JOURNAL OFFICIEL

DU GRAND-DUCHÉ DE LUXEMBOURG

MÉMORIAL A

N° 686 du 16 août 2018

Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État.

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau, Notre Conseil d’État entendu ;

De l’assentiment de la Chambre des Députés ;

Vu la décision de la Chambre des Députés du 26 juillet 2018 et celle du Conseil d’État du 27 juillet 2018 portant qu’il n’y a pas lieu à second vote ;

Avons ordonné et ordonnons :

Titre Ier - Dispositions générales

Chapitre 1er - Champ d’application

Art. 1er.

(1)Tout traitement de données à caractère personnel qui n’est pas couvert par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, désigné ci-après par le terme « règlement (UE) 2016/679 », ni par la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, est couvert par les dispositions du chapitre Ier, article 4, des chapitres II à VI, VIII et IX et du chapitre VII, section 1re du règlement (UE) 2016/679 et de la présente loi, sous réserve des textes légaux existants qui prévoient d’autres dispositions spécifiques en matière de protection des données à caractère personnel.

(2)La présente loi ne s’applique pas aux traitements de données à caractère personnel effectués par les personnes physiques dans le cadre d’une activité strictement personnelle ou domestique.

Art. 2.

Les dispositions du titre II s’appliquent aux responsables de traitement et aux sous-traitants établis sur le territoire luxembourgeois.

A 686 - 1

Chapitre 2 - Commission nationale pour la protection des données

Section Ire - Statut juridique et indépendance

Art. 3.

La Commission nationale pour la protection des données, désignée ci-après par le terme « CNPD », est un établissement public indépendant doté de la personnalité juridique.

Elle jouit de l’autonomie financière et administrative. Son siège est fixé par règlement grand-ducal.

Section II - Compétences de la CNPD

Art. 4.

La CNPD est chargée de contrôler et de vérifier si les données soumises à un traitement sont traitées en conformité avec les dispositions :

1° du règlement (UE) 2016/679 ; 2° de la présente loi ;

3° de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;

4° des textes légaux prévoyant des dispositions spécifiques en matière de protection des données à caractère personnel.

Art. 5.

La CNPD n’est pas compétente pour contrôler les opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles.

Art. 6.

La CNPD représente le Luxembourg au « Comité européen de la protection des données » institué par l’article 68 du règlement (UE) 2016/679 et contribue à ses activités.

Section III - Les missions de la CNPD

Sous-section Ire - Les missions de la CNPD dans le cadre du règlement(UE) 2016/679

Art. 7.

La CNPD exerce les missions dont elle est investie en vertu de l’article 57 du règlement (UE) 2016/679.

Sous-section II - Les missions de la CNPD dans le cadre de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale

Art. 8.

Dans le cadre de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, la CNPD :

1° contrôle l'application des dispositions et des mesures d'exécution et veille au respect de celles-ci ;

2° favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données personnelles ;

3° conseille la Chambre des députés, le Gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données personnelles ;

A 686 - 2

4° encourage la sensibilisation des responsables du traitement et des sous-traitants aux obligations qui leur incombent ;

5° fournit, sur demande, à toute personne concernée, des informations sur l'exercice de ses droits et, le cas échéant, coopère à cette fin avec les autorités de contrôle d'autres États membres ;

6° traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association conformément à l'article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

7° vérifie la licéité du traitement, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification, conformément à l’article 16, paragraphe 3, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, ou des motifs ayant empêché sa réalisation ;

8° met en place des mécanismes efficaces pour encourager le signalement confidentiel des violations des traitements de données à caractère personnel ;

9° coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et des mesures prises pour en assurer le respect ;

10° effectue des enquêtes sur l'application de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique ;

11° suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication ;

12° fournit des conseils sur les opérations de traitement visées à l'article 27 de la loi du 1er août 2018 relative

àla protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Art. 9.

La CNPD facilite l'introduction des réclamations visées à l’article 8, point 6, par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus.

Sous-section III - Dispositions communes

Art. 10.

La CNPD établit un rapport annuel sur ses activités, qui comprend une liste des types de violations notifiées et des types de sanctions imposées en vertu du règlement 2016/679 et de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. Les rapports sont transmis à la Chambre des députés, au Gouvernement, à la Commission européenne et au Comité européen de la protection des données et sont rendus publics.

Art. 11.

