Protection des données

1. TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL EFFECTUES PAR LA CNPD VIA LE SITE cnpd.public.lu

Aux fins de l’accomplissement des missions qui lui sont confiées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), la Commission nationale pour la protection des données (CNPD) peut être amenée à traiter des données à caractère personnel vous concernant.

La CNPD, en tant qu’autorité publique traitant des données à caractère personnel, est tenue de respecter les obligations qui lui incombent en sa qualité de responsable de traitement.

Les coordonnées de la CNPD sont les suivantes :

Commission nationale pour la protection des données

15, Boulevard du Jazz
L-4370 Belvaux

Tél. : (+352) 26 10 60 -1

Fax. : (+352) 26 10 60 29

E-mail: info@cnpd.lu

Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD :

par courriel : dpo@cnpd.lu
par voie postale :

Commission nationale pour la protection des données

A l’att. du délégué à la protection des données

15, Boulevard du Jazz
L-4370 Belvaux

ou par téléphone : (+352) 26 10 60 - 1

Les informations relatives aux traitements de données effectués par la CNPD via son site cnpd.public.lu sont détaillées ci-dessous et également accessibles sur les pages pertinentes du site de la CNPD se rapportant aux traitements en question.

Les durées de conservation mentionnées ci-dessous correspondent aux durées d’utilité administrative des dossiers telles qu’elles ont été déterminées par la CNPD conformément à la loi du 17 août 2018 relative à l’archivage. Conformément à cette loi, les dossiers présentant une valeur patrimoniale doivent être conservés à des fins d’archivage dans l’intérêt public.

A. GESTION DES COORDONNEES DES DELEGUES A LA PROTECTION DES DONNEES (DPO)

La CNPD est responsable du traitement des données à caractère personnel recueillies par le biais du formulaire « Communication des coordonnées du DPO » accessible sur le site cnpd.public.lu.

1. Finalités et base juridique du traitement

Le responsable du traitement ou le sous-traitant sont tenus, au titre de l’article 37, paragraphe 7, du règlement général sur la protection des données, de communiquer à la CNPD (autorité de contrôle), les coordonnées du DPO qu’ils ont désigné.

Les coordonnées du DPO sont traitées par la CNPD afin de lui permettre, dans le cadre des missions qui lui sont confiées par le règlement général sur la protection des données, de prendre contact avec le DPO.

Dans ce contexte, le traitement des coordonnées du DPO désigné est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

Les informations relatives à la personne physique effectuant la déclaration pour le compte du responsable du traitement ou du sous-traitant sont traitées afin de pouvoir vérifier la véracité de la déclaration.

2. Catégories de données traitées

Données d’identification et coordonnées des personnes concernées.

3. Catégories de destinataires des données traitées

Les membres et agents de la CNPD. Les données ne sont pas transférées à des tiers.

4. Durée de conservation

La CNPD conserve les données relatives à la désignation du DPO pendant un an à compter du jour où le responsable du traitement ou le sous-traitant, ayant procédé à la désignation, informe la CNPD d’une nouvelle désignation et/ou de la cessation des fonctions du DPO désigné.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données (article 21 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

Pour toute question concernant les traitements de vos données à caractère personnel effectués par la CNPD, et pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD.

6. Réclamation

Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du règlement général sur la protection des données, vous pouvez introduire une réclamation auprès de la CNPD.

B. DEMANDES D’INFORMATION TRANSMISES VIA LES FORMULAIRES DE CONTACT

1. Finalités et base juridique du traitement

La CNPD peut être sollicitée par toute personne concernée par un traitement de données à caractère personnel afin d’obtenir des informations sur l’exercice de ses droits [article 57, paragraphe 1, sous e), du règlement général sur la protection des données] ainsi que sur les obligations incombant aux responsables de traitement.

