, l'heure de départ et l'heure d'arrivée) ; 19° Historique complet des modifications des données PNR énumérées aux points 1 à 18.
1° Participation à une organisation criminelle ; 2° Traite des êtres humains ; 3° Exploitation sexuelle des enfants et pédopornographie ; 4° Trafic de stupéfiants et de substances psychotropes ; 5° Trafic d'armes, de munitions et d'explosifs ; 6° Corruption ; 7° Fraude, y compris la fraude portant atteinte aux intérêts financiers de l'Union ; 8° Blanchiment du produit du crime et faux monnayage, y compris la contrefaçon de l'euro ; 9° Cybercriminalité ; 10° Infractions graves contre l'environnement, y compris le trafic d'espèces animales menacées et le trafic d'espèces et d'essences végétales menacées ; 11° Aide à l'entrée et au séjour irréguliers ; 12° Meurtre, coups et blessures graves ; 13° Trafic d'organes et de tissus humains ; 14° Enlèvement, séquestration et prise d'otage ; 15° Vol organisé ou vol à main armée ; 16° Trafic de biens culturels, y compris d'antiquités et d'œuvres d'art ; 17° Contrefaçon et piratage de produits ; 18° Falsification de documents administratifs et trafic de faux ; 19° Trafic de substances hormonales et d'autres facteurs de croissance ; 20° Trafic de matières nucléaires et radioactives ; 21° Viol ; 22° Infractions graves relevant de la Cour pénale internationale ; 23° Détournement d'avion/de navire ; 24° Sabotage ; 25° Trafic de véhicules volés ; 26° Espionnage industriel.
Sous réserve des dispositions générales concernant la protection des personnes à l’égard du traitement des données à caractère personnel ou régissant les réseaux et services de communications électroniques, les dispositions suivantes s’appliquent spécifiquement au traitement de ces données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d’identification.
(a) «abonné»: une personne physique ou morale partie à un contrat avec une entreprise offrant des services de communications électroniques accessibles au public, pour la fourniture de tels services; (b) (abrogé) (b) «consentement»: toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement; (c) «communication»: toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public à l’exception des informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques sauf si et dans la mesure où un lien peut être établi entre l’information et l’abonné ou l’utilisateur identifiable qui la reçoit; (d) «courrier électronique»: tout message sous forme de texte, de voix, de son ou d’image envoyé par un réseau de communications public qui peut être stocké dans le réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère; (e) «données relatives au trafic»: toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation; (f) «données de localisation»: toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public; (g) «Institut»: l’Institut Luxembourgeois de Régulation; (h) «réseau de communications électroniques»: les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage et les autres ressources qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuits ou de paquets, y compris l’Internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise; (i) «réseau de communications public»: un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public. Le fournisseur du réseau de communications public est dénommé ci-après «opérateur»; (j) «service de communications électroniques»: un service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur les réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur des réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus; il ne comprend pas les services de la société de l’information qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques. Le fournisseur de services de communications électroniques est dénommé ci-après «fournisseur de services»; (k) «service à valeur ajoutée»: tout service qui exige le traitement de données relatives au trafic ou à la localisation, à l’exclusion des données qui ne sont pas indispensables pour la transmission d’une communication ou sa facturation; (l) «utilisateur»: une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service; (m) «violation de données à caractère personnel»: une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public.
Sous réserve des dispositions générales de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, les mesures visées ci-dessus, pour le moins: – garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées, – protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et – assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel. La Commission nationale pour la protection des données est habilitée à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.
Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation. La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès. Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute. La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier. La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros. Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.