L’accomplissement des missions est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données qui agit dans le cadre de ses missions.

A 686 - 3

Lorsqu’une demande est manifestement infondée ou excessive, la CNPD peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à la CNPD de démontrer le caractère manifestement infondé ou excessif de la demande.

Section IV - Les pouvoirs de la CNPD

Art. 12.

Dans le cadre des missions de l’article 7, la CNPD dispose des pouvoirs tels que prévus à l’article 58 du règlement (UE) 2016/679.

Art. 13.

La CNPD a le pouvoir de porter toute violation du règlement (UE) 2016/679, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et de la présente loi à la connaissance des autorités judiciaires et, le cas échéant, le droit d’ester en justice dans l’intérêt du règlement (UE) 2016/679 conformément à son article 58 et dans l’intérêt de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Art. 14.

Dans le cadre des missions de l’article 8, la CNPD dispose des pouvoirs suivants :

1° obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l'exercice de ses missions ;

2° avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;

3° ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, le cas échéant, de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application de l'article 15 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;

4° limiter temporairement ou définitivement, y compris d’interdire, un traitement ;

5° conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 27 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale ;

6° émettre, de sa propre initiative ou sur demande, des avis à l'attention de la Chambre des députés et de son Gouvernement ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel.

A 686 - 4

Section V - Certification

Art. 15.

Les organismes de certification visés à l’article 43, paragraphe 1er, du règlement (UE) 2016/679 doivent être agréés par la CNPD.

Section VI - Composition et nomination de la CNPD

Art. 16.

La CNPD est un organe collégial composé de quatre membres, dont un président. Les membres sont appelés Commissaires à la protection des données et sont autorisés à porter le titre de « Commissaire » sans que cela ne modifie ni leur rang ni leur traitement. Sont également nommés quatre membres suppléants.

Les membres suppléants sont appelés à suppléer à l’absence ou à l’empêchement de siéger des membres du collège.

Art. 17.

Les membres du collège et membres suppléants sont nommés et révoqués par le Grand-Duc sur proposition du Conseil de gouvernement. Le président est désigné par le Grand-Duc. Les membres du collège et membres suppléants sont nommés pour un terme de six ans, renouvelable une fois.

Les membres du collège et les membres suppléants agissent en toute indépendance dans l’exercice de leurs missions et pouvoirs. Ils demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.

Art. 18.

Le Conseil de gouvernement propose au Grand-Duc comme membres du collège et membres suppléants des personnes remplissant les conditions d’admission pour l’examen-concours du groupe de traitement A1 et ayant la nationalité luxembourgeoise.

Les membres du collège et les membres suppléants sont nommés sur la base de leur compétence et expérience en matière de protection des données à caractère personnel.

Les postes vacants pour les mandats des membres du collège sont publiés au plus tard six mois avant l’expiration du mandat. La publication se fait sous la forme d’un appel à candidats précisant le nombre de places vacantes, les conditions de nomination, les missions de l’organe à composer et les modalités de dépôt de la candidature.

Art. 19.

Avant d’entrer en fonction, le président prête entre les mains du Grand-Duc ou de son représentant le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. »

Avant d’entrer en fonction, les membres et membres suppléants prêtent entre les mains du président le serment suivant : « Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l’État. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité. »

Art. 20.

Les membres du collège ont la qualité de fonctionnaire en ce qui concerne leur statut, leur traitement et leur régime de pension.

Ils bénéficient d’une indemnité spéciale tenant compte de l’engagement requis par les fonctions, à fixer par règlement grand-ducal sans que pour autant le total du traitement barémique et de l’indemnité spéciale ne puisse dépasser le traitement barémique du grade S1.

A 686 - 5

Art. 21.

Sans préjudice de l’application d’éventuelles sanctions disciplinaires, le membre du collège, qui bénéficiait auparavant du statut d’agent de l’État, dont le mandat n’est pas renouvelé ou qui est révoqué, est nommé au dernier grade de la fonction la plus élevée de l’un des sous-groupes de traitement, à l’exception du sous-groupe à attributions particulières, de la catégorie de traitement A, groupe de traitement A1 de son administration d’origine, à l’échelon de traitement correspondant à l’échelon de traitement atteint dans la fonction précédente ou, à défaut d’échelon correspondant, à l’échelon de traitement immédiatement inférieur. Les indemnités spéciales attachées à sa fonction de membre du collège ne sont pas maintenues. Il peut faire l’objet d’un changement d’administration dans une autre administration ou un établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.