Dans ce contexte, le traitement de vos données est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

2. Données traitées

Deux formulaires de contact sont proposés par la CNPD : un formulaire pour les demandes présentées à titre privé et un formulaire pour les demandes présentées à titre professionnel.

Champs obligatoires

Le traitement de votre demande (privée ou professionnelle) nécessite la collecte de données personnelles vous concernant, à savoir : civilité, nom, prénom, et adresse e-mail.

Pour les demandes présentées à titre privé, il convient de renseigner votre pays de résidence et pour les demandes présentées à titre professionnel, le pays dans lequel votre entité est établie.

Les formulaires de contact contiennent un champ « message » dans lequel vous pouvez formuler votre demande. Il est conseillé de n’y mentionner que les éléments d’information nécessaires au traitement de votre demande et, en particulier, d’éviter d’y inclure, si cela n’est pas indispensable, des données sensibles (au sens de l’article 9 du règlement général sur la protection des données) vous concernant ou concernant une personne tierce (par exemple des données relatives à la santé, aux opinions politiques ou aux convictions religieuses).

Champs non obligatoires

Si vous le souhaitez, des informations supplémentaires peuvent être renseignées dans les champs non obligatoires, à savoir votre numéro de téléphone (afin de nous permettre de vous contacter plus rapidement en cas d’éventuelles questions supplémentaires) ainsi que, pour ce qui est des demandes présentées à titre professionnel, votre secteur d’activité, la dénomination de votre entité et la fonction que vous exercez.

3. Catégories de destinataires

Les demandes adressées à la CNPD via les formulaires de contact sont envoyées à l’adresse info@cnpd.lu, gérée par le secrétariat de la CNPD, puis transmises, en fonction de leur objet, aux services compétents au sein de la CNPD, c’est-à-dire, pour la plupart des demandes, le service responsable des demandes d’information et éventuellement, le service communication et relations publiques ou le service responsable de la gestion des plaintes.

Destinataires potentiels

Les données collectées (pour autant qu’elles constituent des informations utiles) peuvent être transmises à d’autres autorités de contrôle dans le cadre de l’assistance mutuelle avec ces autorités, sur base de l’article 61 du règlement général sur la protection des données.

4. Durée de conservation

Les demandes d’information transmises via les formulaires de contact sont conservées pour une durée de trois ans à compter de la clôture du dossier relatif à la demande.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

C. GESTION DES RECLAMATIONS

1. Finalités et base juridique du traitement

Tout personne concernée peut introduire une réclamation auprès de la CNPD si elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation du règlement général sur la protection des données, en particulier, si elle réside habituellement au Grand-Duché de Luxembourg, y travaille ou si la violation y aurait été commise.

Dans ce cadre, la CNPD est amenée à traiter les données à caractère personnel transmises par le réclamant.

Le traitement de la réclamation, sur base de l’article 57, paragraphe 1, sous f), du règlement général sur la protection des données, est nécessaire à l’exécution d’une mission d’intérêt du public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

2. Catégories de données traitées

Afin de faciliter l’introduction de la réclamation, la CNPD met à disposition un formulaire accessible sur son site (cnpd.public.lu).

Le traitement de la réclamation nécessite la collecte de données personnelles relatives au réclamant, et le cas échéant, à d’autres personnes.

Données d’identification et coordonnées

Le formulaire prévoit des champs obligatoires permettant de recueillir les données d’identification et les coordonnées du réclamant.

Des informations supplémentaires peuvent être renseignées dans des champs non-obligatoires, afin de faciliter le traitement de la réclamation, à savoir l’adresse e-mail, le téléphone/fax, la personne de contact/tuteur et le numéro de client/d’abonné (si pertinent), ainsi que l’indication de la relation de la personne concernée avec le responsable de traitement visé par la réclamation (par exemple : employé/employeur).

Objet de la réclamation

Le formulaire de réclamation contient des cases à cocher afin de préciser la nature de la violation alléguée et les catégories de données concernées (ces renseignements sont obligatoires).