(a) n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité; (b) ne s’applique pas aux autorités judiciaires agissant dans le cadre des compétences leur attribuées par la loi et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales; (c) ne s’applique pas aux communications et aux données relatives au trafic y afférentes, effectuées à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut dans le seul but de permettre (a) la réécoute de messages lors de problèmes de compréhension ou d’ambiguïté entre l’appelant et l’appelé, (b) la documentation de fausses alertes, de menaces et d’appels abusifs et (c) la production de preuves lors de contestation sur le déroulement d’actions de secours. Les données relatives au trafic afférentes aux communications visées ci-dessus, y compris les données de localisation, sont à effacer une fois le secours apporté. Le contenu des communications est à effacer après un délai de 6 mois au plus; (d) n’affecte pas l’enregistrement de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale. Les parties aux transactions ou à toutes autres communications commerciales sont informées au préalable de ce que des enregistrements sont susceptibles d’être effectués, de la ou des raisons pour lesquelles les communications sont enregistrées et de la durée de conservation maximale des enregistrements. Les communications enregistrées sont à effacer dès que la finalité est atteinte, et en tout état de cause, lors de l’expiration du délai légal de recours contre la transaction; (e) ne s’applique pas au stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Les méthodes retenues pour fournir l’information et offrir le droit de refus devraient être les plus conviviales possibles. Lorsque cela est techniquement possible et effectif, l’accord de l’abonné ou de l’utilisateur peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
(b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes.
– ordonnés par les autorités judiciaires agissant dans le cadre des compétences leur attribuées par la loi et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales visées au paragraphe (1) (a), ou – demandés par les organes compétents dans le but de régler des litiges notamment en matière d’interconnexion ou de facturation.
– les cas dans lesquels des informations ont été transmises aux autorités compétentes conformément à la législation nationale applicable, – le laps de temps écoulé entre la date à partir de laquelle les données ont été conservées et la date à laquelle les autorités compétentes ont demandé leur transmission, – les cas dans lesquels des demandes de données n’ont pu être satisfaites.
– les données relatives à l’identification: le numéro de téléphone, nom, prénom(s), domicile ou lieu de résidence habituel, dénomination ou raison sociale, lieu d’établissement de l’abonné et de l’utilisateur pour autant que ce dernier soit identifié ou identifiable; l’indication du caractère public ou non public des données, ainsi que – toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public (données de localisation). (b) L’Institut luxembourgeois de régulation fixe, en cas de besoin, le format et les modalités techniques de mise à disposition des données visées au paragraphe (5) et au paragraphe (5bis). (c) Pour les appels effectués à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut, l’identification de la ligne appelante et les données de localisation de l’appelant sont toujours présentées même lorsque l’appelant les a empêchées. (5bis) En outre, en cas d’appel au numéro d’urgence unique européen 112 ainsi qu’aux numéros d’urgence déterminés par l’Institut luxembourgeois de régulation, les informations relatives à la localisation de l’appelant obtenues à partir de l’appareil mobile, si elles sont disponibles, sont mises à disposition sans tarder après l’établissement de la communication d’urgence au centre de réception des appels d’urgence le plus approprié, même lorsque l’appelant a désactivé la fonction de localisation. Ces informations sont à effacer après un délai de 24 heures au plus.
Dans le cas où le renvoi automatique d’appels (ou déviation) est offert, le fournisseur du service confère à tout abonné la possibilité de mettre fin, par un moyen simple et gratuit, au renvoi automatique d’appels par un tiers vers son appareil terminal lorsque le fournisseur du service peut identifier l’origine des appels renvoyés. Le cas échéant, cette identification se fait en collaboration avec d’autres fournisseurs de services concernés.
(b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données de localisation autres que les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes.
Lorsque l’abonné ou l’utilisateur a donné son consentement au traitement des données de localisation autres que les données relatives au trafic, il doit garder la possibilité d’interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication.
(b) L’abonné doit pouvoir vérifier, corriger ou supprimer ces données. La non-inscription dans un annuaire public d’abonnés, la vérification, la correction ou la suppression de données à caractère personnel dans un tel annuaire est gratuite.
Le fichier est hébergé auprès du Centre des technologies de l’information de l’État qui en assure la gestion opérationnelle.