Art. 22.

Sans préjudice de l’application d’éventuelles sanctions disciplinaires, le membre du collège, qui ne bénéficiait pas auparavant du statut d’agent de l’État, dont le mandat n’est pas renouvelé ou qui est révoqué, est nommé au dernier grade de la fonction la plus élevée de l’un des sous-groupes de traitement, à l’exception du sous-groupe à attributions particulières, de la catégorie de traitement A, groupe de traitement A1 d’un département ministériel, à l’échelon de traitement correspondant à l’échelon de traitement atteint dans la fonction précédente ou, à défaut d’échelon correspondant, à l’échelon de traitement immédiatement inférieur. Les indemnités spéciales attachées à sa fonction de membre du collège ne sont pas maintenues. Il peut faire l’objet d’un changement d’administration dans une autre administration ou un établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.

Art. 23.

En cas d’absence de vacance de poste budgétaire dans le groupe de traitement visé aux articles 21 et 22, l’effectif du personnel est augmenté temporairement jusqu’à la survenance de la prochaine vacance de poste dans ce groupe de traitement.

Art. 24.

Les membres suppléants touchent une indemnité dont le montant est fixé par règlement grand-ducal.

Art. 25.

(1)Les membres du collège et membres suppléants ne peuvent être révoqués de leurs fonctions que s’ils ont commis une faute grave ou s’ils ne remplissent plus les conditions nécessaires à l’exercice de leurs fonctions. Dans ces cas, la révocation a lieu par le Grand-Duc sur proposition du Conseil de gouvernement.

(2)Par dérogation à la limite d’âge prévue à l’article 7.I.2 de la loi modifiée du 25 mars 2015 instituant un régime de pension spécial transitoire pour les fonctionnaires de l’État et des communes ainsi que pour les agents de la Société nationale des Chemins de Fer luxembourgeois, et à l’article 67.II.1 de la loi modifiée du 3 août 1998 instituant des régimes de pension spéciaux pour les fonctionnaires de l'État et des communes ainsi que pour les agents de la Société nationale des Chemins de Fer luxembourgeois, les membres du collège qui atteignent l’âge de soixante-cinq ans en cours de mandat peuvent continuer ce mandat jusqu’à l'âge de soixante-huit ans.

La limite d’âge applicable aux membres suppléants est de soixante-huit ans.

(3)Par dérogation à l’article 29, les compétences attribuées en matière disciplinaire au ministre du ressort sont exercées à l’égard des membres du collège par le ministre ayant les Relations avec la Commission nationale pour la protection des données dans ses attributions.

A 686 - 6

Art. 26.

En cas de cessation de mandat par un membre du collège ou un membre suppléant, il est désigné un successeur conformément aux articles 17 à 19.

Art. 27.

Les membres du collège ou membres suppléants ne peuvent être membres du Gouvernement, de la Chambre des députés, du Conseil d’État ou du Parlement européen, ni exercer d’activité professionnelle ou détenir directement ou indirectement des intérêts dans une entreprise ou tout autre organisme opérant dans le champ des traitements de données.

Section VII - Le fonctionnement de la CNPD

Art. 28.

Le cadre du personnel de la CNPD comprend des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État. Le cadre du personnel peut être complété, selon les besoins et dans la limite des crédits budgétaires, par des stagiaires, des employés et des salariés de l’État.

Art. 29.

Les pouvoirs conférés au chef d'administration par les lois et règlements grand-ducaux applicables aux agents de l’État sont exercés à l'égard du personnel de la CNPD par le président. Les pouvoirs conférés au ministre du ressort ou au Conseil de gouvernement ou à l’autorité investie du pouvoir de nomination par les lois et règlements précités sont exercés à l'égard du personnel de la CNPD par le collège.

Art. 30.

Les rémunérations et autres indemnités de tous les membres du collège, membres suppléants et agents de la CNPD sont à charge de la CNPD.

Art. 31.

La CNPD peut faire appel à des experts externes dont les prestations sont définies et rémunérées sur la base d’un contrat de droit privé.

Art. 32.