Une description détaillée et chronologique des faits est requise, un champ obligatoire du formulaire est dédié à cette description. Il est conseillé de n’y mentionner que les éléments d’information nécessaires au traitement de la réclamation et, en particulier, d’éviter d’y inclure, si cela n’est pas indispensable, des données sensibles (au sens de l’article 9 du règlement général sur la protection des données) vous concernant ou concernant une personne tierce (par exemple des données relatives à la santé, aux opinions politiques ou aux convictions religieuses).

Pièces jointes

Le réclamant peut joindre des éléments de preuve, et préciser leur nature dans les champs dédiés du formulaire. Il est conseillé de ne transmettre que les pièces utiles au traitement de la réclamation.

Suivi de la réclamation

Des données supplémentaires peuvent être requises et collectées ultérieurement par la CNPD dans le cadre du traitement de la réclamation (auprès de la personne introduisant la réclamation et/ou auprès du responsable du traitement visé par la réclamation).

3. Catégories de destinataires

Membres et agents de la CNPD.

Les réclamations adressées à la CNPD via le formulaire de réclamation accessible en ligne sont envoyées à l’adresse plaintes@cnpd.lu, gérée par le service en charge des réclamations.

Les réclamations envoyées par courrier sont réceptionnées par le secrétariat de la CNPD et transmise ultérieurement au service en charge des réclamations.

Destinataires potentiels

Les données collectées (pour autant qu’elles constituent des informations utiles) peuvent être transmises à d’autres autorités de contrôle dans le cadre de la coopération et de l’assistance mutuelle avec ces autres autorités (articles 60 et 61 du règlement général sur la protection des données).

4. Durée de conservation

10 ans à compter de la clôture du dossier.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

D. NOTIFICATION DE VIOLATION DE DONNEES A CARACTERE PERSONNEL

1. Finalités et base juridique du traitement

Les violations susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées à l’autorité de contrôle par le responsable du traitement (article 33 du règlement général sur la protection des données).

Pour ce faire, un formulaire de notification de violation est mis à la disposition du responsable du traitement sur le site de la CNPD (cnpd.public.lu).

Le traitement des données relatif à la notification est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

2. Catégories de données traitées

Données d’identification, fonction et coordonnées du déclarant et de la personne de contact auprès du responsable du traitement.

3. Catégories de destinataires

Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.

La notification peut être envoyée à l’adresse databreach@cnpd.lu, gérée par le service de la CNPD en charge de la gestion des notifications de violation.

La clé publique PGP est téléchargeable ici pour sécuriser la transmission des informations en les chiffrant.

4. Durée de conservation

Les données sont conservées pour une durée de dix ans à compter de la clôture du dossier.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

E. CONSULTATIONS PREALABLES ("ANALYSES D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES")

1. Finalités et base juridique du traitement

Le responsable du traitement est tenu de consulter la CNPD lorsqu'il ressort d'une analyse d'impact relative à la protection des données effectuée en application de l’article 35 du règlement général qu’en l'absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre (article 36 et considérant 94 du règlement général sur la protection des données).

Pour faciliter cette consultation, un formulaire de consultation préalable est mis à la disposition du responsable du traitement sur le site de la CNPD (cnpd.public.lu).

Le traitement des données transmises via ce formulaire est nécessaire à l’exécution d’une mission d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

2. Catégories de données traitées

Données d’identification et coordonnées de la personne de contact auprès du responsable du traitement.

Données d’identification, fonction et signature du déclarant.

3. Catégories de destinataires

Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.

Le formulaire de consultation peut être envoyée à l’adresse aipd@cnpd.lu, gérée par le service de la CNPD en charge des consultations préalables. La clé publique PGP est téléchargeable ici pour sécuriser la transmission des informations en les chiffrant.

Le formulaire de consultation peut aussi être envoyé par courrier. Le formulaire de consultation est alors réceptionné par le secrétariat de la CNPD et transmis au service en charge des consultations préalables.

