Statut
La CNPD est un organe collégial composé de quatre membres, dont un président. Les membres sont appelés Commissaires à la protection des données.
Sont également nommés quatre membres suppléants. Les membres suppléants sont appelés à suppléer à l’absence ou à l’empêchement de siéger des membres du collège.
La CNPD fonctionne sous forme d'un établissement public sous tutelle du Ministre ayant dans ses attributions la protection des données (actuellement Madame Elisabeth Margue, Ministre déléguée auprès du Premier ministre, chargée des Médias et de la Connectivité). Toutefois elle est indépendante dans l'exercice de ses fonctions.
Délibérations
Le collège se réunit régulièrement en délibération. Il ne peut valablement siéger ni délibérer qu’à condition de réunir trois membres du collège au moins. Les délibérations sont prises à la majorité des voix. En cas d’égalité des voix, la voix du président est prépondérante. Les abstentions ne sont pas recevables.
Les membres du collège et membres suppléants ne peuvent siéger, délibérer ou décider dans une affaire dans laquelle ils ont un intérêt direct ou indirect.
Règlement et procédures
Règlement d'ordre intérieur
Le règlement d’ordre intérieur de la CNPD a été adopté le 23 février 2024 en application des articles 32, paragraphe (1er) et 33 de la loi du 1er août 2018 et définit les conditions de fonctionnement, l'organisation des services et les règles de procédure applicable devant la CNPD.
Le chapitre 1er décrit les conditions de fonctionnement de la CNPD et notamment la composition, les affaires courantes, la représentation vers l'extérieur, la gestion financière et le déroulement des séances de délibération du collège.
L'organisation des services et la structure générale de la Commission nationale sont présentées dans le chapitre 2. Il s’agit plus particulièrement des services « Sensibilisation », « Guidance », « Conformité », « Réclamations », « Enquêtes » et « Administration ». Par ailleurs ont été définies les fonctions suivantes directement attachées à la Commission nationale : le(s) secrétaire(s) du collège, le chargé aux relations européennes et internationales et le délégué à la protection des données.
Le chapitre 3 définit les procédures applicables devant la CNPD dans les cas suivants:
- Notification d'une violation de données à caractère personnel;
- Consultation préalable;
- Notification de la désignation du déléguée la protection des données;
- Approbation des codes de conduites;
- Agrément des organismes de suivi des codes de conduite;
- Approbation de critères de certification;
- Agrément des organismes de certification;
- Autorisations des clauses contractuelles et des arrangements administratifs;
- Approbation des règles d'entreprise contraignantes;
- Introduction d'une réclamation;
- Demandes d'avis préalable dans le cadre de l'article L. 261-1 du Code de travail;
- Enquêtes et
- Voies de recours.
Le règlement d’ordre intérieur a été publié au Journal officiel du Grand-Duché de Luxembourg le 6 mars 2024.
Règlement relatif à la procédure d'enquête
Le règlement relatif à la procédure d'enquête a été adopté en application de l'article 40 de la loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données. II détermine la procédure d'enquête devant la CNPD.
La Commission nationale dispose d'un pouvoir d'enquête pour l'accomplissement des missions qui lui sont assignées par la législation européenne et nationale en matière de protection des données, à savoir par le règlement général sur la protection des données, par la loi du 1er août 2018 relative au régime général sur la protection des données, par la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu'en matière de sécurité nationale et par la loi modifiée du 30 mai 2005 relative à la protection des données dans le secteur des communication électroniques.
Le règlement définit notamment
- l’ouverture d'une enquête;
- les acteurs qui interviennent lors de l'enquête (chef d'enquête, les agents habilités, les experts externes);
- l'exécution de l'enquête (ordre de mission et déroulement) et
- la transmission du dossier d'enquête à la formation restreinte.
Procédure relative aux réclamations devant la CNPD
Au cours de la procédure de réclamation, la CNPD examine en premier lieu si une réclamation est justifiée, c’est-à-dire qu’elle vérifie si les faits allégués par le réclamant relatifs à un traitement de données à caractère personnel sont susceptibles de constituer ou non une violation de la législation applicable en matière de protection des données. Lorsque la CNPD estime que le traitement de données litigieux serait effectivement contraire à la législation, elle s’efforcera de remédier à la situation sans avoir à recourir à des mesures contraignantes dont elle dispose dans le cadre de ses pouvoirs lui conférés par la loi.