LegalizeLoi du 19 décembre 2025 portant création du Commissariat du Gouvernement à la souveraineté des données et désignation des organismes et autorités compétents prévus aux articles 7, 13 et 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) et du point d’information unique prévu à l’article 8 du règlement (UE) 2022/868 précité et portant modification de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données
Nous Guillaume, Grand-Duc de Luxembourg, Duc de Nassau,
Vu le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ;
Le Conseil d’État entendu ;
Vu l’adoption par la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 18 décembre 2025 et celle du Conseil d’État du 19 décembre 2025 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Chapitre 1er Commissariat du Gouvernement à la souveraineté des données
Section 1re Objet
Art. 1er.
(1)
Il est créé une administration dénommée « Commissariat du Gouvernement à la souveraineté des données », ci-après « Commissariat ».
Le Commissariat est placé sous l’autorité du ministre ayant la Digitalisation dans ses attributions, ci-après « ministre ».
(2)
Le Commissariat est dirigé par un commissaire du Gouvernement à la souveraineté des données, ci-après « commissaire ». Le commissaire peut être assisté d’un commissaire adjoint.
(3)
Le Commissariat est composé des départements suivants :
le département Délégué à la protection des données du secteur public ;
le département Conseil et guidance en gouvernance des données ;
l’Autorité luxembourgeoise des données ;
le département Affaires générales.
Le commissaire arrête les détails d’organisation et les modalités de fonctionnement des départements.
Section 2 Attributions du Commissariat du Gouvernement à la souveraineté des données
Art. 2.
Le département Délégué à la protection des données du secteur public :
exerce en cas d’application des articles 3, alinéa 2, et 4, alinéa 2, les missions du Commissariat désigné comme délégué à la protection des données conformément aux articles 38 et 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement sur la protection des données) ;
assiste les délégués à la protection des données de l’administration étatique.
Art. 3.
Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents désignent un ou plusieurs délégués à la protection des données.
Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents, peuvent désigner le Commissariat comme leur délégué à la protection des données.
La désignation est notifiée au Commissariat.
Art. 4.
Le Commissariat peut également assurer la fonction de délégué à la protection des données pour les communes.
Les collèges des bourgmestre et échevins peuvent désigner le Commissariat comme leur délégué à la protection des données.
La désignation est notifiée au Commissariat.
Art. 5.
Le Commissariat veille à ce que le département Délégué à la protection des données du secteur public :
soit établi de manière à éviter tout conflit d’intérêts avec l’Autorité luxembourgeoise des données ;
soit organisé et fonctionne de façon à garantir l’objectivité et l’impartialité de ses activités ;
soit organisé de telle sorte que les personnes exerçant les missions de délégué à la protection des données ne soient pas impliquées dans la prise de décisions concernant la réutilisation de données.
Art. 6.
Le département Conseil et guidance en gouvernance des données :
développe la protection des données à caractère personnel et dispense des conseils en matière de gouvernance des données et de l’intelligence artificielle au sein de l’administration étatique ;
promeut les bonnes pratiques dans les domaines visés au point 1° à travers l’administration étatique ;
sensibilise dans les domaines visés au point 1° les agents de l’État concernés, les entités publiques, les organismes de droit public et le public ;
contribue à une mise en œuvre cohérente des politiques dans les domaines visés au point 1° en conseillant, sur demande, les membres du Gouvernement.
Le département Conseil et guidance en gouvernance des données et son personnel n’empiètent pas sur l’exercice des missions du département Délégué à la protection des données du secteur public.
Art. 7.
L’Autorité luxembourgeoise des données met en œuvre les missions du Commissariat en tant qu’organisme compétent, conformément à l’article 9.
Section 3 Cadre de l’administration
Art. 8.
(1)
Le cadre du personnel comprend un commissaire du Gouvernement à la souveraineté des données et un commissaire du Gouvernement adjoint à la souveraineté des données nommés par le Grand-Duc sur proposition du Gouvernement en conseil, qui ont le statut de fonctionnaire, ainsi que des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État.
(2)
Ce cadre peut être complété par des fonctionnaires stagiaires, des employés et salariés de l’État suivant les besoins de l’administration et dans la limite des crédits budgétaires.
