La Commission nationale pour la protection des données (CNPD) peut être amenée à traiter des données à caractère personnel vous concernant aux fins de l’accomplissement des missions qui lui sont confiées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD).
En tant qu’autorité publique traitant des données à caractère personnel, la CNPD est tenue de respecter les obligations qui lui incombent en sa qualité de responsable de traitement.
Les coordonnées de la CNPD sont les suivantes :
Commission nationale pour la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : (+352) 26 10 60 -1
Fax. : (+352) 26 10 60 - 6099
E-mail: info@cnpd.lu
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD :
- par courriel : dpo@cnpd.lu
- par voie postale :
Commission nationale pour la protection des données
A l’att. du délégué à la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
- ou par téléphone : (+352) 26 10 60 - 1
Plusieurs activités dans le cadre desquelles la CNPD traite des données à caractère personnel sont décrites ci-après. Pour chaque activité, une notice d’information plus détaillée est accessible en cliquant sur le lien sur « en savoir plus » (vous y trouverez notamment des informations sur les droits que vous pouvez exercer auprès de la CNPD).
Ces notices d’information sont aussi directement accessibles sur les pages du site de la CNPD se rapportant aux traitements en question.
Les durées de conservation qui y sont mentionnées correspondent aux durées d’utilité administrative des dossiers telles qu’elles ont été déterminées par la CNPD conformément à la loi du 17 août 2018 relative à l’archivage. Conformément à cette loi, les dossiers présentant une valeur patrimoniale doivent être conservés à des fins d’archivage dans l’intérêt public.
1. Sensibilisation, formations et information du public
Gestion de la newsletter
La CNPD propose une newsletter afin de permettre au public intéressé d’être contacté et informé de l’organisation d’évènements et de la publication de documents de sensibilisation, de guidances et d’avis juridiques et de toutes autres actualités relatives à l’activité de la CNPD. Les personnes intéressées peuvent s’inscrire en ligne. Un service d’envoi d’emails est utilisé afin de faciliter la diffusion de la newsletter.
En savoir plus
1. Finalités du traitement
La CNPD (15, Boulevard du Jazz, L-4370 Belvaux) propose une newsletter afin de permettre au public intéressé d’être contacté et informé de l’organisation d’évènements et de la publication de documents de sensibilisation, de guidances et d’avis juridiques et de toutes autres actualités relatives à l’activité de la CNPD.
La CNPD utilise un service d’envoi d’emails afin de faciliter la diffusion de sa newsletter et de collecter des données relatives à la consultation de celle-ci.
L’abonnement à la newsletter de la CNPD nécessite la collecte d’une adresse email. Afin de prévenir d’éventuels abus, un lien est envoyé à l’adresse email saisie lors de l’inscription. La personne intéressée doit cliquer sur ce lien pour valider son inscription.
2. Catégories de données traitées
Les données suivantes sont collectées et consultables par les membres du personnel de la CNPD en charge de la gestion/de la maintenance technique de la newsletter:
- Adresse email saisie lors de l’inscription ;
- Date de l’inscription ;
- Statut relatif à l’inscription (« confirmé » ou « non confirmé ») ;
- Langue associée (Français par défaut) ;
- Source (site internet de la CNPD).
Après chaque envoi, un « rapport de campagne » est établi reprenant les informations suivantes pour chaque abonné :
- Nombre d’emails envoyés à l’abonné, reçus, non reçus (avec motif : message non livré ou adresse email inexistante), ouverts (par campagne et total), ouverts « non cliqués », non ouverts, lus dans le navigateur, date et heure du dernier message ouvert, nombre de clics (par campagne et total), nombre de message « non cliqués », date et heure du dernier message cliqué, nombre de clics sur le bouton « transmettre » de la newsletter et nombre de newsletters transmises en utilisant le bouton « transmettre », nombre de messages marqués comme spam par le destinataire, nombre de clics sur le bouton de désabonnement, désabonnement confirmé.
- Le rapport contient aussi des statistiques individuelles (exprimées en pourcentages) reprenant les éléments suivants : emails « livrés », « ouverts », « cliqués ».
3. Base juridique du traitement
Le traitement de données à caractère personnel effectué par la CNPD dans le cadre de la gestion des abonnements à sa newsletter est fondé sur le consentement de la personne concernée [article 6, paragraphe 1, point a), du règlement général sur la protection des données, ci-après RGPD]. Ce consentement peut être retiré à tout moment.