1° pour les personnes physiques : le nom, le prénom, le lieu de résidence habituelle, la date et le lieu de naissance ainsi que le numéro de contact de l’abonné ; pour les personnes morales : la dénomination ou raison sociale, l’adresse du lieu d’établissement ainsi que le numéro de contact ; 2° le nom de l’entreprise notifiée, la nature du service fourni par celle-ci, le numéro d’appel alloué pour lequel le service en question a été souscrit et, si disponible, la date de la fin de la relation contractuelle ou en cas de prépaiement la date de désactivation du numéro d’appel. 3° pour les personnes physiques, le type, le pays de délivrance et le numéro de la pièce d’identité ou de l’attestation de dépôt d’une demande de protection internationale de l’abonné en cas de service à prépaiement. Ces données doivent être actualisées au moins une fois par jour, même en l’absence de changement. Un rapport sur le transfert des données est généré automatiquement une fois par jour auprès du Centre des technologies de l’information de l’État. Le protocole et l’interface sécurisés ainsi que le format d’échange à utiliser pour le transfert de ces données sont déterminés par règlement de l’Institut.
Les centres d’appels d’urgence de la police grand-ducale accèdent aux seules données visées au paragraphe 2, point 1°. Cet accès se limite aux mesures particulières de secours d’urgence prestées dans le cadre des activités des centres d’appels d’urgence de la police grand-ducale et s’effectue uniquement sur les communications entrantes. Le motif de chaque consultation doit être enregistré au moment de l’accès. Le Service de renseignement de l’État et les centres d’appels d’urgence de la police grand-ducale désignent chacun en ce qui le concerne les agents qui bénéficient d’un accès individuel.
La Commission nationale pour la protection des données instituée par l’article 32 de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est chargée d’assurer l’application des dispositions de la présente loi et de ses règlements d’exécution sans préjudice de l’application de l’article 8 de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
(a) Le magistrat présidant la Chambre du tribunal d’arrondissement siégeant en matière commerciale, à la requête de la Commission nationale pour la protection des données, peut ordonner toute mesure destinée à suspendre provisoirement ou à faire cesser tout traitement contraire aux dispositions de la présente loi. (b) L’ordonnance peut intervenir indépendamment de l’action publique. La mesure ordonnée par le magistrat présidant la Chambre du tribunal d’arrondissement siégeant en matière commerciale prend toutefois fin en cas de décision d’acquittement prononcée par le juge pénal et coulée en force de chose jugée. (c) L’action en cessation est introduite selon la procédure applicable devant le tribunal des référés. Le magistrat présidant la Chambre du tribunal d’arrondissement siégeant en matière commerciale statue comme juge de fond. Le délai d’appel est de quinze jours. (d) L’affichage de la décision peut être ordonné à l’intérieur ou à l’extérieur de l’établissement du contrevenant et aux frais de celui-ci. La décision précise la durée de l’affichage et elle peut également ordonner la publication, en totalité ou par extrait aux frais du contrevenant, par la voie des journaux ou de toute autre manière. Il ne peut être procédé à l’affichage et à la publication qu’en vertu d’une décision judiciaire coulée en force de chose jugée. (e) Tout manquement aux injonctions ou interdictions portées par une décision judiciaire prononcée en vertu du présent article et coulée en force de chose jugée est puni d’une amende de 251 à 50.000 euros.
Le fournisseur offrant un annuaire public au sens de l’article 10 avant l’entrée en vigueur de la présente loi informe l’abonné sans délai et conformément à l’article 10 paragraphe (1) de la finalité du traitement de ses données.