(3)
Les candidats aux fonctions de commissaire du Gouvernement à la souveraineté des données ou de commissaire du Gouvernement adjoint à la souveraineté des données disposent de connaissances spécialisées de la législation et des pratiques de protection et de gouvernance des données et remplissent les conditions d’admission au groupe de traitement A1.
Chapitre 2 Désignation des organismes et autorités compétents prévus aux articles 7, 13 et 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) et du point d’information unique prévu à l’article 8 du règlement (UE) 2022/868 précité
Section 1re Organisme compétent
Art. 9.
(1)
Le Commissariat est désigné organisme compétent, conformément à l’article 7, paragraphe 1er, du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), habilité, conformément à l’article 7, paragraphe 2, du règlement (UE) 2022/868, à octroyer ou à refuser l’accès aux données et leur réutilisation.
Le Commissariat peut traiter les données mises à sa disposition par l’organisme du secteur public aux fins de l’exécution de la mission d’autorisation et de préparation des données en vue de leur réutilisation.
(2)
Le Commissariat, après l’accord de l’organisme du secteur public, peut autoriser l’accès aux données et leur réutilisation au sens de l’article 2, points 2) et 13), du règlement (UE) 2022/868 de données détenues par cet organisme du secteur public lorsque :
l’accès aux données et leur réutilisation sont effectués pour une ou plusieurs des finalités suivantes :
l’analyse statistique ; les activités d’éducation, de formation ou d’enseignement, y compris au niveau de l’enseignement professionnel ou supérieur ; la recherche scientifique ; la recherche historique ; l’évaluation des politiques publiques luxembourgeoises ou européennes ;
les données sont anonymisées, pseudonymisées et modifiées, agrégées ou traitées selon toute autre méthode de contrôle de la divulgation préalablement à l’accès aux données et leur réutilisation ;
l’accès aux données et leur réutilisation se font dans un environnement de traitement sécurisé au sens de l’article 2, point 20), du règlement (UE) 2022/868 précité mis à disposition par le Commissariat ;
l’accès et la réutilisation des données n’entraînent pas un risque pour la défense nationale, la sécurité publique ou l’ordre public.
(3)
L’organisme du secteur public qui détient les données transmet sa décision au Commissariat dans un délai de trois semaines à compter de la transmission de la demande d’accès aux données et de leur réutilisation. Passé ce délai, l’absence de décision de l’organisme du secteur public qui détient les données vaut refus.
Art. 10.
L’organisme du secteur public qui détient les données est réputé être le responsable du traitement pour la mise à la disposition du Commissariat des données demandées en vertu de l’article 9.
Le Commissariat est réputé être le responsable du traitement des données lorsqu’il accomplit ses tâches en vertu de l’article 9.
Nonobstant l’alinéa 2 du présent article, le Commissariat est réputé agir en qualité de sous-traitant pour le compte du réutilisateur agissant en tant que responsable du traitement en ce qui concerne le traitement des données en vertu d’une autorisation de traitement de données délivrée au titre de l’article 9 dans l’environnement de traitement sécurisé lorsqu’il fournit des données au moyen de cet environnement.
Section 2 Point d’information unique
Art. 11.
(1)
Le ministre assure les missions du point d’information unique conformément à l’article 8 du règlement (UE) 2022/868 précité.
(2)
Les organismes du secteur public communiquent les informations visées aux articles 5, paragraphe 1er, et 8, paragraphe 2, du règlement (UE) 2022/868 précité au point d’information unique.
Section 3 Autorité compétente en matière de service d’intermédiation de données
Art. 12.
La Commission nationale pour la protection des données (CNPD) est l’autorité compétente pour effectuer les tâches liées à la procédure de notification pour les services d’intermédiation de données, telle que visée à l’article 13 du règlement (UE) 2022/868 précité.
Section 4 Autorité compétente pour l’enregistrement des organisations altruistes en matière de données
Art. 13.
(1)
La CNPD est l’autorité compétente responsable du registre public national des organisations altruistes en matière de données reconnues, tel que visé à l’article 23 du règlement (UE) 2022/868 précité.
(2)
La CNPD tient et met à jour régulièrement le registre public national des organisations altruistes en matière de données reconnues, conformément à l’article 17, paragraphe 1er, du règlement (UE) 2022/868 précité.