4. Destinataires des données traitées
Les données traitées sont accessibles aux membres du personnel de la CNPD en charge de la gestion/de la maintenance technique de la newsletter.
Les données sont également accessibles à Flexmail NV, établie 3600 Genk, Jaarbeurslaan 29, boîte 31, immatriculée auprès de la Banque-carrefour des Entreprises sous le numéro BE 0835.786.642, qui fournit le service d’envoi d’emails et agit en tant que sous-traitant.
5. Désinscription
Les abonnés à la newsletter de la CNPD ont la possibilité de se désinscrire en cliquant sur un lien contenu dans chaque e-mail par lequel est transmis la newsletter ou bien en s’adressant au DPO de la CNPD. En cas de désinscription, l’adresse email saisie lors de l’inscription et les données associées sont supprimées endéans 30 jours.
6. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du RGPD), obtenir la rectification de données inexactes ou incomplètes (article 16 du RGPD) et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
7. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNPD.
Demandes d’information adressées à la CNPD
La CNPD peut être sollicitée par toute personne concernée par un traitement de données à caractère personnel afin d’obtenir des informations sur l’exercice de ses droits ainsi que sur les obligations incombant aux responsables de traitement. La CNPD traite des données à caractère personnel afin de pouvoir répondre aux demandes qui lui sont adressées. Ces données sont principalement collectées via un formulaire en ligne qui comprend des champs obligatoires.
En savoir plus
1. Finalités et base juridique du traitement
La CNPD peut être sollicitée par toute personne concernée par un traitement de données à caractère personnel afin d’obtenir des informations sur l’exercice de ses droits [article 57, paragraphe 1, sous e), du règlement général sur la protection des données] ainsi que sur les obligations incombant aux responsables de traitement.
Dans ce contexte, le traitement de vos données est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
2. Données traitées
Deux formulaires de contact sont proposés par la CNPD : un formulaire pour les demandes présentées à titre privé et un formulaire pour les demandes présentées à titre professionnel.
Champs obligatoires
Le traitement de votre demande (privée ou professionnelle) nécessite la collecte de données personnelles vous concernant, à savoir : civilité, nom, prénom, et adresse e-mail.
Pour les demandes présentées à titre privé, il convient de renseigner votre pays de résidence et pour les demandes présentées à titre professionnel, le pays dans lequel votre entité est établie.
Les formulaires de contact contiennent un champ « message » dans lequel vous pouvez formuler votre demande. Il est conseillé de n’y mentionner que les éléments d’information nécessaires au traitement de votre demande et, en particulier, d’éviter d’y inclure, si cela n’est pas indispensable, des données sensibles (au sens de l’article 9 du règlement général sur la protection des données) vous concernant ou concernant une personne tierce (par exemple des données relatives à la santé, aux opinions politiques ou aux convictions religieuses).
Champs non obligatoires
Si vous le souhaitez, des informations supplémentaires peuvent être renseignées dans les champs non obligatoires, à savoir votre numéro de téléphone (afin de nous permettre de vous contacter plus rapidement en cas d’éventuelles questions supplémentaires) ainsi que, pour ce qui est des demandes présentées à titre professionnel, votre secteur d’activité, la dénomination de votre entité et la fonction que vous exercez.
3. Catégories de destinataires
Les demandes adressées à la CNPD via les formulaires de contact sont envoyées à l’adresse info@cnpd.lu, gérée par le secrétariat de la CNPD, puis transmises, en fonction de leur objet, aux services compétents au sein de la CNPD, c’est-à-dire, pour la plupart des demandes, le service responsable des demandes d’information et éventuellement, le service communication et relations publiques ou le service responsable de la gestion des plaintes.
Destinataires potentiels
Les données collectées (pour autant qu’elles constituent des informations utiles) peuvent être transmises à d’autres autorités de contrôle dans le cadre de l’assistance mutuelle avec ces autorités, sur base de l’article 61 du règlement général sur la protection des données.
4. Durée de conservation
Les demandes d’information transmises via les formulaires de contact sont conservées pour une durée de trois ans à compter de la clôture du dossier relatif à la demande.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
DaPro LAB
La CNPD propose des séances d’échanges de connaissances et d’expériences entre des professionnels de la protection des données. Ces séances sont appelées « DaPro Lab ». La CNPD traite principalement des données de nature professionnelle concernant les personnes intéressées à participer.
