LegalizeLoi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau;
Notre Conseil d’Etat entendu;
De l’assentiment de la Chambre des Députés;
Vu la décision de la Chambre des Députés du 17 juillet 2002 et celle du Conseil d’Etat du 19 juillet 2002 portant qu’il n’y a pas lieu à second vote;
Avons ordonné et ordonnons:
Chapitre I. Dispositions générales relatives à la protection de la personne à l'égard des traitements des données à caractère personnel
Art. 1er. Objet
La présente loi protège les libertés et les droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel et fait respecter les intérêts légalement protégés des personnes morales.
Art. 2. Définitions
Aux fins de la présente loi, on entend par:
(a) "code de conduite": contributions sectorielles élaborées en vue de la bonne application de la présente loi. Les codes de conduite sont élaborés à l’échelon national ou communautaire par les associations professionnelles et les autres organisations représentatives des responsables du traitement et sont facultativement soumis pour approbation à la Commission nationale ou au groupe de protection des personnes à l'égard du traitement des données à caractère personnel tel qu'institué par l'article 29 de la Directive 95/46/CE;
(b) "Commission nationale": la Commission nationale pour la protection des données;
(c) "consentement de la personne concernée": toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que les données à caractère personnel fassent l'objet d’un traitement;
(d) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre de l'exécution d'une mission légale d'enquête ou de contrôle ne sont pas considérées comme des destinataires;
(e) "donnée à caractère personnel" (ci-après dénommée "donnée"): toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne identifiée ou identifiable ("personne concernée"); une personne physique ou morale est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique;
(f) "donnée relative à la santé": toute information concernant l'état physique et mental d'une personne concernée, y compris les données génétiques;
(g) "donnée génétique": toute donnée concernant les caractères héréditaires d'un individu ou d'un groupe d'individus apparentés;
(h) "fichier de données à caractère personnel" (ci-après dénommé "fichier"): tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
(i) "instance médicale": tout praticien de la santé et toute personne soumise à la même obligation de secret professionnel, ainsi que tout établissement hospitalier visé par la loi du 28 août 1998 sur les établissements hospitaliers, effectuant un traitement de données nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé;
(j) "interconnexion": toute forme de traitement qui consiste en la corrélation de données traitées pour une finalité avec des données traitées pour des finalités identiques ou liées par un ou d'autres responsables du traitement;
(k) "ministre": le ministre ayant dans ses attributions la protection des données;
(l) "organisme de sécurité sociale": tout organisme de droit public ou privé qui assure des prestations, obligatoires ou facultatives, relatives à la maladie, la maternité, la vieillesse, les accidents corporels, l’invalidité, la dépendance, le décès, le chômage, ainsi que des prestations familiales ou d’aides sociales;
(m) "pays tiers": Etat non membre de l’Union européenne;
(n) "personne concernée": toute personne physique ou morale, publique ou privée ou groupement de fait, qui fait l'objet d’un traitement de données à caractère personnel;
(o) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu des dispositions légales, le responsable du traitement est déterminé par ou en vertu des critères spécifiques conformément aux dispositions légales;
(p) "sous-traitant": la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données pour le compte du responsable du traitement;
(q) "surveillance": toute activité faisant appel à des moyens techniques en vue de détecter, d’observer, de copier ou d’enregistrer les mouvements, images, paroles, écrits, ou l'état d'un objet ou d'une personne fixe ou mobile;
(r) "tiers": la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilités à traiter les données. Dans le secteur public, on entend par tiers un ministère, une administration, un établissement public, une commune ou un service public autre que le responsable du traitement ou son sous-traitant;
(s) "traitement de données à caractère personnel" (ci-après dénommé "traitement") : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des données, telles que la collecte, l'enregistrement, l'organisation, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
Art. 3.- Champ d'application
(1)
La présente loi s'applique au traitement automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données contenues ou appelées à figurer dans un fichier.
(2)
Sont soumis à la présente loi:
le traitement mis en œuvre par un responsable du traitement soumis au droit luxembourgeois;
le traitement mis en œuvre par un responsable du traitement qui, sans être établi sur le territoire luxembourgeois ou sur celui d'un autre Etat membre de l'Union européenne, recourt à des moyens de traitement situés sur le territoire luxembourgeois, à l'exclusion des moyens qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de l'Union européenne.Pour le traitement mentionné à l'article 3, paragraphe (2) lettre (b), le responsable du traitement désigne par une déclaration écrite à la Commission nationale un représentant établi sur le territoire luxembourgeois qui se substitue au responsable du traitement dans l'accomplissement de ses obligations prévues par la présente loi sans que ce dernier ne soit dégagé de sa propre responsabilité.
(3)
La présente loi s'applique au traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d'infractions pénales ou la sûreté de l'Etat, même liées à un intérêt économique ou financier important de l'Etat, sans préjudice des dispositions spécifiques de droit national ou international régissant ces domaines.
