LegalizeLoi du 30 mai 2005 - relative aux dispositions spécifiques de protection de la personne à l'égard du traitement des données à caractère personnel dans le secteur des communications électroniques et - portant modification des articles 88-2 et 88-4 du Code d'instruction criminelle
(Mém. A - 73 du 7 juin 2005, p. 1168, doc. parl. 5181; Dir. 2002/58/CE)
modifiée par
(Mém. A - 91 du 13 août 2002, p. 1836; doc. parl. 4735; Dir. 1995/46/CE;
(Texte coordonné du 8 août 2007: Mem. A - 131 du 8 août 2007, p. 2339)
telle que modifiée par la loi du 27 juillet 2007
(Mém. A - 131 du 8 août 2007, p. 2330; doc. parl. 5554; Dir. 1995/46/CE)
(Mém. A - 122 du 29 juillet 2010, p. 2060; doc. parl. 6113; Dir. 2006/24/CE)
(Mém. A - 172 du 10 août 2011, p. 2938; doc. parl. 6243; Dir. 2009/136/CE)
Texte coordonné au 10 août 2011
Version applicable à partir du 1er septembre 2011
Art. 1er. Champ d’application
Sous réserve des dispositions générales concernant la protection des personnes à l’égard du traitement des données à caractère personnel ou régissant les réseaux et services de communications électroniques, les dispositions suivantes s’appliquent spécifiquement au traitement de ces données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics, (Loi du 28 juillet 2011) «y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d’identification.»
Art. 2. Définitions
Aux fins de la présente loi on entend par:
«abonné»: une personne physique ou morale partie à un contrat avec une entreprise offrant des services de communications électroniques accessibles au public, pour la fourniture de tels services;
(…);
(b)
«consentement»: toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement;
(c)
«communication»: toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public à l’exception des informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques sauf si et dans la mesure où un lien peut être établi entre l’information et l’abonné ou l’utilisateur identifiable qui la reçoit;
(d)
«courrier électronique»: tout message sous forme de texte, de voix, de son ou d’image envoyé par un réseau de communications public qui peut être stocké dans le réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère;
(e)
«données relatives au trafic»: toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation;
(f)
«données de localisation»: toutes les données traitées dans un réseau de communications électroniques «ou par un service de communications électroniques» indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public;
(g)
«Institut»: l’Institut Luxembourgeois de Régulation;
(h)
«réseau de communications électroniques»: les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage et les autres ressources qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuits ou de paquets, y compris l’Internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise;
(i)
«réseau de communications public»: un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public. Le fournisseur du réseau de communications public est dénommé ci-après «opérateur»;
(j)
«service de communications électroniques»: un service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur les réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur des réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus; il ne comprend pas les services de la société de l’information qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques. Le fournisseur de services de communications électroniques est dénommé ci-après «fournisseur de services»;
(k)
«service à valeur ajoutée»: tout service qui exige le traitement de données relatives au trafic ou à la localisation, à l’exclusion des données qui ne sont pas indispensables pour la transmission d’une communication ou sa facturation;
(l)
«utilisateur»: une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service;
«violation de données à caractère personnel»: une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public».
Art. 3. Sécurité «du traitement»
(1)
Le fournisseur de services prend les mesures techniques et d’organisation appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec l’opérateur en ce qui concerne la sécurité du réseau. En cas d’atteinte ou de risque d’atteinte grave à la sécurité du réseau ou des services, le fournisseur de services et le cas échéant l’opérateur prend les mesures appropriées pour y remédier, les frais étant à sa seule charge.
«Sous réserve des dispositions générales de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, les mesures visées ci-dessus, pour le moins:
- garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,
- protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et
- assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.
La Commission nationale pour la protection des données est habilitée à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.»
(2)
Sans préjudice de ce qui précède, le fournisseur de services et le cas échéant l’opérateur informe ses abonnés de tout risque imminent d’atteinte à la sécurité du réseau ou des services mettant en cause la confidentialité des communications ainsi que du moyen éventuel pour y remédier, y compris en en indiquant le coût probable.
«(3)
En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.
Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.
La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.
La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.
La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission.
Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros.
Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.
(4)
Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre à la Commission nationale pour la protection des données de vérifier le respect des dispositions du paragraphe (3). Cet inventaire comporte uniquement les informations nécessaires à cette fin.
(5)
Quiconque contrevient aux dispositions des paragraphes (1), (2) et (4) est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.»
Art. 4. Confidentialité des communications
(1)
Tout fournisseur de services ou opérateur garantit la confidentialité des communications effectuées au moyen d’un réseau de communications public et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes.
(2)
Il est interdit à toute autre personne que l’utilisateur concerné d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance sans le consentement de l’utilisateur concerné.
(3)
Le paragraphe (2):
n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité;
ne s’applique pas aux autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales;»
ne s’applique pas aux communications et aux données relatives au trafic y afférentes, effectuées à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut dans le seul but de permettre (a) la réécoute de messages lors de problèmes de compréhension ou d’ambiguïté entre l’appelant et l’appelé, (b) la documentation de fausses alertes, de menaces et d’appels abusifs et (c) la production de preuves lors de contestation sur le déroulement d’actions de secours. Les données relatives au trafic afférentes aux communications visées ci-dessus, y compris les données de localisation, sont à effacer une fois le secours apporté. Le contenu des communications est à effacer après un délai de 6 mois au plus;
n’affecte pas l’enregistrement de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites,(Loi modifiée du 2 août 2002) «afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale. Les parties aux transactions ou à toutes autres communications commerciales» sont informées au préalable de ce que des enregistrements sont susceptibles d’être effectués, de la ou des raisons pour lesquelles les communications sont enregistrées et de la durée de conservation maximale des enregistrements. Les communications enregistrées sont à effacer dès que la finalité est atteinte, et en tout état de cause, lors de l’expiration du délai légal de recours contre la transaction;
⋯
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.