En savoir plus
1. Finalités et base juridique du traitement
Afin de favoriser la compréhension des risques, des règles, des garanties et droits relatifs aux traitements de données à caractère personnel, la CNPD propose des séances d’échanges de connaissances et d’expériences entre des professionnels de la protection des données. Ces séances sont appelées « DaPro Lab »
Une séance DaPro Lab est accessible aux personnes intéressées qui répondent aux conditions d’accès mentionnées dans la Charte Le DaPro Lab et précisées pour chaque séance.
Le traitement de vos données à caractère personnel effectué par la CNPD dans ce contexte est fondé sur votre consentement [article 6, paragraphe 1, sous a), du règlement général sur la protection des données].
Vous avez la possibilité de retirer votre consentement au traitement de vos données à caractère personnel en adressant un courriel à communication@cnpd.lu.
Les données concernant les personnes intéressées à participer sont collectées par la CNPD afin de lui permettre d’organiser le DaPro Lab et d’exercer dans ce cadre les missions de sensibilisation qui lui sont confiées au titre de l’article 57, paragraphe 1, point b), et point d), du règlement général sur la protection des données.
2. Catégories de données traitées
Les données suivantes, se rapportant à chaque personne intéressée à participer sont collectées et consultables par les personnes chargées de l’organisation du DaPro Lab au sein de la CNPD :
- Nom et prénom ;
- Coordonnées professionnelles ;
- Données relatives à l’activité professionnelle (secteur d’activité, employeur, fonctions exercées).
3. Catégories de destinataires des données traitées
Les personnes en charge de l’organisation et de la tenue du DaPro Lab au sein de la CNPD.
4. Durée de conservation
Les données à caractère personnel relatives aux personnes ayant présenté une demande de participation et répondant aux conditions d’accès sont conservées pour une durée de 6 mois à compter de la tenue du DaPro Lab.
Les données à caractère personnel relatives aux personnes ayant présenté une demande de participation mais ne répondant pas aux conditions d’accès ne sont pas conservées.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Projet ALTO – phase Pilote
Le projet ALTO contribue à encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du RGPD. Les données à caractère personnel collectées auprès des entités participantes sont nécessaires afin de mener à bien la phase Pilote du projet ALTO.
En savoir plus
1. Responsable du traitement
La Commission nationale pour la protection des données (CNPD) est responsable du traitement des données à caractère personnel qui lui sont communiquées par les entités (PME, chambres et associations professionnelles) souhaitant participer à la phase Pilote du projet ALTO.
Les coordonnées de la CNPD sont les suivantes :
Commission nationale pour la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : (+352) 26 10 60 -1
2. Finalités et base juridique du traitement
Le projet ALTO contribue à encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du RGPD. La réalisation de ce projet s’inscrit dans le cadre d’une mission d’intérêt public qui incombe à la CNPD sur base de l’article 57, paragraphe 1, sous d) du RGPD.
Les données à caractère personnel collectées auprès des entités participantes sont nécessaires afin de permettre à la CNPD et à son partenaire, le LHC-NC3 (Luxembourg House of Cybersecurity, National Cybersecurity Competence Center), de mener à bien la phase Pilote du projet ALTO. Cette phase requiert des échanges avec ces entités afin de développer un outil d’auto-évaluation et d’aide à la mise en conformité adapté aux besoins des PME.
Le traitement de données à caractère personnel effectué par la CNPD dans ce contexte est basé sur l’article 6, paragraphe 1, sous e), du RGPD (traitement nécessaire à l’exécution d’une mission d’intérêt public dont elle est investie).
3. Catégories de données traitées
Les données à caractère personnel traitées par la CNPD dans le cadre de la phase Pilote du projet ALTO sont les suivantes :
- Nom, prénom, fonctions et coordonnées professionnelles des personnes de contact auprès des entités participantes ;
- Observations et commentaires communiqués à la CNPD et au LHC-N3 pour le compte de l’entité qu’ils représentent.
4. Catégories de destinataires des données traitées
Les données à caractère personnel traitées dans le cadre de la phase Pilote du projet ALTO sont accessibles :
- aux Commissaires et agents de la CNPD.