(1)La CNPD établit son règlement d’ordre intérieur pris à l’unanimité des membres du collège réunis au complet et comprenant ses procédures et méthodes de travail. Le règlement d’ordre intérieur est publié au Journal officiel du Grand-Duché de Luxembourg.

(2)Le collège peut déléguer des compétences de nature technique ou administrative à un membre du collège. Une telle délégation doit être fixée par le règlement d’ordre intérieur.

Art. 33.

Sous réserve des dispositions de la présente loi et sans préjudice des textes cités à l’article 4, le règlement d’ordre intérieur fixe :

1° les conditions de fonctionnement de la CNPD ; 2° l’organisation des services de la CNPD ;

3° les modalités de la convocation des membres du collège et la tenue des réunions collégiales.

A 686 - 7

Art. 34.

Le collège ne peut valablement siéger ni délibérer qu’à condition de réunir trois membres du collège au moins.

Art. 35.

Les membres du collège et membres suppléants ne peuvent siéger, délibérer ou décider dans une affaire dans laquelle ils ont un intérêt direct ou indirect.

Art. 36.

Les délibérations sont prises à la majorité des voix. En cas d’égalité des voix, la voix du président est prépondérante. Les abstentions ne sont pas recevables.

Section VIII - Enquête et décision sur l’issue de l’enquête

Art. 37.

La CNPD peut intervenir de sa propre initiative ou à la demande de toute personne physique ou morale conformément aux articles 77 et 80 du règlement (UE) 2016/679 et aux articles 44 et 46 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Art. 38.

L’ouverture d’une enquête peut être proposée à tout moment par un membre du collège. Il soumet cette proposition au collège qui l’approuve endéans un délai d’un mois à la majorité des voix et qui désigne un membre du collège en tant que chef d’enquête. Le président ne peut être désigné comme chef d’enquête.

Art. 39.

L’enquête doit se faire à charge et à décharge.

Art. 40.

Un règlement de la CNPD définit la procédure devant la CNPD dans le respect du principe du contradictoire.

Art. 41.

Le collège prend une décision sur l’issue de l’enquête dans les meilleurs délais. Le chef d’enquête ne peut ni siéger, ni délibérer lorsque le collège décide sur l’issue de l’enquête.

Section IX - Secret professionnel

Art. 42.

Sans préjudice de l’article 23 du Code de procédure pénale, toutes les personnes exerçant ou ayant exercé une activité pour la CNPD sont tenues au secret professionnel et passibles des peines prévues à l’article 458 du Code pénal en cas de violation de ce secret. Ce secret implique que les informations confidentielles qu’ils reçoivent à titre professionnel ne peuvent être divulguées à quelque personne ou autorité que ce soit, excepté sous une forme sommaire ou agrégée de façon que les personnes soumises à surveillance ne puissent être identifiées, sans préjudice des cas relevant du droit pénal en cas de violation de ce secret.

Art. 43.

Par dérogation à l’interdiction de divulgation et de communication prévue à l’article 42 de la présente loi et

àl’article 458 du Code pénal, les membres du collège, membres suppléants et agents de la CNPD sont autorisés, pendant l’exercice de leur activité, à communiquer aux autorités et services publics les informations

A 686 - 8

et documents nécessaires à ceux-ci pour l’exercice de leurs missions, à condition que ces autorités, organes et personnes tombent sous un secret professionnel équivalent à celui visé à l’article 42 de la présente loi.

Art. 44.

Par dérogation à l’interdiction de divulgation et de communication prévue à l’article 42 de la présente loi et

àl’article 458 du Code pénal, les membres du collège, membres suppléants et agents de la CNPD sont autorisés, pendant l’exercice de leur activité, à communiquer aux autorités de contrôle des autres États membres, au comité européen de la protection des données ainsi qu’à la Commission européenne les informations et documents nécessaires à ceux-ci pour l’exercice de leur surveillance, à condition que ces autorités, organes et personnes tombent sous un secret professionnel équivalent à celui visé à l’article 42 de la présente loi et dans la mesure où ces autorités, organes et personnes accordent les mêmes informations

àla CNPD.

Section X - Dispositions financières

Art. 45.

L’exercice financier de la CNPD coïncide avec l’année civile.

Art. 46.