(a) Art. 88-2: Les alinéas 1, 2, 3 et 5 de l’article 88-2 du Code d’instruction criminelle sont modifiés comme suit: al 1: Les décisions par lesquelles le juge d’instruction ou le président de la chambre du conseil de la Cour d’appel auront ordonné la surveillance et le contrôle de télécommunications ainsi que de correspondances confiées à la poste seront notifiées aux opérateurs des postes ou télécommunications qui feront sans retard procéder à leur exécution. al 2: Ces décisions et les suites qui leur auront été données seront inscrites sur un registre spécial tenu par chaque opérateur des postes ou télécommunications. al 3: Les télécommunications enregistrées et les correspondances ainsi que les données ou renseignements obtenus par d’autres moyens techniques de surveillance et de contrôle sur la base de l’article 88-1 seront remis sous scellés et contre récépissé au juge d’instruction qui dressera procès-verbal de leur remise. Il fera copier les correspondances pouvant servir à conviction ou à décharge et versera ces copies, les enregistrements ainsi que tous autres données et renseignements reçus au dossier. Il renverra les écrits qu’il ne juge pas nécessaire de saisir aux opérateurs des postes qui les remettront sans délai au destinataire. al 5: Les communications avec des personnes liées par le secret professionnel au sens de l’article 458 du Code pénal et non suspectes d’avoir elles-mêmes commis l’infraction ou d’y avoir participé ne pourront être utilisées. Leur enregistrement et leur transcription seront immédiatement détruits par le juge d’instruction. (b) Art. 88-4: Les alinéas 1 et 4 de l’article 88-4 du Code d’instruction criminelle sont modifiés comme suit: al 1: Les décisions par lesquelles le Président du Gouvernement aura ordonné la surveillance et le contrôle de télécommunications ainsi que de correspondances seront notifiées aux opérateurs des postes ou télécommunications qui feront procéder sans retard à leur exécution. al 4: Les correspondances seront remises sous scellés et contre récépissé au service de renseignements. Le chef du service fera photocopier les correspondances pouvant servir à charge ou à décharge et renverra les écrits qu’il ne juge pas nécessaire de retenir aux opérateurs des postes qui les feront remettre au destinataire.
La référence à la présente loi se fait sous une forme abrégée en recourant à l’intitulé suivant: « Loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques».
La présente loi entre en vigueur le premier jour du mois qui suit sa publication au Mémorial.
Le siège de la Commission nationale pour la protection des données est fixé dans la commune de Sanem, localité de Belvaux.
Le règlement grand-ducal du 1er août 2018 portant fixation du siège de la Commission nationale pour la protection des données est abrogé.
Notre ministre ayant les communications et les médias dans ses attributions est chargé de l'exécution du présent règlement qui sera publié au Journal officiel du Grand-Duché de Luxembourg.
( Version consolidée applicable au 03/03/2022 : Loi du 17 août 2018 sur l’archivage et portant modification 1° de la loi modifiée du 25 juin 2004 portant réorganisation des instituts culturels de l’État ; 2° de la loi électorale modifiée du 18 février 2003 ; 3° du décret modifié du 18 juin 1811 contenant règlement pour l’administration de la justice en matière criminelle, de police correctionnelle, et de simple police, et tarif général des frais. )
La présente loi a pour objet de régler l’archivage dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées que pour assurer, par le biais de la sauvegarde d’un patrimoine archivistique national et dans un esprit de transparence démocratique, l’accès à la documentation d’intérêt historique, scientifique, culturel, économique ou sociétal du Grand-Duché de Luxembourg.
