FAQs

Qui est soumis à la loi sur la protection des données (loi modifiée du 2 août 2002)?

Sont soumis à la loi modifiée du 2 août 2002:

  • le traitement mis en oeuvre par un responsable du traitement soumis au droit luxembourgeois;

  • le traitement mis en oeuvre par un responsable du traitement qui, sans être établi sur le territoire luxembourgeois ou sur celui d'un autre Etat membre de l'Union européenne, recourt à des moyens de traitement situés sur le territoire luxembourgeois, à l'exclusion des moyens qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de l'Union européenne.

Dans ce dernier cas de figure, le responsable du traitement désigne par une déclaration écrite à la Commission nationale un représentant établi sur le territoire luxembourgeois qui se substitue au responsable du traitement dans l'accomplissement de ses obligations prévues par la loi modifiée du 2 août 2002, sans que ce dernier ne soit dégagé de sa propre responsabilité.

Quels traitements sont soumis à la loi modifiée du 2 août 2002?

La loi modifiée du 2 août 2002 s'applique

  • au traitement automatisé en tout ou en partie et
  • au traitement non automatisé de données figurant dans un fichier ou appelées à figurer dans un fichier.

La loi s'applique au traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d'infractions pénales ou la sûreté de l'Etat, même liées à un intérêt économique ou financier important de l'Etat, sans préjudice des dispositions spécifiques de droit national ou international régissant ces domaines.

La loi s'applique à toute forme de captage, de traitement et de diffusion de sons et images qui permettent d'identifier des personnes physiques ou morales.

Par contre, la loi ne s'applique pas au traitement mis en oeuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques.

Quelles sont les personnes habilitées à faire une notification ou une demande d'autorisation?

Compétence du responsable du traitement, ou le cas échéant de son représentant

Seul le responsable du traitement, ou le cas échéant son représentant au Grand-Duché de Luxembourg, est compétent pour faire une notification ou une demande d’autorisation préalables.

Lorsque le responsable du traitement n'a pas d'établissement stable sur le territoire de l'Union européenne, mais recourt à des moyens de traitements automatisés ou non, situés sur le territoire luxembourgeois, autres que ceux utilisés exclusivement à des fins de transit, il doit désigner un représentant établi sur le territoire luxembourgeois (article 3 paragraphe (2) lettre (b) de la loi modifiée du 2 août 2002).

Cas particulier : Association de fait

Une association de fait est une association sans personnalité juridique (association de tous les membres).

Un membre peut être désigné pour agir en le nom de l'association de fait ou pour compte de celle-ci. Il peut dès lors être considéré comme le responsable du traitement.

Dans le cas où l’association ne désigne pas un responsable pour agir en son nom, la Commission nationale peut accepter que certain(s) membre(s) particulier(s) effectue(nt) la notification ou la demande d’autorisation de traitements préalables.

Quel est le rôle de la Commission nationale dans le cadre d'une notification préalable ou d'une demande d'autorisation préalable?

La Commission nationale examine la régularité des dossiers.

Tout dossier

  • incomplet,
  • non conforme au schéma de notification prévu aux articles 12 paragraphe (1) et 13 paragraphe (3) de la loi modifiée du 2 août 2002 (notification) ou
  • non conforme aux exigences des articles 14 paragraphe (2) respectivement 19 paragraphe (3) de la loi modifiée du 2 août 2002 (demande d'autorisation)

fait l'objet d'une lettre adressée au déclarant indiquant les documents ou les renseignements restant à fournir pour la validation du dossier et précisant que l’accusé de réception lui sera délivré dès réception des documents ou renseignements demandés.

L’accusé de réception est délivré à l'issue de la procédure de validation du dossier.

A quoi servent les informations fournies à la Commission nationale?