4. Durée de conservation

Les données sont conservées pour une durée de dix ans à compter de la réception du formulaire de consultation.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

F. CONSULTATION PUBLIQUE CONCERNANT LE SCHEMA DE CERTIFICATION « GDPR CARPA »

1. Finalités et base juridique du traitement

La CNPD a lancé une consultation publique concernant le schéma de certification « GDPR CARPA » qui porte, d’une part, sur les critères de la certification (article 42 du règlement général sur la protection des données), et d’autre part, sur les critères d’agrément des organismes de certification (article 43 du règlement général sur la protection des données).

Afin de faciliter la consultation, un formulaire est mis à la disposition des contributeurs sur le site de la CNPD (cnpd.public.lu).

Cette consultation publique vise à permettre à la CNPD de réaliser les missions qui lui sont confiées par l’article 57, paragraphe 1, sous n) et sous p), du règlement général sur la protection des données.

Dans ce contexte, le traitement des données transmises via ce formulaire est nécessaire à l’exécution de missions d’intérêt public dont la CNPD est investie [article 6, paragraphe 1, sous e), du règlement général sur la protection des données].

2. Catégories de données traitées

Données d’identification et coordonnées de la personne de contact.

3. Catégories de destinataires

Membres et agents de la CNPD. Les données ne sont pas transmises à des tiers.

Le formulaire peut être envoyée par e-mail à alain.herrmann@cnpd.lu.

4. Durée de conservation

Les données sont conservées pour une durée d’un an à compter de la clôture de la consultation publique.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du règlement général sur la protection des données, obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

G. GESTION DES SIGNALEMENTS

2. AUTRES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL EFFECTUES PAR LA CNPD

A. DAPRO LAB (CNPD’S OPEN DATA PROTECTION LABORATORY)

1. Finalités et base juridique du traitement

Afin de favoriser la compréhension des risques, des règles, des garanties et droits relatifs aux traitements de données à caractère personnel, la CNPD propose des séances d’échanges de connaissances et d’expériences entre des professionnels de la protection des données. Ces séances sont appelées « DaPro Lab »

Une séance DaPro Lab est accessible aux personnes intéressées qui répondent aux conditions d’accès mentionnées dans la [Charte Le DaPro Lab] et précisées pour chaque séance.

Le traitement de vos données à caractère personnel effectué par la CNPD dans ce contexte est fondé sur votre consentement [article 6, paragraphe 1, sous a), du règlement général sur la protection des données].

Vous avez la possibilité de retirer votre consentement au traitement de vos données à caractère personnel en adressant un courriel à communication@cnpd.lu.

Les données concernant les personnes intéressées à participer sont collectées par la CNPD afin de lui permettre d’organiser le DaPro Lab et d’exercer dans ce cadre les missions de sensibilisation qui lui sont confiées au titre de l’article 57, paragraphe 1, point b), et point d), du règlement général sur la protection des données.

2. Catégories de données traitées

Les données suivantes, se rapportant à chaque personne intéressée à participer sont collectées et consultables par les personnes chargées de l’organisation du DaPro Lab au sein de la CNPD :

Nom et prénom ;
Coordonnées professionnelles ;
Données relatives à l’activité professionnelle (secteur d’activité, employeur, fonctions exercées).

3. Catégories de destinataires des données traitées

Les personnes en charge de l’organisation et de la tenue du DaPro Lab au sein de la CNPD.

4. Durée de conservation

Les données à caractère personnel relatives aux personnes ayant présenté une demande de participation et répondant aux conditions d’accès sont conservées pour une durée de 6 mois à compter de la tenue du DaPro Lab.

Les données à caractère personnel relatives aux personnes ayant présenté une demande de participation mais ne répondant pas aux conditions d’accès ne sont pas conservées.

5. Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du règlement général sur la protection des données), obtenir la rectification de données inexactes ou incomplètes (article 16 du règlement général sur la protection des données), obtenir l’effacement de celles-ci dans les conditions prévues par l’article 17 du règlement général sur la protection des données et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

6. Réclamation

B. TRAITEMENTS LIES A LA GESTION DE LA NEWSLETTER

Finalités du traitement

La CNPD (15, Boulevard du Jazz, L-4370 Belvaux) propose une newsletter afin de permettre au public intéressé d’être contacté et informé de l’organisation d’évènements et de la publication de documents de sensibilisation, de guidances et d’avis juridiques et de toutes autres actualités relatives à l’activité de la CNPD.

La CNPD utilise un service d’envoi d’emails afin de faciliter la diffusion de sa newsletter et de collecter des données relatives à la consultation de celle-ci.

L’abonnement à la newsletter de la CNPD nécessite la collecte d’une adresse email. Afin de prévenir d’éventuels abus, un lien est envoyé à l’adresse email saisie lors de l’inscription. La personne intéressée doit cliquer sur ce lien pour valider son inscription.

Catégories de données traitées

Les données suivantes sont collectées et consultables par les membres du personnel de la CNPD en charge de la gestion/de la maintenance technique de la newsletter:

Adresse email saisie lors de l’inscription ;
Date de l’inscription ;
Statut relatif à l’inscription (« confirmé » ou « non confirmé ») ;
Langue associée (Français par défaut) ;
Source (site internet de la CNPD).

Après chaque envoi, un « rapport de campagne » est établi reprenant les informations suivantes pour chaque abonné :

Nombre d’emails envoyés à l’abonné, reçus, non reçus (avec motif : message non livré ou adresse email inexistante), ouverts (par campagne et total), ouverts « non cliqués », non ouverts, lus dans le navigateur, date et heure du dernier message ouvert, nombre de clics (par campagne et total), nombre de message « non cliqués », date et heure du dernier message cliqué, nombre de clics sur le bouton « transmettre » de la newsletter et nombre de newsletters transmises en utilisant le bouton « transmettre », nombre de messages marqués comme spam par le destinataire, nombre de clics sur le bouton de désabonnement, désabonnement confirmé.
Le rapport contient aussi des statistiques individuelles (exprimées en pourcentages) reprenant les éléments suivants : emails « livrés », « ouverts », « cliqués ».

Base juridique du traitement

Le traitement de données à caractère personnel effectué par la CNPD dans le cadre de la gestion des abonnements à sa newsletter est fondé sur le consentement de la personne concernée [article 6, paragraphe 1, point a), du règlement général sur la protection des données, ci-après RGPD]. Ce consentement peut être retiré à tout moment.

Destinataires des données traitées

Les données traitées sont accessibles aux membres du personnel de la CNPD en charge de la gestion/de la maintenance technique de la newsletter.

Les données sont également accessibles à Flexmail NV, établie 3600 Genk, Jaarbeurslaan 29, boîte 31, immatriculée auprès de la Banque-carrefour des Entreprises sous le numéro BE 0835.786.642, qui fournit le service d’envoi d’emails et agit en tant que sous-traitant.

Désinscription

Les abonnés à la newsletter de la CNPD ont la possibilité de se désinscrire en cliquant sur un lien contenu dans chaque e-mail par lequel est transmis la newsletter ou bien en s’adressant au DPO de la CNPD. En cas de désinscription, l’adresse email saisie lors de l’inscription et les données associées sont supprimées endéans 30 jours.

Droits des personnes concernées

Vous pouvez accéder aux données vous concernant et en obtenir une copie (article 15 du RGPD), obtenir la rectification de données inexactes ou incomplètes (article 16 du RGPD) et la limitation du traitement dans les conditions prévues par l’article 18 de ce même règlement.

Réclamation

Si vous estimez que le traitement de vos données effectué par la CNPD constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNPD.