1. « archives » : l'ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme matérielle et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité ; 2. « archives publiques » : les documents visés au point 1. produits ou reçus par les administrations et services de l’État, les communes, les syndicats de communes, les établissements publics de l’État et des communes, la Chambre des députés, le Conseil d’État, le Médiateur, la Cour des comptes, l’Institut grand-ducal, la Cour grand-ducale pour ce qui est des documents relevant de la fonction du chef d’État, l’Archevêché de Luxembourg, les Consistoires de l’Église protestante et de l’Église protestante réformée du Luxembourg, le Consistoire administratif de l’Église protestante du Luxembourg, le Consistoire israélite, l’Église anglicane du Luxembourg, l’Église orthodoxe au Luxembourg, les Églises orthodoxes hellénique, roumaine, serbe et russe établies au Luxembourg, la Shoura, assemblée de la Communauté musulmane du Grand-Duché de Luxembourg ainsi que le Fonds de gestion des édifices religieux et autres biens relevant du culte catholique. Sont également visés les minutes et répertoires des notaires ; 3. « archives privées » : les documents visés au point 1. qui n’entrent pas dans le champ d’application du point 2. ; 4. « dossier » : ensemble de documents regroupés par un producteur pour son usage courant parce qu'ils concernent un même sujet ou une même affaire ; 5. « versement » : la transmission de la conservation, de la gestion et de la responsabilité du traitement des archives publiques y compris des données à caractère personnel ; 6. « transfert d’archives privées » : la transmission de la gestion d’archives privées par voie de dépôt, de don ou de legs respectivement par voie d’acquisition ; 7. « tableau de tri » : document décrivant toutes les archives d’un producteur ou détenteur d’archives publiques et qui mentionne pour chaque catégorie d’archives les informations suivantes : la typologie, l’intitulé ou la description du contenu, la durée d’utilité administrative et le sort final. Le tableau de tri est accessible au public. Exception est faite pour les tableaux de tri référençant des documents qui ont trait à la défense nationale, à la sécurité du Grand-Duché de Luxembourg ou à la sécurité des États étrangers ou des organisations internationales ou supranationales avec lesquelles le Luxembourg poursuit des objectifs communs sur base d’accords ou de conventions ; 8. « sort final » : sort réservé aux archives à l’expiration de la durée d’utilité administrative et consistant soit en la conservation définitive et intégrale des documents, soit en la destruction définitive et intégrale des documents ; 9. « durée d’utilité administrative » : la durée légale ou pratique pendant laquelle des archives sont susceptibles d'être utilisées par le producteur ou le détenteur, au terme de laquelle est appliquée la décision concernant leur sort final ; 10. « recommandations » : les bonnes pratiques élaborées par les Archives nationales dans le cadre de leur mission d’encadrement en ce qui concerne la gestion, la conservation et la communication des archives publiques ainsi que les conseils émis par les Archives nationales suite à leurs inspections dans le cadre de leur mission d’encadrement ; 11. « fonds d’archives » : l’ensemble de documents de toute nature constitué de façon organique par un producteur ou détenteur d’archives dans l'exercice de ses activités et en fonction de ses attributions.
1. la Chambre des députés ; 2. le Conseil d’État ; 3. les juridictions luxembourgeoises ; 4. la Cour grand-ducale ; 5. le Médiateur ; 6. la Cour des comptes ; 7. les établissements publics de l’État ; 8. l’Institut Grand-Ducal. Au cas où ces producteurs ou détenteurs d’archives publiques ne peuvent pas conserver eux-mêmes leurs archives publiques, les Archives nationales conservent leurs archives publiques après expiration de la durée d’utilité administrative.
L’État peut conclure des contrats de coopération avec les communes et les établissements publics des communes concernant leurs archives. Les contrats de coopération sont élaborés à partir d’un contrat de coopération type dont le contenu et les modalités sont définis par voie de règlement grand-ducal. La conclusion de ces contrats avec les communes et les établissements publics des communes et leur exécution au nom et pour le compte de l’État relèvent de la compétence conjointe du ministre de la Culture et du ministre de l’Intérieur. À défaut de contrat de coopération, les communes et les établissements publics des communes informent par écrit le directeur des Archives nationales avant toute destruction de leurs archives après l’expiration de leur durée d’utilité administrative. En cas d’opposition à la destruction de la part du directeur des Archives nationales, les archives en question sont versées aux Archives nationales. Ils peuvent détruire leurs archives à défaut de réponse du directeur des Archives nationales dans un délai de trois mois.
À ce titre les producteurs ou détenteurs d’archives publiques doivent disposer : 1. d’un service d’archives publiques au sein de leur administration et disposer de personnel qualifié en matière d’archivage. Le chef du service d’archives doit être diplômé en archivistique et tout autre agent de ce service doit au moins avoir suivi le cours d’initiation à l’archivistique proposé par l’Institut national d’administration publique ; 2. d’une infrastructure et de mesures de sécurité ; 3. d’un plan d’urgence mettant à l’abri les archives publiques en cas d’incident mettant en cause leur sécurité. Tout producteur ou détenteur d’archives publiques qui s’est vu accorder le régime dérogatoire relatif à l’archivage établit des inventaires de ses archives et les rend accessibles pour une consultation en ligne via le moteur de recherche des Archives nationales.