Les comptes de la CNPD sont tenus selon les règles de la comptabilité commerciale. Avant le 30 juin de chaque année, le président du collège de la CNPD soumet au collège les comptes annuels comprenant le bilan et le compte de profits et pertes, l'annexe, arrêtés au 31 décembre de l'exercice écoulé, ainsi que son rapport d'activité et le rapport du réviseur d'entreprises agréé. Le budget annuel de la CNPD est proposé au collège par le président du collège avant le 31 décembre pour l'année qui suit.

Les comptes annuels au 31 décembre de l'exercice écoulé avec le rapport du réviseur d'entreprises agréé, le rapport d'activité et le budget annuel sont transmis au Gouvernement en conseil qui décide de la décharge

àdonner à la CNPD. La décision constatant la décharge accordée à la CNPD ainsi que les comptes annuels de la CNPD sont publiés au Journal officiel.

Le Gouvernement en conseil nomme un réviseur d'entreprises agréé sur proposition du collège de la CNPD. Le réviseur d'entreprises agréé a pour mission de vérifier et de certifier les comptes annuels de la CNPD. Le réviseur d'entreprises agréé est nommé pour une période de 3 ans renouvelable. Il peut être chargé par le collège de la CNPD de procéder à des vérifications spécifiques. Sa rémunération est à la charge de la CNPD.

Art. 47.

La CNPD bénéficie d’une dotation d’un montant à déterminer sur une base annuelle et à inscrire au budget de l’État.

Sans préjudice de l’article 11, la CNPD peut imposer des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation en vertu de l’article 58, paragraphe 3, lettres e), f), h) et j) du règlement (UE) 2016/679. Un règlement de la CNPD détermine le montant et les modalités de paiement des redevances.

Section XI - Sanctions

Art. 48.

(1)La CNPD peut imposer les amendes administratives telles que prévues à l’article 83 du règlement (UE) 2016/679, sauf à l’encontre de l’État ou des communes.

(2)Dans le cadre d’une violation de l’article 10 du règlement (UE) 2016/679 par une personne physique ou une personne morale de droit privé ou de droit public, à l’exception de l’État ou des communes, la CNPD peut imposer les amendes administratives prévues à l’article 83, paragraphe 4, du règlement (UE) 2016/679.

A 686 - 9

Art. 49.

(1)La CNPD peut, par voie de décision, infliger au responsable de traitement ou sous-traitant, à l’exception de l’État et des communes, des astreintes jusqu’à concurrence de 5 pour cent du chiffre d’affaires journalier moyen réalisé au cours de l’exercice social précédent, ou au cours du dernier exercice social clos, par jour de retard à compter de la date qu’il fixe dans sa décision, pour le contraindre :

1° à communiquer toute information que la CNPD a demandée en application de l’article 58, paragraphe 1er, lettre a) du règlement (UE) 2016/679 ;

2° à respecter une mesure correctrice que la CNPD a adoptée en vertu de l’article 58, paragraphe 2, lettres c), d), e), f), g), h) et j) du règlement (UE) 2016/679.

Pour les besoins de l’application du présent paragraphe, les agents de l’Administration de l’enregistrement et des domaines sont tenus de communiquer à la CNPD tous renseignements qu’ils détiennent et qui sont nécessaires à la fixation des astreintes.

(2)Lorsque les responsables de traitement ont satisfait à l’obligation pour l’exécution de laquelle l’astreinte a été infligée, la CNPD peut fixer le montant définitif de celle-ci à un chiffre inférieur à celui qui résulte de la décision initiale.

Art. 50.

Le recouvrement des amendes ou astreintes est confié à l’Administration de l’enregistrement et des domaines. Il se fait comme en matière d’enregistrement.

Art. 51.

Quiconque empêche ou entrave sciemment, de quelque manière que ce soit, l’accomplissement des missions incombant à la CNPD, est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125 000 euros ou d’une de ces peines seulement.

Art. 52.

La CNPD peut ordonner, aux frais de la personne sanctionnée, la publication intégrale ou par extraits de ses décisions à l’exception des décisions relatives au prononcé d’astreintes, et sous réserve que :

1° les voies de recours contre la décision sont épuisées ; et

2° la publication ne risque pas de causer un préjudice disproportionné aux parties en cause.

Section XII - Prescriptions

Art. 53.

(1)Les pouvoirs conférés à la CNPD en vertu de l’article 58 du règlement (UE) 2016/679 et des articles 14, 48, 49 et 52 de la présente loi sont soumis au délai de prescription de cinq ans.