- aux agents désignés au sein du LHC-NC3.
5. Durée de conservation
Les données à caractère personnel sont conservées jusqu’à la clôture de la phase Pilote du projet ALTO, la durée de cette phase étant estimée à un an à compter de son lancement (en mars 2023).
6. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données (article 21 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD dont les coordonnées sont reprises ci-après (point 7).
7. Coordonnées du délégué à la protection des données
Pour toute question concernant le traitement de vos données à caractère personnel effectué par la CNPD dans le cadre de la phase Pilote du Projet ALTO, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD par courriel (dpo@cnpd.lu) ou par voie postale :
Commission nationale pour la protection des données
A l’att. du délégué à la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : (+352) 26 10 60 -1
8. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Consultation publique « GDPR-CARPA »
La CNPD a lancé une consultation publique concernant le schéma de certification « GDPR-CARPA ». Afin de faciliter la consultation, un formulaire avait été mis à la disposition des contributeurs sur le site de la CNPD. Les données à caractère personnel traitées par la CNPD dans ce contexte sont essentiellement des coordonnées communiquées par les contributeurs.
En savoir plus
1. Finalités et base juridique du traitement
La CNPD a lancé une consultation publique concernant le schéma de certification « GDPR CARPA » qui porte, d’une part, sur les critères de la certification (article 42 du règlement général sur la protection des données), et d’autre part, sur les critères d’agrément des organismes de certification (article 43 du règlement général sur la protection des données).
Afin de faciliter la consultation, un formulaire est mis à la disposition des contributeurs sur le site de la CNPD (cnpd.public.lu).
Cette consultation publique vise à permettre à la CNPD de réaliser les missions qui lui sont confiées par l’article 57, paragraphe 1, sous n) et sous p), du règlement général sur la protection des données.
Dans ce contexte, le traitement des données transmises via ce formulaire est nécessaire à l’exécution de missions d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
2. Catégories de données traitées
Données d’identification et coordonnées de la personne de contact.
3. Catégories de destinataires
Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.
Le formulaire peut être envoyée par e-mail à alain.herrmann@cnpd.lu.
4. Durée de conservation
Les données sont conservées pour une durée d’un an à compter de la clôture de la consultation publique.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
2. Obligations du responsable du traitement, missions de contrôle, coopération européenne et internationale
Gestion des coordonnées des délégués à la protection des données
Le responsable du traitement ou le sous-traitant sont tenus de communiquer à la CNPD les coordonnées du délégué à la protection des données qu’ils ont désigné. Un formulaire spécifique est mis à disposition sur le site de la CNPD. Les données collectées par la CNPD sont principalement des coordonnées professionnelles.
En savoir plus
La CNPD est responsable du traitement des données à caractère personnel recueillies par le biais du formulaire « Communication des coordonnées du DPO » accessible sur le site cnpd.public.lu.
1. Finalités et base juridique du traitement
Le responsable du traitement ou le sous-traitant sont tenus, au titre de l’article 37, paragraphe 7, du règlement général sur la protection des données, de communiquer à la CNPD (autorité de contrôle), les coordonnées du DPO qu’ils ont désigné.
Les coordonnées du DPO sont traitées par la CNPD afin de lui permettre, dans le cadre des missions qui lui sont confiées par le règlement général sur la protection des données, de prendre contact avec le DPO.
Dans ce contexte, le traitement des coordonnées du DPO désigné est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
Les informations relatives à la personne physique effectuant la déclaration pour le compte du responsable du traitement ou du sous-traitant sont traitées afin de pouvoir vérifier la véracité de la déclaration.
2. Catégories de données traitées
Données d’identification et coordonnées des personnes concernées.
3. Catégories de destinataires des données traitées
Les membres et agents de la CNPD. Les données ne sont pas transférées à des tiers.
4. Durée de conservation
La CNPD conserve les données relatives à la désignation du DPO pendant un an à compter du jour où le responsable du traitement ou le sous-traitant, ayant procédé à la désignation, informe la CNPD d’une nouvelle désignation et/ou de la cessation des fonctions du DPO désigné.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données (article 21 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Consultations préalables (« analyses d’impact relative à la protection des données »)
En fonction du niveau de risque que pourrait présenter un traitement de données à caractère personnel, un responsable du traitement peut être tenu d’effectuer une analyse d’impact relative à la protection des données et de consulter la CNPD préalablement au traitement. Dans le cadre d’une telle consultation, la CNPD collecte principalement des coordonnées professionnelles.