Est puni de la même amende le fait, pour une personne détentrice d'archives publiques en raison de ses fonctions, d'avoir sciemment laissé détourner, soustraire ou détruire tout ou partie de ces archives contrairement à l’évaluation fixée dans le tableau de tri. Les faits prévus aux alinéas 1er et 2 commis par négligence par une personne détentrice d'archives publiques sont punis d’une amende de 500 à 15.000 euros. La tentative des délits prévus aux alinéas 1er et 2 est punie de la même amende.
Ces producteurs ou détenteurs d’archives publiques restent responsables du traitement des archives publiques y compris des données à caractère personnel en cas de sous-traitance. Les producteurs ou détenteurs d’archives publiques qui bénéficient d’un régime d’archivage autonome doivent conserver eux-mêmes leurs archives publiques destinées à être définitivement conservées.
Cette mission leur permet : - de contrôler, sur information préalable, à distance ou moyennant inspections sur place, l’organisation et la gestion des archives publiques, l’état des documents conservés par les producteurs ou détenteurs d’archives publiques, respectivement leur sous-traitant et l’état des infrastructures et des aménagements dédiés à l’archivage ; - de formuler des recommandations sur la manière d’organiser les archives publiques, de les gérer, de les conserver ou faire conserver. Pour tout producteur ou détenteur d’archives qui gère lui-même ses archives en vertu de l’article 5, la mission d’encadrement inclut le contrôle par les Archives nationales du respect des conditions de communication, de reproduction et de publication des archives prévues par la présente loi et ses règlements d’exécution. Les inspections des Archives nationales sont ponctuelles et s’effectuent en présence du producteur ou détenteur d’archives publiques. Les modalités d’exercice de cette mission d’encadrement sont déterminées par voie de règlement grandducal.
Le directeur des Archives nationales, après consultation du Conseil des archives institué par l’article 22, dresse annuellement un rapport au ministre sur les constats faits durant l’année écoulée sur la gestion, la conservation, la sécurité, le versement et la communication au public des archives publiques par les différents producteurs ou détenteurs d’archives publiques. Des réclamations peuvent lui être adressées par les utilisateurs d’archives. Il en fait mention dans son rapport au ministre.
Le transfert des archives privées définies à l’article 2, point 3 peut s’effectuer aux instituts culturels définis comme tels dans la loi modifiée du 25 juin 2004 portant réorganisation des instituts culturels de l’État, ciaprès dénommés « instituts culturels », en concordance avec leurs missions définies dans ladite loi par dépôt, don, legs ou acquisition. Les archives privées qui entrent dans les collections des instituts culturels par don, legs ou acquisition, sont imprescriptibles, inaliénables et insaisissables. Pour chaque don ou dépôt d’archives privées auprès des instituts culturels est conclu un contrat déterminant les conditions du transfert, de communication, de reproduction et de publication de ces archives. Le don, le legs et l’acquisition d’archives privées impliquent la transmission de la responsabilité du traitement des archives privées y compris des données à caractère personnel. La responsabilité en cas de dépôt est réglée par contrat entre le déposant et le dépositaire des archives privées.
La gratuité de la communication des archives ne fait pas obstacle à la facturation de services accessoires, tels que la délivrance de copies ou l’utilisation d’équipements techniques particuliers.
1. dont la communication porterait atteinte aux relations extérieures, à la sécurité du Grand-Duché de Luxembourg ou à l’ordre public ; 2. ayant trait aux affaires portées devant les instances juridictionnelles, extrajudiciaires ou disciplinaires ; 3. ayant trait à la prévention, à la recherche ou à la poursuite de faits punissables ; 4. dont la communication porterait atteinte au caractère confidentiel des informations commerciales et industrielles. Le délai de communication est de cent ans à partir de la date du document le plus récent inclus dans le dossier pour les archives publiques qui sont couvertes par le secret fiscal.