(4)
La présente loi s'applique à toute forme de captage, de traitement et de diffusion de sons et images qui permettent d'identifier des personnes physiques ou morales.
(5)
La présente loi ne s'applique pas:
- au traitement mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques,
- au traitement de données concernant une personne morale et dont la publication est prescrite par une loi ou un règlement.
Chapitre II. Conditions de licéité du traitement
Art. 4. Qualité des données
(1)
Le responsable du traitement doit s'assurer que les données qu’il traite le sont loyalement et licitement, et notamment que ces données sont:
collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités;
adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;
exactes et, si nécessaire, mises à jour; toute mesure raisonnable doit être prise pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées sans préjudice du paragraphe (2) ci-après.
(2)
Les données traitées à des finalités déterminées peuvent être traitées ultérieurement à des fins historiques, statistiques ou scientifiques et sont soumises aux conditions prévues par le régime d’autorisation préalable de la Commission nationale tel que prévu à l’article 14.
(3)
Quiconque effectue un traitement en violation des dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction.
Art. 5. Légitimité du traitement
(1)
Le traitement de données ne peut être effectué que si:
le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ou si
le traitement est nécessaire à l'exécution d’une mission d’intérêt public ou relevant de l'exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées, ou si
le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou si
le traitement est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er, ou si
le traitement est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou si
la personne concernée a donné son consentement.
(2)
Quiconque effectue un traitement en violation des dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction.
Art. 6. Traitement de catégories particulières de données
(1)
Les traitements qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les traitements de données relatives à la santé et à la vie sexuelle, y compris le traitement des données génétiques sont interdits.
(2)
Le paragraphe (1) ne s’applique pas lorsque:
la personne concernée a donné son consentement à un tel traitement, sauf indisponibilité du corps humain et sauf le cas interdit par la loi, ou lorsque
le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement notamment en matière de droit du travail dans la mesure où il est autorisé par la loi, ou lorsque
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, ou lorsque
le traitement est mis en œuvre, avec le consentement de la personne concernée par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, dans le cadre de leurs activités légitimes, à condition que le traitement se rapporte aux données nécessaires des seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées, ou lorsque
le traitement porte sur des données manifestement rendues publiques par la personne concernée, ou lorsque
le traitement mis en œuvre conformément aux règles de procédures judiciaires applicables en matière civile est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice s’il est mis en œuvre à cette fin exclusive, ou lorsque
le traitement s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques sans préjudice de l'application de l'article 7 ci-après et que ce traitement est mis en œuvre conformément au régime d’autorisation préalable de la Commission nationale tel que prévu à l’article 14, ou lorsque
le traitement est mis en œuvre par voie de règlement grand-ducal tel que prévu à l’article 17.
(3)
L’article 6 paragraphe (1) ne s’applique pas lors d’une procédure judiciaire ou d’une enquête pénale. Toutefois les données génétiques ne peuvent être traitées que pour vérifier l’existence d’un lien génétique dans le cadre de l’administration de la preuve en justice, pour l'identification d'une personne, la prévention ou la répression d’une infraction pénale déterminée.
(4)
Par dérogation à l'article 6, paragraphe (1), les données génétiques ne peuvent faire l'objet d'un traitement que:
dans les cas visés par les articles 6, paragraphe (2) lettres (c), (f), (g), (h), 6 paragraphe (3) et 7 de la présente loi, ou lorsque
la personne concernée a donné son consentement et si le traitement est effectué dans les seuls domaines de la santé ou de la recherche scientifique sauf indisponibilité du corps humain et dans le cas où la loi prévoit que l’interdiction visée au paragraphe (1) ne peut être levée par le consentement de la personne concernée.
(5)
Quiconque effectue un traitement ou opère une communication à un tiers en violation des dispositions du paragraphe (1) qui précède est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement ou de la communication contraires aux dispositions du paragraphe (1) du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction.
Art. 7. Traitement de catégories particulières de données par les services de la santé
(1)
Lorsque le traitement de données tel que défini à l’article 6 paragraphe (1) de la présente loi est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé, de la recherche scientifique dans le domaine de la biologie et de la médecine, le traitement de ces données peut être mis en œuvre par des instances médicales, ainsi que lorsque le responsable du traitement est soumis au secret professionnel, par les organismes de sécurité sociale et les administrations qui gèrent ces données en exécution de leurs missions légales et réglementaires, par les entreprises d'assurance, les sociétés gérant les fonds de pension, la Caisse médico-chirurgicale mutualiste et par celles des personnes physiques ou morales bénéficiant d'un agrément dans le domaine médico-social ou thérapeutique en vertu de la loi du 8 septembre 1998 réglant les relations entre l'Etat et les organismes œuvrant dans les domaines social, familial et thérapeutique, désignées par règlement grand-ducal. Le recours à un sous-traitant est possible dans les conditions prévues à l’article 21.
(2)
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.