En savoir plus
1. Finalités et base juridique du traitement
Le responsable du traitement est tenu de consulter la CNPD lorsqu'il ressort d'une analyse d'impact relative à la protection des données effectuée en application de l’article 35 du règlement général qu’en l'absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre (article 36 et considérant 94 du règlement général sur la protection des données).
Pour faciliter cette consultation, un formulaire de consultation préalable est mis à la disposition du responsable du traitement sur le site de la CNPD (cnpd.public.lu).
Le traitement des données transmises via ce formulaire est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
2. Catégories de données traitées
Données d’identification et coordonnées de la personne de contact auprès du responsable du traitement.
Données d’identification, fonction et signature du déclarant.
3. Catégories de destinataires
Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.
Le formulaire de consultation peut être envoyée à l’adresse aipd@cnpd.lu, gérée par le service de la CNPD en charge des consultations préalables. La clé publique PGP est téléchargeable ici pour sécuriser la transmission des informations en les chiffrant.
Le formulaire de consultation peut aussi être envoyé par courrier. Le formulaire de consultation est alors réceptionné par le secrétariat de la CNPD et transmis au service en charge des consultations préalables.
4. Durée de conservation
Les données sont conservées pour une durée de dix ans à compter de la réception du formulaire de consultation.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Gestion des notifications de violation
Les violations de données susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées à la CNPD par le responsable du traitement. Dans le cadre de telles notifications, la CNPD collecte principalement des coordonnées professionnelles.
En savoir plus
1. Finalités et base juridique du traitement
Les violations susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées à l’autorité de contrôle par le responsable du traitement (article 33 du règlement général sur la protection des données).
Pour ce faire, un formulaire de notification de violation est mis à la disposition du responsable du traitement sur le site de la CNPD (cnpd.public.lu).
Le traitement des données relatif à la notification est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
2. Catégories de données traitées
Données d’identification, fonction et coordonnées du déclarant et de la personne de contact auprès du responsable du traitement.
3. Catégories de destinataires
Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.
La notification peut être envoyée à l’adresse databreach@cnpd.lu, gérée par le service de la CNPD en charge de la gestion des notifications de violation.
La clé publique PGP est téléchargeable ici pour sécuriser la transmission des informations en les chiffrant.
4. Durée de conservation
Les données sont conservées pour une durée de dix ans à compter de la clôture du dossier.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Gestion des réclamations
Tout personne concernée peut introduire une réclamation auprès de la CNPD si elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation du RGPD. La CNPD collecte les données à caractère personnel transmises par le réclamant, notamment ses coordonnées, l’objet de sa réclamation ainsi que les données contenues dans les pièces jointes à celle-ci.
En savoir plus
1. Finalités et base juridique du traitement
Tout personne concernée peut introduire une réclamation auprès de la CNPD si elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation du règlement général sur la protection des données, en particulier, si elle réside habituellement au Grand-Duché de Luxembourg, y travaille ou si la violation y aurait été commise.
Dans ce cadre, la CNPD est amenée à traiter les données à caractère personnel transmises par le réclamant.
Le traitement de la réclamation, sur base de l’article 57, paragraphe 1, sous f), du règlement général sur la protection des données, est nécessaire à l’exécution d’une mission d’intérêt du public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].
2. Catégories de données traitées
Afin de faciliter l’introduction de la réclamation, la CNPD met à disposition un formulaire accessible sur son site (cnpd.public.lu).
Le traitement de la réclamation nécessite la collecte de données personnelles relatives au réclamant, et le cas échéant, à d’autres personnes.
Données d’identification et coordonnées
Le formulaire prévoit des champs obligatoires permettant de recueillir les données d’identification et les coordonnées du réclamant.
Des informations supplémentaires peuvent être renseignées dans des champs non-obligatoires, afin de faciliter le traitement de la réclamation, à savoir l’adresse e-mail, le téléphone/fax, la personne de contact/tuteur et le numéro de client/d’abonné (si pertinent), ainsi que l’indication de la relation de la personne concernée avec le responsable de traitement visé par la réclamation (par exemple : employé/employeur).
