Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et portant modification 1° de la loi modifiée du 7 mars 1980 sur l'organisation judiciaire ; 2° de la loi modifiée du 29 mai 1998 portant approbation de la Convention sur la base de l'article K.3 du Traité sur l'Union européenne portant création d'un Office européen de police (Convention Europol), signée à Bruxelles, le 26 juillet 1995 ; 3° de la loi du 20 décembre 2002 portant approbation - de la Convention établie sur base de l'article K.3 du Traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes, signé à Bruxelles, le 26 juillet 1995 ; - de l'Accord relatif à l'application provisoire entre certains États membres de l'Union européenne de la Convention établie sur base de l'article K.3 du Traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes, signé à Bruxelles, le 26 juillet 1995 ; 4° de la loi modifiée du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité ; 5° de la loi modifiée du 16 juin 2004 portant réorganisation du centre socio-éducatif de l’État ; 6° de la loi modifiée du 25 août 2006 relative aux procédures d'identification par empreintes génétiques en matière pénale et portant modification du Code d'instruction criminelle ; 7° de la loi du 24 juin 2008 ayant pour objet le contrôle des voyageurs dans les établissements d’hébergement ; 8° de la loi modifiée du 29 mars 2013 relative à l’organisation du casier judiciaire ; 9° de la loi modifiée du 19 décembre 2014 facilitant l'échange transfrontalier d'informations concernant les infractions en matière de sécurité routière ; 10° de la loi modifiée du 25 juillet 2015 portant création du système de contrôle et de sanction automatisés ; 11° de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l'État ; 12° de la loi du 23 juillet 2016 portant mise en place d'un statut spécifique pour certaines données à caractère personnel traitées par le Service de renseignement de l'État ; 13° de la loi du 22 février 2018 relative à l’échange de données à caractère personnel et d’informations en matière policière ; 14° de la loi du 18 juillet 2018 sur la Police grand-ducale ; et 15° de la loi du 18 juillet 2018 sur l’Inspection générale de la Police

par la Police grand-ducale dans l’exécution de missions à des fins autres que celles visées au paragraphe 1^er et prévues par des lois spéciales,

par le Service de renseignement de l’État dans l’exécution de ses missions prévues à l’article 3 de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État,

par l’Autorité nationale de sécurité dans l’exécution de ses missions prévues à l’article 20 de la loi modifiée du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité,

par l’Armée luxembourgeoise dans l’exécution de ses missions prévues à l’article 2 de la loi modifiée du 23 juillet 1952 concernant l’organisation militaire,

par la Cellule de renseignement financier dans l’exécution de ses missions prévues aux articles 74-1 à 74-6 de la loi modifiée du 7 mars 1980 sur l’organisation judiciaire, et

par les autorités luxembourgeoises dans le cadre des activités qui relèvent du champ d’application du titre V, chapitre 2, du Traité sur l’Union européenne relatif à la politique étrangère et de sécurité commune.

« données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée « personne concernée » ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

« traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;

« limitation du traitement » : le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur ;

« profilage » : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne ;

« pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;

« fichier » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

« autorité compétente » :toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, ainsi que les fonctionnaires et agents des administrations et services publics auxquels des lois spéciales ont attribué certains pouvoirs de police administrative ou judiciaire, dans les conditions et dans les limites fixées par ces lois, outout autre organisme ou entité à qui le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

« responsable du traitement » : l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union européenne ou le droit luxembourgeois, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union européenne ou le droit luxembourgeois ;

« sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

« destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément à la loi ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;

« violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;

« données génétiques » : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ;

« données biométriques » : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;

« données concernant la santé » : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ;

« autorité de contrôle » :l’autorité de contrôle instituée par la loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, ci-après désignée comme la « Commission Nationale pour la Protection des Données », etl’autorité de contrôle judiciaire instituée par l’article 40 ;

« organisation internationale » : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord, y compris l’Organisation internationale de police criminelle (OIPC - Interpol).

traitées de manière licite et loyale ;

collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités ;

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale ;

les personnes reconnues coupables d'une infraction pénale ;

les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale, et

les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux lettres a) et b).