Blog Cyberjustice - La protection des données personnelles au Grand-Duché de Luxembourg

Introduction

Suite à l’entrée en vigueur du Règlement sur la protection des données personnelles (RGPD), tous les États membres de l’Union européenne ont dû se conformer à cette réglementation européenne qui vise l’encadrement du traitement des données personnelles dans l’espace européen et, dans certaines circonstances, extra-européen. À cet effet, les autorités luxembourgeoises ont adopté la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Cependant, cette nouvelle législation luxembourgeoise n’est pas le premier texte juridique qui réglemente l’utilisation des données à caractère personnel dans le cadre d’un traitement informatique. On peut citer, à titre d’exemple, la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel portant création de la Commission nationale pour la protection des données (CNPD), abrogée et remplacée par la loi du 1er août 2018.

La CNPD est une autorité publique indépendante chargée de veiller à la bonne application du RGPD au sein du Grand-Duché de Luxembourg et prend la forme d’un organe collégial, composé de quatre membres dont deux avocats : Thierry Lallemang, Tine A. Larsen, Christophe Buschmann et Marc Lemmer.

Présentation des membres de la CNPD

Madame Tine A. Larsen détient actuellement les fonctions de présidente du collège de la CNPD et membre du Comité européen de la protection des données et de l’Autorité de contrôle judiciaire. Madame Larsen fait aussi partie de la Commission d’accès aux documents et de la Commission consultative des Droits de l’homme.

Monsieur Thierry Lallemang a exercé tout d’abord en tant qu’avocat au Barreau de Luxembourg pour une période de cinq ans et par la suite, il a travaillé comme conseiller parlementaire.

Monsieur Christophe Buschmann est un ingénieur informatique qui dispose d’un nombre significatif d’années d’expérience dans la gestion des risques informationnels, notamment grâce aux fonctions remplies dans le cadre du groupe KPMG Luxembourg.

Monsieur Marc Lemmer, ancien directeur du Bureau de transfert de technologies du Centre interdisciplinaire pour la sécurité, la fiabilité et la confiance de l’Université du Luxembourg, dispose de plus de vingt ans d’expérience dans le développement stratégique, la transformation des entreprises et des institutions publiques dans un contexte d’innovation nationale.

Missions et pouvoirs des commissaires à la protection des données

Ces « Commissaires à la protection des données » sont nommés pour une période de six ans, renouvelable une fois, et doivent avoir la nationalité luxembourgeoise. De plus, ils sont tenus d’exercer leur fonction dans le respect des principes d’indépendance, impartialité et intégrité.

Conformément aux missions qui lui ont été confiées, la CNPD est chargée de :

Contrôler l’application du règlement européen et de la législation nationale en matière de protection des données à caractère personnel ;
Conseiller la Chambre des députés, du Gouvernement et d’autres institutions et organismes en ce qui concerne la prise des mesures législatives et administratives en matière de protection des droits et libertés des personnes physiques dans le cadre d’un traitement des données personnelles ;
Sensibiliser le public à l’égard des normes prévues au niveau européen et national pour une meilleure compréhension des risques, des garanties et des droits afférents ;
Coopérer avec les autres autorités de contrôle européennes.

Parmi les pouvoirs de la CNPD, on retrouve :

Le pouvoir d’enquête visant les traitements des données à caractère personnel en matière de sécurité nationale et en matière pénale, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique ;
Pouvoirs d’autorisation et de consultation : la CNPD conseille le responsable du traitement conformément à la procédure de consultation préalable, adopte les clauses types de protection des données, autorise les clauses contractuelles et les arrangements administratifs etc. ;
Pouvoirs d’investigation et de sanctions : la CNPD peut ordonner des mesures correctrices prenant la forme d’un rappel à l’ordre, un avertissement, une interdiction ou même une suspension d’un traitement des données à caractère personnel ; elle peut aussi infliger des amendes administratives mais ne dispose pas du pouvoir de condamner le responsable du traitement à payer des dommages et intérêts à une personne, victime d’une violation.

En dépit de ce spectre large des pouvoirs qui lui ont été confiés, la CNPD n’est pas compétente pour contrôler les opérations de traitement des données personnelles effectuées par les juridictions de l’ordre judiciaire ou administratif, dans l’exercice de leurs fonctions juridictionnelles. Cette mission a été déléguée à une autorité de contrôle judiciaire dont la direction est assurée par le Président de la Cour supérieure de justice luxembourgeoise ou son délégué.

Le droit luxembourgeois

On peut citer trois législations luxembourgeoises autour de la protection des données personnelles :

La loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
La loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale : cette nouvelle législation renforce d’une part les pouvoirs de la CNPD et définit, d’autre part, les dispositions spécifiques au droit luxembourgeois visant notamment le traitement des données personnelles à des fins de surveillance dans le cadre des relations de travail.
La loi modifiée du 30 mai 2005 relative à la protection des données et communications électroniques : il s’agit d’un cadre législatif permettant notamment d’assurer la confidentialité des communications électroniques (art. 4). De plus, elle vise aussi la régulation des données relatives au trafic (art. 5) et respectivement des données de localisation autres que les données relatives au trafic (art. 9).

Georgiana Hriscu

Master 2 Cyberjustice, Promotion 2020/2021

Sources :

Jörg Gerkrath, « La défense des droits et libertés au Grand-Duché de Luxembourg »

Marcus Dury, Sandra Dury, Martin Kerz – « Data protection in Luxembourg »

https://cnpd.public.lu/fr/commission-nationale.html

https://paperjam.lu/guide/biography/0564516285/tine-a-larsen

https://paperjam.lu/guide/biography/0587574554/thierry-lallemang

https://paperjam.lu/guide/biography/01627788531/christophe-buschmann

https://paperjam.lu/guide/biography/0582569666/marc-lemmer

https://cnpd.public.lu/fr/commission-nationale.html

http://legilux.public.lu/eli/etat/leg/loi/2018/08/01/a686/jo