Un double contrôle de la conformité d'un traitement aux dispositions de la loi et de ses règlements d’exécution

  • Contrôle a priori, donc préalablement à la mise en oeuvre du traitement.
    La Commission nationale contrôle les déclarations (notifications ou demandes d'autorisation) reçues. Elle contrôle d'abord la forme (les informations fournies sont-elles complètes?) afin de pouvoir fonder son contrôle sur une base adéquate. Puis, elle contrôle le contenu pour vérifier si le traitement tel que décrit dans la déclaration est conforme aux dispositions légales. Si tel est le cas, elle délivre un accusé de réception (notifications) respectivement une autorisation pour le traitement concerné.
  • Contrôle a posteriori, donc après que le traitement ait été mis en oeuvre.
    La Commission peut vérifier sur place si le traitement est régulaire et s'il correspond aux dispositions légales en vigueur et aux informations fournies dans la déclaration (notification/demande d'autorisation).

Tenue d'un registre public des traitements

Afin d’assurer la publicité des traitements déclarés et de compléter ainsi le droit à l’information dont bénéficie la personne concernée, l'article 15 de la loi modifiée du 2 août 2002 prescrit, dans un souci de transparence, de tenir un registre public des traitements qui comprend:

  • les traitements notifiés à la Commission nationale en vertu de l'article 12 paragraphe (1) de la loi modifiée du 2 août 2002 (informations requises par l'article 13 de la loi),
  • les traitements autorisés par la Commission nationale en vertu de l'article 14 paragraphe (1) de la loi modifiée du 2 août 2002 (informations requises par l'article 14 de la loi et renseignement sur l'autorisation émise par la Commission nationale),
  • les traitements surveillés par le chargé de la protection des données et continués à la Commission nationale en vertu de l'article 12 paragraphe (2) lettre (a) de la loi modifiée du 2 août 2002.

Toute personne peut prendre connaissance gratuitement des informations contenues dans le registre public. Ne sont pas rendues publiques les informations prévues respectivement à l'article 13 paragraphe (1) lettre (g) et à l'article 14, paragraphe (2) lettre (i) de la loi modifiée du 2 août 2002 (à savoir les mesures de sécurité mises en oeuvre).

Qu'entend la loi par "modification d'un traitement"?

La loi entend par "modification d'un traitement" tout changement des données ci-après faisant l'objet d'un traitement et notifiées à la Commission nationale conformément à l’article 13(1) de la loi modifiée du 2 août 2002.

Toute modification doit être notifiée à la Commission nationale préalablement à la mise en œuvre du traitement (article 13 paragraphe (2) de la loi modifiée du 2 août 2002). A ces fins, un formulaire est mis à votre disposition.

Quelles formalités doivent être effectuées en cas de reprise de fichier(s) par un autre responsable de traitement?

Exemple: Si un responsable de traitement (A) ayant fait une notification ou une demande d’autorisation préalables à la Commission nationale reprend entièrement d’un autre responsable de traitement (B) un fichier existant ayant les mêmes finalités et traitant les mêmes données que celles qu’il avait lui-même déclarées (jonction des deux fichiers), il doit éventuellement signaler à la Commission nationale une modification dans la rubrique 11 de la notification. Le responsable (B) doit, quant à lui, signaler la fin de son traitement suivant la procédure prévue à cet effet.

Si un fichier est repris par un responsable de traitement (A) ayant déjà fait une notification ou d’une demande d’autorisation préalables auprès de la Commission nationale et si la finalité des deux traitements est identique (mais non le contenu des données), le responsable (A) doit au moins introduire un avis de modification de sa notification ou d’une demande d’autorisation préalables à la Commission nationale.

Ces dispositions ne s'appliquent évidemment que si aucune autre modification n’est apportée au contenu de la notification ou d’une demande d’autorisation préalables initiale (dénomination du fichier, nouvelle finalité,…)

Quelles sont les caractéristiques du consentement de la personne concernée ?

Il s’agit d’une notion essentielle de la loi. Le terme de "consentement de la personne concernée" est défini par l’article 2 lettre (c) (Insérer lien) de la loi modifiée du 2 août 2002.

Le consentement doit être libre. La liberté du consentement doit s’apprécier au cas par cas au regard des circonstances de l’espèce. Pour ce faire, les articles 1112 et suivants du Code civil tels qu’appliqués par la jurisprudence serviront de lignes directrices en la matière. Il est de doctrine généralement établie qu’un consentement qui est donné librement peut à tout moment être retiré par la personne concernée. Toutefois le retrait du consentement ne pourra pas avoir d’effet rétroactif sur le traitement des données à caractère personnel effectué licitement au cours de la période précédant le retrait du consentement.