(2)La prescription court à compter du jour où la violation du règlement (UE) 2016/679, de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et de la présente loi a pris fin.

(3)La prescription est interrompue par tout acte de la CNPD. L’interruption de la prescription prend effet le jour où l’acte est notifié au responsable de traitement ou sous-traitant ayant participé au traitement.

(4)La prescription court à nouveau à partir de chaque interruption. Toutefois, la prescription est acquise au plus tard le jour où un délai égal au double du délai de prescription arrive à expiration sans que la CNPD ait prononcé une amende ou une astreinte. Ce délai est prorogé de la période pendant laquelle la prescription est suspendue conformément au paragraphe 5.

(5)La prescription est suspendue aussi longtemps que la décision de la CNPD fait l’objet d’une procédure pendante devant le Tribunal administratif.

A 686 - 10

Art. 54.

(1)Les amendes et les astreintes prononcées en application des articles 48 et 49 se prescriront par cinq années révolues.

(2)La prescription court à compter du jour où la décision est devenue définitive.

(3)La prescription de l’exécution de la décision est interrompue :

1° par la notification d’une décision modifiant le montant initial de l’amende ou de l’astreinte ou rejetant une demande tendant à obtenir une telle modification ;

2° par tout acte de l’Administration de l’enregistrement et des domaines visant au recouvrement forcé de l’amende ou de l’astreinte.

(4)La prescription court à nouveau à partir de chaque interruption.

(5)La prescription de l’exécution de la décision est suspendue :

1° aussi longtemps qu’un délai de paiement est accordé ;

2° aussi longtemps que l’exécution forcée du paiement est suspendue en vertu d’une décision juridictionnelle.

Section XIII - Recours contre les décisions de la CNPD

Art. 55.

Un recours contre les décisions de la CNPD prises en application de la présente loi est ouvert devant le Tribunal administratif qui statue comme juge du fond.

Chapitre 3 - Commissariat du Gouvernement à la protection des données auprès de l’État

Art. 56.

Il est créé une administration dénommée « Commissariat du Gouvernement à la protection des données auprès de l’État », désignée ci-après par le terme « Commissariat ».

Le Commissariat est placé sous l’autorité du Premier Ministre, Ministre d’État.

Art. 57.

Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents désignent un ou plusieurs délégués à la protection des données.

Les ministres du ressort ou, sous leur autorité, les chefs d’administration compétents, peuvent désigner le Commissariat comme leur délégué à la protection des données.

La désignation est notifiée au Commissariat.

Art. 58.

Le Commissariat peut également assurer la fonction de délégué à la protection des données pour les communes.

Les collèges des bourgmestre et échevins peuvent désigner le Commissariat comme leur délégué à la protection des données.

La désignation est notifiée au Commissariat.

Art. 59.

Le Commissariat a pour mission :

1° de développer la protection des données à caractère personnel au sein de l’administration étatique ;

2° de promouvoir les bonnes pratiques à travers l’administration étatique et de stimuler la sensibilisation des agents ;

3° de contribuer à une mise en œuvre cohérente des politiques dans ce domaine :

A 686 - 11

a)en proposant au Gouvernement un programme de gestion de la conformité des activités de traitement de données des entités de l’administration étatique avec la législation applicable, en guidant et accompagnant les chefs d’administration compétents dans la mise en place des mesures appropriées, de procédures et lignes de conduite pour les agents de l’État ;

b)en assistant les délégués à la protection des données de l’administration étatique ;

c)en conseillant, sur demande, les membres du Gouvernement ;

4° d’assurer, en cas d’application de l’article 57, alinéa 2, la fonction de délégué à la protection des données telle que définie à l’article 38 du règlement (UE) 2016/679 avec les missions décrites à l’article 39 du règlement (UE) 2016/679 ;

5° de collaborer étroitement avec le ministre ayant la Protection des données dans ses attributions.

Art. 60.

Le Commissariat est dirigé par un commissaire du Gouvernement à la protection des données auprès de l’État. Le commissaire peut être assisté d’un commissaire adjoint.

Art. 61.

(1)Le cadre du personnel comprend un commissaire du Gouvernement, un commissaire du Gouvernement adjoint à la protection des données auprès de l’État nommés par le Grand-Duc sur proposition du Gouvernement en conseil, ainsi que des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État.