- vingt-cinq ans après le décès de la personne concernée, au cas où la date de décès est connue ; - soixante-quinze ans à compter de la date du document le plus récent inclus dans le dossier au cas où la date de décès n’est pas connue ou la recherche de la date de décès entraînerait un effort administratif démesuré.
a) la communication des archives publiques visées à l’article 16, paragraphe 2 avant l’expiration du délai de communication est nécessaire à la réalisation d’une recherche ou d’un travail scientifique effectués dans l’intérêt public et si cette communication ne porte pas une atteinte excessive aux intérêts protégés par ladite disposition ; b) la communication des archives publiques visées à l’article 16, paragraphe 3 avant l’expiration des délais de communication est nécessaire à la réalisation d’une recherche ou d’un travail scientifique effectués dans l’intérêt public et si cette communication ne porte pas une atteinte excessive à la vie privée de la personne concernée.
Toute personne chargée de la collecte ou de la conservation d’archives en application des dispositions de la présente loi est tenue au secret professionnel en ce qui concerne les informations contenues dans les archives aussi longtemps qu’elles ne sont pas communicables au public. La violation du secret professionnel est passible des peines prévues par l’article 458 du Code pénal.
Ce droit d’accès peut consister en une consultation des archives par la personne concernée elle-même, si l’état de conservation des archives le permet et si des intérêts de tiers ne sont pas affectés.
La déclaration contradictoire doit se limiter à l’affirmation des faits et doit énumérer les preuves sur lesquelles se base la déclaration contradictoire. Une déclaration contradictoire n’est pas possible pour des dossiers où existe un jugement rendu par les juridictions judiciaires ou administratives. Par dérogation aux articles 16 et 18 et conformément à l’article 89, paragraphe 3 du règlement (UE) 2016/679, les personnes concernées ne peuvent pas exiger ni la rectification de données ni la limitation du traitement.
Sans préjudice des dispositions relatives au dépôt légal, tel que défini dans les articles 10 et 19 de la loi modifiée du 25 juin 2004 portant réorganisation des instituts culturels de l'État, un exemplaire justificatif de tous les travaux et de toutes les publications qui se fondent entièrement ou partiellement sur les archives conservées au sein d’un institut culturel ou d’un producteur ou détenteur d’archives publiques qui gère lui-même ses archives dont la durée d’utilité administrative est venue à échéance, en vertu des articles 4 et 5 est à déposer gratuitement au détenteur des archives.
1. de fonctionner comme organe consultatif et de se prononcer sur toute question en matière d’archives qui lui est soumise par le ministre ; 2. de fonctionner comme organe de réflexion et d’impulsion dans le domaine des archives et de formuler des avis et des propositions au ministre ; 3. de proposer des mesures en matière de politique archivistique sur le plan national ; 4. de promouvoir l’archivage ; 5. de se prononcer sur les propositions de classement d’archives privées comme archives privées historiques ; 6. d’émettre un avis dans le cas d’un refus de communication d’archives publiques avant l’expiration des délais de communication.