Le consentement doit être spécifique. Il ne peut avoir un objet général, mais doit porter sur des traitements précisément définis notamment quant aux finalités poursuivies par des responsables déterminés. Le consentement doit être spécifique en ce qu’il ne peut porter que sur des traitements déterminés. C’est dans cette optique que le responsable du traitement doit informer la personne concernée sur la ou les finalités déterminées du traitement auquel les données sont destinées. Si plusieurs finalités sont poursuivies par un même traitement, le responsable du traitement doit en informer la personne concernée.

Le consentement doit être informé. La personne concernée doit donner son consentement en connaissance de cause, ce qui explique une nouvelle fois le lien entre le consentement de la personne concernée avec, d'un côté, le principe de la qualité des données (article 4 paragraphe (1) lettre (a) de la loi modifiée du 2 août 2002) et avec, d'autre côté, le droit à l’information (article 26 de la loi modifiée du 2 août 2002).

Ce droit à l’information doit s’exercer

  • soit lors de la collecte des données auprès de la personne concernée,
  • soit, si les données n'ont pas été collectées auprès de la personne concernée, lors de l’enregistrement ou la première communication à un tiers.

Le responsable du traitement doit donc transmettre à la personne concernée toute information nécessaire à l'analyse du risque particulier que représente le traitement envisagé pour ses droits et libertés.

Où et chez qui la personne concernée peut-elle exercer ses droits?

La personne concernée peut exercer ses droits

  • auprès du responsable du traitement ou
  • auprès du représentant au Grand-Duché de Luxembourg du responsable.
Quelles sont les dispositions pénales applicables en cas d'omission de procéder à l'obligation de notification ou de fourniture d'informations incomplètes ou inexactes?

Conformément à l'article 12 paragraphe (4)  (Lien à insérer) de la loi modifiée du 2 août 2002, est puni d’une amende de 251 à 125.000 euros, celui qui ne se soumet pas à l’obligation de notification ou fournit des informations incomplètes ou inexactes.

La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions de l'article 12 de la loi modifiée du 2 août 2002 sous peine d'astreinte dont le maximum est fixé par ladite juridiction.

Quelles sont les dispositions pénales applicables à celui qui effectue un traitement sans disposer d'une autorisation préalable de la Commission nationale dans les cas visés à l'article 14 de la loi modifiée du 2 août 2002?

Conformément à l'article 14 paragraphe (6) (Lien à insérer) de la loi modifiée du 2 août 2002, est puni d'un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement, celui qui effectue un traitement en violation des dispositions de l'article 14 de la loi modifiée du 2 août 2002.

La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction.

Quel régime législatif est applicable si un responsable dispose de plusieurs établissements stables situés sur le territoire de l'Union européenne?

Un établissement stable suppose l'exercice effectif et réel d'activités et ce indépendamment du statut juridique de cet établissement (considérant 19 de la directive 95/46/CE du 24 octobre 1995).

Si le responsable exerce des activités sur le territoire de plusieurs Etats membres de l’Union européenne, il doit s'assurer que chacun des établissements dont il est responsable remplit les obligations prévues par le droit national du pays dans lequel les activités s’effectuent.

Par exemple, lorsqu'une entreprise possède au sein de l'Union européenne des établissements fixes dans cinq Etats différents où une activité s’exerce, le responsable doit faire une notification ou une demande d’autorisation de traitement auprès de l'autorité de contrôle de chacun des Etats en fonction du traitement qui y est effectué, sauf si une exemption est accordée dans le droit national de l’Etat concerné.

