LegalizeLoi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 26 juillet 2018 et celle du Conseil d’État du 27 juillet 2018 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Titre Ier Dispositions générales
Chapitre 1er Champ d’application
Art. 1er.
(1)
Tout traitement de données à caractère personnel qui n’est pas couvert par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, désigné ci-après par le terme « règlement (UE) 2016/679 », ni par la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, est couvert par les dispositions du chapitre Ier, article 4, des chapitres II à VI, VIII et IX et du chapitre VII, section 1re du règlement (UE) 2016/679 et de la présente loi, sous réserve des textes légaux existants qui prévoient d’autres dispositions spécifiques en matière de protection des données à caractère personnel.
(2)
La présente loi ne s’applique pas aux traitements de données à caractère personnel effectués par les personnes physiques dans le cadre d’une activité strictement personnelle ou domestique.
Art. 2.
Les dispositions du titre II s’appliquent aux responsables de traitement et aux sous-traitants établis sur le territoire luxembourgeois.
Chapitre 2 Commission nationale pour la protection des données
Section Ire Statut juridique et indépendance
Art. 3.
La Commission nationale pour la protection des données, désignée ci-après par le terme « CNPD », est un établissement public indépendant doté de la personnalité juridique.
Elle jouit de l’autonomie financière et administrative.
Son siège est fixé par règlement grand-ducal.
Section II Compétences de la CNPD
Art. 4.
La CNPD est chargée de contrôler et de vérifier si les données soumises à un traitement sont traitées en conformité avec les dispositions :
de la présente loi ;
de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;
des textes légaux prévoyant des dispositions spécifiques en matière de protection des données à caractère personnel.
Art. 5.
La CNPD n’est pas compétente pour contrôler les opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles.
Art. 6.
La CNPD représente le Luxembourg au « Comité européen de la protection des données » institué par l’article 68 du règlement (UE) 2016/679 et contribue à ses activités.
Section III Les missions de la CNPD
Art. 7.
La CNPD exerce les missions dont elle est investie en vertu de l’article 57 du règlement (UE) 2016/679.
Art. 8.
Dans le cadre de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, la CNPD :
contrôle l'application des dispositions et des mesures d'exécution et veille au respect de celles-ci ;
favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données personnelles ;
conseille la Chambre des députés, le Gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données personnelles ;
encourage la sensibilisation des responsables du traitement et des sous-traitants aux obligations qui leur incombent ;
fournit, sur demande, à toute personne concernée, des informations sur l'exercice de ses droits et, le cas échéant, coopère à cette fin avec les autorités de contrôle d'autres États membres ;
traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association conformément à l'article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;
vérifie la licéité du traitement, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification, conformément à l’article 16, paragraphe 3, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, ou des motifs ayant empêché sa réalisation ;
met en place des mécanismes efficaces pour encourager le signalement confidentiel des violations des traitements de données à caractère personnel ;
coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et des mesures prises pour en assurer le respect ;
effectue des enquêtes sur l'application de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique ;
suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication ;
fournit des conseils sur les opérations de traitement visées à l'article 27 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
Art. 9.
La CNPD facilite l'introduction des réclamations visées à l’article 8, point 6, par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus.
Art. 10.
La CNPD établit un rapport annuel sur ses activités, qui comprend une liste des types de violations notifiées et des types de sanctions imposées en vertu du règlement 2016/679 et de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. Les rapports sont transmis à la Chambre des députés, au Gouvernement, à la Commission européenne et au Comité européen de la protection des données et sont rendus publics.
Art. 11.
L’accomplissement des missions est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données qui agit dans le cadre de ses missions.
Lorsqu’une demande est manifestement infondée ou excessive, la CNPD peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à la CNPD de démontrer le caractère manifestement infondé ou excessif de la demande.
Section IV Les pouvoirs de la CNPD
Art. 12.
Dans le cadre des missions de l’article 7, la CNPD dispose des pouvoirs tels que prévus à l’article 58 du règlement (UE) 2016/679.
Art. 13.
La CNPD a le pouvoir de porter toute violation du règlement (UE) 2016/679, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et de la présente loi à la connaissance des autorités judiciaires et, le cas échéant, le droit d’ester en justice dans l’intérêt du règlement (UE) 2016/679 conformément à son article 58 et dans l’intérêt de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
Art. 14.
Dans le cadre des missions de l’article 8, la CNPD dispose des pouvoirs suivants :
obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l'exercice de ses missions ;
avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;
ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, le cas échéant, de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application de l'article 15 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;
limiter temporairement ou définitivement, y compris d’interdire, un traitement ;
conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 27 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;
émettre, de sa propre initiative ou sur demande, des avis à l'attention de la Chambre des députés et de son Gouvernement ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel.
Section V Certification
Art. 15.
Les organismes de certification visés à l’article 43, paragraphe 1er, du règlement (UE) 2016/679 doivent être agréés par la CNPD.
Section VI Composition et nomination de la CNPD
Art. 16.
La CNPD est un organe collégial composé de quatre membres, dont un président. Les membres sont appelés Commissaires à la protection des données et sont autorisés à porter le titre de « Commissaire » sans que cela ne modifie ni leur rang ni leur traitement. Sont également nommés quatre membres suppléants.
Les membres suppléants sont appelés à suppléer à l’absence ou à l’empêchement de siéger des membres du collège.
Art. 17.
Les membres du collège et membres suppléants sont nommés et révoqués par le Grand-Duc sur proposition du Conseil de gouvernement. Le président est désigné par le Grand-Duc. Les membres du collège et membres suppléants sont nommés pour un terme de six ans, renouvelable une fois.
Les membres du collège et les membres suppléants agissent en toute indépendance dans l’exercice de leurs missions et pouvoirs. Ils demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.
Art. 18.
Le Conseil de gouvernement propose au Grand-Duc comme membres du collège et membres suppléants des personnes remplissant les conditions d’admission pour l’examen-concours du groupe de traitement A1 et ayant la nationalité luxembourgeoise.
Les membres du collège et les membres suppléants sont nommés sur la base de leur compétence et expérience en matière de protection des données à caractère personnel.
Les postes vacants pour les mandats des membres du collège sont publiés au plus tard six mois avant l’expiration du mandat. La publication se fait sous la forme d’un appel à candidats précisant le nombre de places vacantes, les conditions de nomination, les missions de l’organe à composer et les modalités de dépôt de la candidature.
Art. 19.
Avant d’entrer en fonction, le président prête entre les mains du Grand-Duc ou de son représentant le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. »
Avant d’entrer en fonction, les membres et membres suppléants prêtent entre les mains du président le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. »
Art. 20.
Les membres du collège ont la qualité de fonctionnaire en ce qui concerne leur statut, leur traitement et leur régime de pension.
Ils bénéficient d’une indemnité spéciale tenant compte de l’engagement requis par les fonctions, à fixer par règlement grand-ducal sans que pour autant le total du traitement barémique et de l’indemnité spéciale ne puisse dépasser le traitement barémique du grade S1.
Art. 21.
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.