(2)Ce cadre peut être complété par des fonctionnaires stagiaires, des employés et salariés de l’État suivant les besoins du service et dans la limite des crédits budgétaires.

(3)Les candidats aux fonctions de commissaire du Gouvernement à la protection des données auprès de l’État ou de commissaire du Gouvernement adjoint doivent disposer de connaissances spécialisées de la législation et des pratiques de protection des données et remplir les conditions d’admission au groupe de traitement A1.

Titre II - Dispositions spécifiques selon le règlement (UE) 2016/679

Chapitre 1er - Traitement et liberté d’expression et d’information

Art. 62.

Le traitement mis en œuvre aux seules fins de journalisme ou d’expression universitaire, artistique ou littéraire n’est pas soumis :

1° a) à la prohibition de traiter les catégories particulières de données telle que prévue à l’article 9, paragraphe 1er, du règlement (UE) 2016/679 ;

b)aux limitations concernant le traitement de données judiciaires prévues à l’article 10 du règlement (UE) 2016/679 ;

lorsque le traitement se rapporte à des données rendues manifestement publiques par la personne concernée ou à des données qui sont en rapport direct avec la vie publique de la personne concernée ou avec le fait dans lequel elle est impliquée de façon volontaire ;

2° au chapitre V relatif aux transferts vers des pays tiers ou à des organisations internationales du règlement (UE) 2016/679 ;

3° à l’obligation d’information de l’article 13 du règlement (UE) 2016/679, lorsque son application compromettrait la collecte des données auprès de la personne concernée ;

4° à l’obligation d’information de l’article 14 du règlement (UE) 2016/679, lorsque son application compromettrait soit la collecte des données, soit une publication en projet, soit la mise à disposition du public, de quelque manière que ce soit de ces données ou fournirait des indications permettant d’identifier les sources d’information ;

5° au droit d’accès de la personne concernée qui est différé et limité en ce qu’il ne peut pas porter sur des informations relatives à l’origine des données et qui permettraient d’identifier une source. Sous cette

A 686 - 12

réserve l’accès doit être exercé par l’intermédiaire de la CNPD en présence du président du Conseil de presse ou de son représentant, ou le président du Conseil de presse dûment appelé.

Chapitre 2 - Traitement à des fins de recherche scientifique ou historique ou à des fins statistiques

Art. 63.

Lorsque les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique, ou à des fins statistiques, le responsable du traitement peut déroger aux droits de la personne concernée prévus aux articles 15, 16, 18 et 21 du règlement (UE) 2016/679 dans la mesure où ces droits risquent de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques, sous réserve de mettre en place des mesures appropriées telles que visées à l’article 65.

Art. 64.

Le traitement de catégories particulières de données à caractère personnel telles que définies à l’article 9, paragraphe 1er du règlement (UE) 2016/679, peut être mis en œuvre pour les finalités prévues à l’article 9, paragraphe 2, point j) de ce même règlement, si le responsable de traitement remplit les conditions de l’article 65.

Art. 65.

Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable d’un traitement mis en œuvre à des fins de recherche scientifique ou historique, ou à des fins statistiques, doit mettre en œuvre les mesures appropriées additionnelles suivantes :

1° la désignation d’un délégué à la protection des données ;

2° la réalisation d’une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ;

3° l’anonymisation, la pseudonymisation au sens de l’article 4, paragraphe 5, du règlement (UE) 2016/679 ou d’autres mesures de séparation fonctionnelle garantissant que les données collectées à des fins de recherche scientifique ou historique, ou à des fins statistiques, ne puissent être utilisées pour prendre des décisions ou des actions à l’égard des personnes concernées ;

4° le recours à un tiers de confiance fonctionnellement indépendant du responsable du traitement pour l’anonymisation ou la pseudonymisation des données ;

5° le chiffrement des données à caractère personnel en transit et au repos, ainsi qu’une gestion des clés conformes à l’état de l’art ;

6° l’utilisation de technologies renforçant la protection de la vie privée des personnes concernées ;

7° la mise en place de restrictions de l’accès aux données à caractère personnel au sein du responsable du traitement ;

8° des fichiers de journalisation qui permettent d’établir le motif, la date et l’heure de la consultation et l’identification de la personne qui a collecté, modifié ou supprimé les données à caractère personnel ;

9° la sensibilisation du personnel participant au traitement des données à caractère personnel et au secret professionnel ;

10° l’évaluation régulière de l’efficacité des mesures techniques et organisationnelles mises en place à travers un audit indépendant ;

11° l’établissement au préalable d’un plan de gestion des données ;

12° l’adoption de codes de conduite sectoriels tels que prévus à l’article 40 du règlement (UE) 2016/679 approuvés par la Commission européenne en vertu de l’article 40, paragraphe 9, du règlement (UE) 2016/679.

