Déclarer

Régime ordinaire: la notification préalable

De manière générale, avant qu'un traitement de données puisse être mis en oeuvre, il doit être notifié à la Commission nationale (voir rubrique "Notification préalable"). Ceci sert d'une part à assurer à la Commission une vision des réalités sur le terrain, d'autre part à permettre au public de consulter la liste des traitements déclarés, dans un but de transparance (dans ce contexte voir aussi "Etre informé"). La Commission nationale reçoit la notification et en publie le contenu dans son registre public.

Il y a toutefois deux cas d'exception où le principe de la notification préalable ne s'applique pas:

  • soit que le traitement est particulièrement sensible et nécessite des garanties supplémentaires (définies par la loi même: autorisation préalable par la Commission nationale ou par règlement grand-ducal),
  • soit que le traitement ne doit pas être notifié (du fait que le traitement est "anodin" ou qu'il est couvert par d'autres garanties).

Dans les deux cas, les traitements en question sont expressément et limitativement énumérés par la loi modifiée du 2 août 2002 sur la protection des données.

Régime de l'autorisation préalable

Une exception au principe de notification préalable constitue la procédure d'autorisation.

Ainsi, le législateur a considéré que le degré plus "sensible" de certains traitements de données présente un risque accru pour la vie privée des personnes, et que ces traitements ne peuvent par conséquent pas être mis en oeuvre sans la garantie supplémentaire de l'autorisation expresse de la Commission nationale.

Ici, le rôle de la Commission nationale ne se limite donc pas à la seule réception de la déclaration, mais consiste dans un examen préalable et une prise de décision avant la mise en oeuvre du traitement (voir rubrique "Autorisation préalable").

Exemptions du devoir de déclaration

  • Certains traitements plus "anodins", et généralement mis en oeuvre dans le cadre des affaires courantes d'une société ou d'une autre entité (tels que p.ex. la comptabilité ou la gestion du personnel), sont exemptés de déclaration, sous conditions toutefois de remplir les conditions posées par la loi. Si ces conditions ne sont pas remplies, le traitement en question doit être notifié (voir rubrique "Les exemptions du devoir de déclaration").
  • Ceux qui désignent un chargé de la protection ne doivent pas non plus notifier leurs traitements (à l'exception toutefois des traitements à de fins de surveillance, qui sont toujours soumis à déclaration préalable). Le chargé doit toutefois régulièrement tenir au courant la Commission nationale quant aux traitements mis en oeuvre.
  • Plus généralement, les traitements de données prévues aux articles 8 (données judiciaires) et 17 (Police, Douanes, service de renseignement de l'Etat, Armée) de la loi modifiée du 2 août 2002 ne sont pas soumis au régime de déclaration préalable, mais doivent suivre d'autres conditions spécifiques, énumérées par les articles en question ou par d'autres textes légaux.
Dernière mise à jour