Objet de la réclamation
Le formulaire de réclamation contient des cases à cocher afin de préciser la nature de la violation alléguée et les catégories de données concernées (ces renseignements sont obligatoires).
Une description détaillée et chronologique des faits est requise, un champ obligatoire du formulaire est dédié à cette description. Il est conseillé de n’y mentionner que les éléments d’information nécessaires au traitement de la réclamation et, en particulier, d’éviter d’y inclure, si cela n’est pas indispensable, des données sensibles (au sens de l’article 9 du règlement général sur la protection des données) vous concernant ou concernant une personne tierce (par exemple des données relatives à la santé, aux opinions politiques ou aux convictions religieuses).
Pièces jointes
Le réclamant peut joindre des éléments de preuve, et préciser leur nature dans les champs dédiés du formulaire. Il est conseillé de ne transmettre que les pièces utiles au traitement de la réclamation.
Suivi de la réclamation
Des données supplémentaires peuvent être requises et collectées ultérieurement par la CNPD dans le cadre du traitement de la réclamation (auprès de la personne introduisant la réclamation et/ou auprès du responsable du traitement visé par la réclamation).
3. Catégories de destinataires
Membres et agents de la CNPD.
Les réclamations adressées à la CNPD via le formulaire de réclamation accessible en ligne sont envoyées à l’adresse plaintes@cnpd.lu, gérée par le service en charge des réclamations.
Les réclamations envoyées par courrier sont réceptionnées par le secrétariat de la CNPD et transmise ultérieurement au service en charge des réclamations.
Destinataires potentiels
Les données collectées (pour autant qu’elles constituent des informations utiles) peuvent être transmises à d’autres autorités de contrôle dans le cadre de la coopération et de l’assistance mutuelle avec ces autres autorités (articles 60 et 61 du règlement général sur la protection des données).
4. Durée de conservation
10 ans à compter de la clôture du dossier.
5. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.
6. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
Enquêtes de la CNPD
En tant qu’autorité de contrôle chargée de la protection des données, la CNPD effectue des enquêtes sur l’application du RGPD. Dans le cadre de ses enquêtes, la CNPD collecte des données à caractère personnel dont la nature dépend de l’entité faisant l’objet de l’enquête ainsi que des spécificités de l’enquête.
Activités de la formation restreinte
La CNPD traite des données à caractère personnel aux fins de l’adoption, par sa formation restreinte, d’une décision sur l’issue d’une enquête. Le processus décisionnel de la CNPD siégeant en formation restreinte et le suivi des mesures correctrices éventuellement adoptées impliquent la réalisation de plusieurs activités dans le cadre desquelles des données sont traitées.
En savoir plus
Système IMI
La CNPD coopère avec d'autres autorités de contrôle, y compris en partageant des informations. Dans ce contexte, la CNPD utilise un outil électronique (appelé IMI) fourni par la Commission européenne afin de faciliter la coopération administrative. La CNPD traite des données à caractère personnel via cet outil.
Gestion des signalements
La CNPD a mis en place les canaux de signalements requis par la loi du 16 mai 2023 relative aux lanceurs l’alerte. La CNPD traite les données à caractère personnel transmises par l’auteur du signalement. Toutefois, les données à caractère personnel communiquées à la CNPD qui ne sont manifestement pas pertinentes pour le traitement du signalement sont immédiatement supprimées.
En savoir plus
- Informations au titre de l’article 13 du RGPD concernant le traitement de données à caractère personnel effectué par la CNPD dans le cadre de la gestion des signalements qui lui sont adressés en tant qu’autorité compétente au sens de l’article 18 de la loi du 16 mai 2023 relative aux lanceurs l’alerte
- Informations au titre de l’article 13 du RGPD concernant le traitement de données à caractère personnel effectué par la CNPD dans le cadre de la gestion des signalements internes au titre des articles 6 et 7 de la loi du 16 mai 2023 relative aux lanceurs l’alerte
3. Recrutements
Gestion des candidatures
La CNPD traite les données à caractère personnel contenues dans les candidatures qui lui sont adressées afin de lui permettre de procéder à une sélection de candidats à un poste à pourvoir en vue d’un éventuel recrutement.