Qu'advient-il des banques de données autorisées sous l'empire de la loi du 31 mars 1979, respectivement de celles n'ayant pas été autorisées sous l'empire de la loi du 31 mars 1979?
  • Les traitements existant dans des fichiers non automatisés ou automatisés et ayant été autorisés avant l’entrée en vigueur de la loi modifiée du 2 août 2002 ont dû être rendus conformes aux dispositions du chapitre II (conditions de licéité du traitement, articles 4-11) et du chapitre VI (droits des personnes concernées, articles 26-31) de la loi modifiée du 2 août 2002 dans un délai de deux ans à partir de l'entrée en vigueur de la loi, c'est-à-dire jusqu'au 1er décembre 2004. (article 42 paragraphe (1)de la loi modifiée du 2 août 2002)
  • Dès l'expiration de la date de validité de l'autorisation octroyée, les responsables du traitement doivent remplir les formalités prescrites en matière de déclaration des traitements, c'est-à-dire introduire une notification préalable respectivement une demande d'autorisation préalable. (article 43 paragraphe (3) de la loi modifiée du 2 août 2002)
Est-ce que le chargé de la protection des données peut être salarié du responsable du traitement ?

Le chargé de la protection des données peut être salarié du responsable ou une personne physique ou morale tierce, sous condition d'avoir été agréé par la Commission nationale.

Le chargé de la protection des données doit, à l'instar de la Commission nationale, assurer de manière indépendante l'application interne des dispositions légales et tenir un registre des traitements effectués par le responsable du traitement.

Peuvent être désignés à la fonction de chargé de la protection des données les personnes physiques et morales qui sont agréées par la Commission nationale. La Commission nationale vérifie les qualités de tout chargé de la protection des données et elle peut s'opposer à tout moment à la désignation ou au maintien du chargé de la protection des données lorsqu’il est d'ores et déjà en relation avec le responsable du traitement dans le cadre d'autres activités que cette relation fait naître un conflit d’intérêts limitant son indépendance.

Quelles sont les conditions de légitimité qui doivent être remplies pour pouvoir effectuer un traitement de données à caractère personnel?

D'après l'article 5 de la loi modifiée du 2 août 2002, le traitement de données ne peut être effectué que s'il remplit une ou plusieurs des conditions générales y énumérées.

Toutefois, la loi déroge de ces conditions générales en ce qui concerne certains traitements spécifiques (catégories particulières de donnéessurveillance,...).

Quelle est l'étendue du cas d'exemption de notification "gestion des candidatures et administration du personnel" (article 12 (3) (b) de la loi modifiée du 2 août 2002) ?

Les finalités visées par cette disposition consistent d’une part en la recherche de personnes susceptibles de répondre au profil déterminé pour un poste à pourvoir, la prise de contact et en l’évaluation des compétences et de l’adéquation. Les données collectées et traitées ne peuvent alors se rapporter qu’aux informations nécessaires et essentielles en vue de la préparation des entrevues et du choix à opérer parmi les candidats. Une communication de ces données à des tiers intervenant dans la procédure de recrutement (p.ex. un intermédiaire de recrutement (« assessment center ») chargé d’effectuer une sélection préalable des candidats les mieux adaptés à la fonction) est permise.

Est visée d’autre part l’administration des ressources humaines qui comprend la gestion des effectifs et planification budgétaire, les affectations et l’organisation des services et fonctions, la sécurité et santé au travail, le développement et le suivi des compétences, la gestion relationelle des conflits, le dialogue social et les affaires de droit du travail etc.

Que faut-il entendre par la notion "gestion normale d'entreprise", prévue dans le cas d'exemption de notification "gestion de la clientèle ou des fournisseurs" (article 12 (3) (e) de la loi modifiée du 2 août 2002) ?

La notion de « gestion normale d’entreprise » englobe toutes les activités correspondant à une fonction générale qui doit être assurée par toute entreprise, p.ex. la gestion administrative du personnel, la comptabilité. Souvent, ces traitements sont confiés à un sous-traitant (p.ex. transmission de pièces comptables à une fiduciaire, impression d’adresses, d’enveloppes ou d’invitations par un imprimeur). Dans ce cas, les dispositions spécifiques prévues aux articles 21, 22 et 23 de la loi doivent être observés, à savoir l’obligation de conclure un contrat ou acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement (respect des finalités) et que le sous-traitant respecte des mesures de sécurité techniques et organisationelles afin d’assurer la protection des données contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorités.

Toute activité spécifique qui dépasse le cadre des fonctions de base nécessairement assurées par toute entreprise (p.ex. le marketing) dépasse le « cadre » fixé par cette exemption et le traitement de données en question doit faire l’objet d’une notification auprès de la Commission nationale.

Dernière mise à jour