C. TRAITEMENT DE DONNEES A CARACTERE PERSONNEL EFFECTUE PAR LA CNPD VIA LE SYSTEME IMI (INTERNAL MARKET INFORMATION SYSTEM)

Informations au titre de l’article 13 du RGPD concernant le traitement de données a caractère personnel effectue par la CNPD via le systeme IMI (Internal Market Information System)

D. INFORMATIONS AU TITRE DE L’ARTICLE 13 DU RGPD CONCERNANT LE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL EFFECTUE PAR LA CNPD DANS LE CADRE DE LA GESTION DES CANDIDATURES

1. Responsable du traitement

La Commission nationale pour la protection des données (CNPD) est responsable du traitement des données à caractère personnel qui lui sont communiquées par les candidats à un poste à pourvoir au sein de la CNPD.

Les coordonnées de la CNPD sont les suivantes :

Commission nationale pour la protection des données

15, Boulevard du Jazz

L-4370 Belvaux

Tél. : (+352) 26 10 60 -1

2. Finalités et base juridique du traitement

Conformément à l’article 28 de la loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, « le cadre du personnel de la CNPD comprend des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État. Le cadre du personnel peut être complété, selon les besoins et dans la limite des crédits budgétaires, par des stagiaires, des employés et des salariés de l’État. »

La CNPD traite les données à caractère personnel contenues dans les candidatures qui lui sont adressées afin de lui permettre de procéder à une sélection de candidats à un poste à pourvoir en vue d’un éventuel recrutement.

3. Catégories de données traitées

Outre les données d’identification (nom et prénom) et les coordonnées communiquées par le candidat, les données traitées par la CNPD dans le cadre de la gestion des candidatures sont celles contenues dans les documents qui sont fournis avec la candidature, à savoir :

Lettre de motivation ;
Curriculum vitae ;
Copie du/des diplômes et/ou certificats requis pour la formation demandée ;
En ce qui concerne les fonctionnaires : la lettre de réussite à l’épreuve d’aptitude générale (accompagnée de ses annexes)

4. Catégories de destinataires des données traitées

Les données à caractère personnel contenues dans les candidatures communiquées à l’adresse rh@cnpd.lu sont traitées par l’unité ressources humaines au sein du service « Administration » de la CNPD.

Les candidatures communiquées à la CNPD par voie postale sont réceptionnées, au sein du service « Administration », par le secrétariat de la CNPD et transmises à l’unité ressources humaines.

En ce qui concerne les candidatures à un poste de fonctionnaire à introduire via la plateforme MyGuichet.lu, plateforme dont le CTIE est en charge (et qui agit dans ce contexte en tant que sous-traitant), les données à caractère personnel fournies par le candidat sont communiquées au Centre de gestion du personnel et de l’organisation de l’État (CGPO) et peuvent par ailleurs être accessibles à des personnes désignées par le CTIE dans le cadre d'une demande de support ou d'assistance de la personne concernée.

Les candidatures présentant un intérêt pour le poste à pourvoir sont communiquées aux Commissaires par l’unité ressources humaines de la CNPD.

En fonction du poste à pourvoir, le curriculum vitae et la lettre de motivation des candidats peuvent par ailleurs être communiqués à un chef de service consulté dans le cadre de la procédure de sélection.

5. Durée de conservation

Les dossiers de candidature non retenus sont détruits par la CNPD après chaque processus de recrutement ; les données à caractère personnel qu’ils contiennent sont supprimées lors de cette destruction.

Pour ce qui est des candidatures retenues débouchant sur un recrutement, le dossier personnel de l’agent est constitué conformément à l’article 34 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l'Etat et au Règlement grand-ducal du 13 avril 1984 déterminant les pièces contenues dans le dossier personnel des fonctionnaires de l’Etat.

6. Droits des personnes concernées

Pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au DPO de la CNPD dont les coordonnées sont reprises ci-après (point 7).