En savoir plus
1. Responsable du traitement
La Commission nationale pour la protection des données (CNPD) est responsable du traitement des données à caractère personnel qui lui sont communiquées par les candidats à un poste à pourvoir au sein de la CNPD.
Les coordonnées de la CNPD sont les suivantes :
Commission nationale pour la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : (+352) 26 10 60 -1
2. Finalités et base juridique du traitement
Conformément à l’article 28 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, « le cadre du personnel de la CNPD comprend des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État. Le cadre du personnel peut être complété, selon les besoins et dans la limite des crédits budgétaires, par des stagiaires, des employés et des salariés de l’État. »
La CNPD traite les données à caractère personnel contenues dans les candidatures qui lui sont adressées afin de lui permettre de procéder à une sélection de candidats à un poste à pourvoir en vue d’un éventuel recrutement.
3. Catégories de données traitées
Outre les données d’identification (nom et prénom) et les coordonnées communiquées par le candidat, les données traitées par la CNPD dans le cadre de la gestion des candidatures sont celles contenues dans les documents qui sont fournis avec la candidature, à savoir :
- Lettre de motivation ;
- Curriculum vitae ;
- Copie du/des diplômes et/ou certificats requis pour la formation demandée ;
- En ce qui concerne les fonctionnaires : la lettre de réussite à l’épreuve d’aptitude générale (accompagnée de ses annexes)
4. Catégories de destinataires des données traitées
Les données à caractère personnel contenues dans les candidatures communiquées à l’adresse rh@cnpd.lu sont traitées par l’unité ressources humaines au sein du service « Administration » de la CNPD.
Les candidatures communiquées à la CNPD par voie postale sont réceptionnées, au sein du service « Administration », par le secrétariat de la CNPD et transmises à l’unité ressources humaines.
En ce qui concerne les candidatures à un poste de fonctionnaire à introduire via la plateforme MyGuichet.lu, plateforme dont le CTIE est en charge (et qui agit dans ce contexte en tant que sous-traitant), les données à caractère personnel fournies par le candidat sont communiquées au Centre de gestion du personnel et de l’organisation de l’État (CGPO) et peuvent par ailleurs être accessibles à des personnes désignées par le CTIE dans le cadre d'une demande de support ou d'assistance de la personne concernée.
Les candidatures présentant un intérêt pour le poste à pourvoir sont communiquées aux Commissaires par l’unité ressources humaines de la CNPD.
En fonction du poste à pourvoir, le curriculum vitae et la lettre de motivation des candidats peuvent par ailleurs être communiqués à un chef de service consulté dans le cadre de la procédure de sélection.
5. Durée de conservation
Les dossiers de candidature non retenus sont détruits par la CNPD après chaque processus de recrutement ; les données à caractère personnel qu’ils contiennent sont supprimées lors de cette destruction.
Pour ce qui est des candidatures retenues débouchant sur un recrutement, le dossier personnel de l’agent est constitué conformément à l’article 34 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l'Etat et au Règlement grand-ducal du 13 avril 1984 déterminant les pièces contenues dans le dossier personnel des fonctionnaires de l’Etat.
6. Droits des personnes concernées
Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données (article 21 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.
Pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD dont les coordonnées sont reprises ci-après (point 7).
7. Coordonnées du délégué à la protection des données
Pour toute question concernant le traitement de vos données à caractère personnel effectué par la CNPD dans le cadre de la gestion de votre candidature, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD par courriel (dpo@cnpd.lu) ou par voie postale :
Commission nationale pour la protection des données
A l’att. du délégué à la protection des données
15, Boulevard du Jazz
L-4370 Belvaux
Tél. : (+352) 26 10 60 -1
8. Réclamation
Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.
4. Site de la CNPD
Gestion des cookies
Un cookie est un fichier texte envoyé à votre navigateur et enregistré sur le disque dur de votre terminal (PC, ordinateur portable ou smartphone, par exemple) lors de la visite d’un site internet.
Des cookies peuvent par exemple être utilisés afin d’assurer le bon fonctionnement d’un site et d’optimiser son ergonomie et ses fonctionnalités.
Le site de la CNPD utilise un cookie dit « technique », visant exclusivement à permettre de compléter en ligne les pages successives du formulaire de réclamation :
Nom du cookie |
Contenu |
Durée de conservation |
JSESSIONID |
Un token |
Durée de la session |