Section 5 Sanctions administratives
Art. 14.
(1)
Dans le cadre de ses pouvoirs visés à l’article 14, paragraphe 4, du règlement (UE) 2022/868 précité, lorsque les prestataires de services d’intermédiation de données ne respectent pas une ou plusieurs exigences énoncées au chapitre III du règlement (UE) 2022/868 précité, la CNPD peut, par voie de décision, imposer :
de mettre un terme à la violation ;
un avertissement ;
un blâme.
(2)
Dans le cadre d’infractions aux exigences liées à l’obligation de notification au sens de l’article 11 du règlement (UE) 2022/868 précité et aux exigences liées à la fourniture de services d’intermédiation de données au sens des articles 12 et 31, paragraphes 3 à 5, du règlement (UE) 2022/868 précité, la CNPD peut, par voie de décision, imposer des amendes administratives à hauteur de 500 à 100 000 euros aux prestataires de services d’intermédiation de données.
(3)
La CNPD peut, par voie de décision, infliger au prestataire de services d’intermédiation de données des astreintes jusqu’à concurrence de 250 euros par jour de retard à compter de la date qu’elle fixe dans sa décision, pour le contraindre :
à communiquer toute information demandée par la CNPD en vertu de l’article 14, paragraphe 2, du règlement (UE) 2022/868 précité ;
à respecter une demande de cessation prononcée en vertu de l’article 14, paragraphe 4, du règlement (UE) 2022/868 précité.
(4)
Le recouvrement des amendes ou astreintes est confié à l’Administration de l’enregistrement, des domaines et de la TVA. Il se fait comme en matière d’enregistrement.
Art. 15.
(1)
Dans le cadre de ses pouvoirs visés à l’article 24, paragraphe 4, du règlement (UE) 2022/868 précité, lorsque l’organisation altruiste en matière de données reconnue ne respecte pas une ou plusieurs exigences énoncées au chapitre IV du règlement (UE) 2022/868 précité, la CNPD peut, par voie de décision, imposer :
de mettre un terme à la violation ;
un avertissement ;
un blâme.
(2)
Dans le cadre d’une violation des conditions énoncées aux articles 18 à 21, et l’article 31, paragraphes 3 à 5, du règlement (UE) 2022/868 précité et liées à l’enregistrement et aux activités d’une organisation altruiste en matière de données reconnue, la CNPD peut, par voie de décision, imposer des amendes administratives, à hauteur de 500 à 100 000 euros aux organisations altruistes en matière de données.
(3)
La CNPD peut, par voie de décision, infliger à l’organisation altruiste en matière de données des astreintes jusqu’à concurrence de 250 euros par jour de retard à compter de la date qu’elle fixe dans sa décision, pour la contraindre :
à communiquer toute information demandée par la CNPD en vertu de l’article 24, paragraphe 2, du règlement (UE) 2022/868 précité ;
à respecter une demande de cessation prononcée en vertu de l’article 24, paragraphe 4, du règlement (UE) 2022/868 précité.
(4)
Le recouvrement des amendes ou astreintes est confié à l’Administration de l’enregistrement, des domaines et de la TVA. Il se fait comme en matière d’enregistrement.
Art. 16.
(1)
Le Commissariat peut, par voie de décision, en cas de violation des obligations prévues au chapitre II et à l’article 31 du règlement (UE) 2022/868 précité relatives aux transferts de données à caractère non personnel vers un pays tiers, imposer :
de mettre un terme à la violation ;
un avertissement ;
un blâme ;
la révocation de l’autorisation adoptée ;
l’exclusion du réutilisateur concerné de la possibilité de présenter des demandes d’accès aux données et de leur réutilisation pendant une période maximale de deux ans.
(2)
Dans le cadre d’une violation des articles 5, paragraphe 14, et 31, paragraphes 3 à 5, du règlement (UE) 2022/868 précité, le Commissariat peut, par voie de décision, imposer des amendes administratives à hauteur de 500 à 100 000 euros à une personne physique ou morale à laquelle le droit de réutilisation de données a été accordé.
L’Administration de l’enregistrement, des domaines et de la TVA est chargée du recouvrement de ces amendes comme en matière de droits d’enregistrement.
(3)
⋯
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.