7. Coordonnées du délégué à la protection des données

Pour toute question concernant le traitement de vos données à caractère personnel effectué par la CNPD dans le cadre de la gestion de votre candidature, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD par courriel (dpo@cnpd.lu) ou par voie postale :

Commission nationale pour la protection des données

A l’att. du délégué à la protection des données

15, Boulevard du Jazz

L-4370 Belvaux

Tél. : (+352) 26 10 60 -1

8. Réclamation

E. INFORMATIONS AU TITRE DE L’ARTICLE 13 DU RGPD CONCERNANT LE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL EFFECTUE PAR LA CNPD DANS LE CADRE DE L’APPEL A PARTICIPATION A LA PHASE PILOTE DU PROJET ALTO

1. Responsable du traitement

La Commission nationale pour la protection des données (CNPD) est responsable du traitement des données à caractère personnel qui lui sont communiquées par les entités (PME, chambres et associations professionnelles) souhaitant participer à la phase Pilote du projet ALTO.

Les coordonnées de la CNPD sont les suivantes :

Commission nationale pour la protection des données

15, Boulevard du Jazz

L-4370 Belvaux

Tél. : (+352) 26 10 60 -1

2. Finalités et base juridique du traitement

Le projet ALTO contribue à encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du RGPD. La réalisation de ce projet s’inscrit dans le cadre d’une mission d’intérêt public qui incombe à la CNPD sur base de l’article 57, paragraphe 1, sous d) du RGPD.

Les données à caractère personnel collectées auprès des entités participantes sont nécessaires afin de permettre à la CNPD et à son partenaire, le LHC-NC3 (Luxembourg House of Cybersecurity, National Cybersecurity Competence Center), de mener à bien la phase Pilote du projet ALTO. Cette phase requiert des échanges avec ces entités afin de développer un outil d’auto-évaluation et d’aide à la mise en conformité adapté aux besoins des PME.

Le traitement de données à caractère personnel effectué par la CNPD dans ce contexte est basé sur l’article 6, paragraphe 1, sous e), du RGPD (traitement nécessaire à l’exécution d’une mission d’intérêt public dont elle est investie).

3. Catégories de données traitées

Les données à caractère personnel traitées par la CNPD dans le cadre de la phase Pilote du projet ALTO sont les suivantes :

Nom, prénom, fonctions et coordonnées professionnelles des personnes de contact auprès des entités participantes ;
Observations et commentaires communiqués à la CNPD et au LHC-N3 pour le compte de l’entité qu’ils représentent.

4. Catégories de destinataires des données traitées

Les données à caractère personnel traitées dans le cadre de la phase Pilote du projet ALTO sont accessibles :

aux Commissaires et agents de la CNPD.
aux agents désignés au sein du LHC-NC3.

5. Durée de conservation

Les données à caractère personnel sont conservées jusqu’à la clôture de la phase Pilote du projet ALTO, la durée de cette phase étant estimée à un an à compter de son lancement (en mars 2023).

6. Droits des personnes concernées

7. Coordonnées du délégué à la protection des données

Pour toute question concernant le traitement de vos données à caractère personnel effectué par la CNPD dans le cadre de la phase Pilote du Projet ALTO, vous pouvez contacter le délégué à la protection des données (DPO) de la CNPD par courriel (dpo@cnpd.lu) ou par voie postale :

Commission nationale pour la protection des données

A l’att. du délégué à la protection des données

15, Boulevard du Jazz

L-4370 Belvaux

Tél. : (+352) 26 10 60 -1

8. Réclamation

F. TRAITEMENT DE DONNEES A CARACTERE PERSONNEL EFFECTUE PAR LA CNPD DANS LE CADRE DE SES ENQUETES

Notice d’information au titre des articles 13 et 14 du règlement général sur la protection des données (ci-après le « RGPD ») concernant le traitement de données à caractère personnel effectué par la CNPD dans le cadre de ses enquêtes