La loi modifiée du 25 juin 2004 portant réorganisation des instituts culturels de l’État est modifiée comme suit :
« Art. 3. Sans préjudice des missions spécifiques définies pour chaque institut, les missions générales des instituts culturels de l’État, dans le domaine propre à chacun, sont l’étude, la conservation et l’épanouissement du patrimoine culturel et intellectuel, des activités de sensibilisation, d’éducation et de formation, ainsi que des activités de recherche, telles que définies à l’article 3, paragraphe 8, 3e tiret, de la loi modifiée du 31 mai 1999 portant création d’un fonds national de la recherche dans le secteur public. Les instituts culturels de l’État : 1. peuvent rechercher la collaboration d’instituts similaires au niveau international et collaborer à des projets internationaux ; 2. peuvent faire appel à des experts et chercheurs ; 3. peuvent entreprendre des activités de recherche, en relation avec leurs missions et leurs collections. Ils peuvent à cette fin collaborer avec des partenaires du secteur public ou du secteur privé ; 4. peuvent publier des ouvrages scientifiques et didactiques sans préjudice des dispositions légales en vigueur ; 5. constituent et entretiennent des collections. Ils peuvent accepter des prêts ainsi que prendre en dépôt des objets et, avec l’approbation du ministre ainsi que sous réserve des conditions prévues à l’article 910 du Code Civil, accepter des dons et des legs faits au profit de l’État. »
« Art. 7. Les Archives nationales ont pour missions : 1. de collecter, de réunir, de conserver, de classer, d’inventorier, d’étudier et de communiquer des documents d’intérêt historique, scientifique, économique, sociétal et culturel national ; 2. de conseiller les producteurs ou détenteurs d’archives, publiques ou privées, sur le classement, l’inventorisation et la conservation de leurs archives ; 3. d’assurer l’encadrement et d’élaborer des recommandations sur la manière d’organiser, de gérer, de conserver les archives publiques et de les verser aux Archives nationales ; 4. d’accepter des archives privées par don, legs ou dépôt en vue de leur intégration ou de leur mise en dépôt aux Archives nationales et d’acquérir au profit de l’État des archives privées d’intérêt historique, scientifique, économique, sociétal ou culturel ; 5. d’assurer la protection et la préservation des archives publiques et des archives privées classées conformément à la loi sur l’archivage ; 6. d’organiser des expositions temporaires, des colloques, des conférences ainsi que des activités pédagogiques qui sont en rapport avec ses activités dans le but de valoriser le patrimoine archivistique national et de sensibiliser le public à l’importance de la conservation de ce patrimoine ; 7. de sensibiliser les institutions, administrations et services publics aux techniques de l’archivage et à la conservation des documents d’intérêt historique, scientifique, économique, sociétal et culturel national ; 8. de contribuer au développement de l’archivistique au niveau national et au niveau international. »
Aux articles 225 et 261 de la loi électorale modifiée du 18 février 2003, les mots « sont transférés aux archives de l’État où ils sont conservés » sont remplacés par les mots « sont conservés au ministère de l’Intérieur ».
À l’article 56 du décret modifié du 18 juin 1811 contenant règlement pour l’administration de la justice en matière criminelle, de police correctionnelle et de simple police, et tarif général des frais est ajouté un deuxième paragraphe qui se lit comme suit : « En matière criminelle, correctionnelle et de simple police, le Procureur général d’État peut autoriser toute personne présentant un intérêt légitime à consulter, reproduire ou publier les dossiers répressifs déposés aux Archives nationales, sans déplacement et sur demande spécialement motivée par rapport aux dossiers concernés, avant l’expiration des délais de communication prévus par la loi du 17 août 2018 sur l’archivage et ses règlements d’exécution ».
Les tableaux de tri tels que définis à l’article 6, paragraphes 1 et 3 sont établis dans un délai de sept ans qui suivent l’entrée en vigueur de la présente loi. Tant qu’un producteur ou détenteur d’archives publiques ne dispose pas encore de tableau de tri établi conformément à l’article 6 paragraphe 1er , l’obligation de proposition de versement prévue aux articles 3, paragraphe 1er, et 4, paragraphe 1er , l’obligation de versement prévue à l’article 6 paragraphe 2 et l’interdiction de destruction prévue à l’article 7 paragraphe 1er ne sont pas applicables. Par dérogation à l’alinéa 2, les archives publiques ayant plus de soixante-dix ans au moment de la publication de la présente loi doivent être proposées au versement aux Archives nationales au plus tard dans un délai d’un an.
Par dérogation à l’article 3 paragraphe 1er, le versement des archives publiques conservées auprès du producteur ou détenteur d’archives publiques n’ayant plus d’utilité administrative et ayant plus de dix ans au moment où le tableau de tri sort ses effets peut être échelonné sur une période de cinq ans.
La référence à la présente loi peut se faire sous une forme abrégée en recourant à l’intitulé suivant « loi du 17 août 2018 relative à l’archivage ».
La présente loi entre en vigueur le 1er septembre 2018.