Le responsable de traitement doit documenter et justifier pour chaque projet à des fins de recherche scientifique ou historique ou à des fins statistiques l’exclusion, le cas échéant, d’une ou plusieurs des mesures énumérées à cet article.

A 686 - 13

Chapitre 3 - Traitement de catégories particulières de données à caractère personnel

Art. 66.

Le traitement de données génétiques aux fins de l’exercice des droits propres au responsable du traitement en matière de droit du travail et d’assurance est interdit.

Chapitre 4 - Obligations de secret

Art. 67.

(1)Les pouvoirs d’accès de la CNPD tels que prévus à l’article 58, paragraphe 1er, lettres e) et f) du règlement (UE) 2016/679 doivent être exercés auprès ou à l’égard d’un avocat conformément aux règles prévues à l’article 35, paragraphe 3, de la loi modifiée du 10 août 1991 sur la profession d’avocat.

(2)Les pouvoirs d’accès de la CNPD tels que prévus à l’article 58, paragraphe 1er, lettre e) du règlement (UE) 2016/679 doivent être exercés auprès ou à l’égard d’un notaire conformément aux règles prévues à l’article 41 de la loi modifiée du 9 décembre 1976 relative à l´organisation du notariat.

(3)Les pouvoirs d’accès de la CNPD tels que prévus à l’article 58, paragraphe 1er, lettres e) et f) du règlement (UE) 2016/679 doivent être exercés auprès ou à l’égard d’un professionnel visé par la loi modifiée du 23 juillet 2016 relative à la profession de l’audit, conformément à l’article 28, paragraphe 8, de cette loi.

(4)Conformément à l’article 90, paragraphe 2 du règlement (UE) 2016/679, les règles prévues aux paragraphes 1er, 2 et 3 ne sont applicables qu'aux données à caractère personnel que l’avocat, le notaire ou le professionnel visé par la loi modifiée du 23 juillet 2016 relative à la profession de l’audit a reçues ou a obtenues dans le cadre d'une activité couverte par son secret professionnel.

Titre III - Dispositions modificatives, abrogatoire, transitoires et finales

Chapitre 1er - Dispositions modificatives

Art. 68.

Toute référence à la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel est remplacée par une référence au règlement (UE) 2016/679, à la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale et la présente loi.

Art. 69.

La loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État est complétée comme suit :

(1)L’article 12 est modifié comme suit :

(a)Au paragraphe 1er, point 8° la mention « de membre effectif de la Commission nationale pour la protection des données » est supprimée et les termes « de commissaire du Gouvernement adjoint à la protection des données auprès de l’État, » sont ajoutés après les termes « de commissaire du Gouvernement adjoint du commissariat chargé de l’instruction disciplinaire, » ;

(b)Au paragraphe 1er, point 9° la mention de « et de commissaire du Gouvernement à la protection des données auprès de l’État » est ajoutée après celle de « commissaire du Gouvernement chargé de l’instruction disciplinaire » ;

(c)Au paragraphe 1er, point 16° la mention « président de la Commission nationale pour la protection des données » est remplacée par « commissaire à la protection des données » ;

(d)Au paragraphe 1er, point 23° la mention « , de président de la Commission nationale pour la protection des données » est ajoutée après « de président de l’association d’assurance contre les accidents » .

(2)L’article 16, paragraphe 3, lettre g), est supprimé.

(3)L’annexe A - Classification des fonctions - est modifiée comme suit :

(a)au grade 16, la fonction de « membre effectif de la Commission nationale pour la protection des données » est supprimée et la fonction de « commissaire du Gouvernement adjoint à la protection

A 686 - 14

des données auprès de l’État, » est ajoutée après celle de « commissaire du Gouvernement adjoint du commissariat du Gouvernement chargé de l’instruction disciplinaire, » ;

(b)au grade 17, la fonction de « président de la Commission nationale pour la protection des données » est remplacée par « commissaires à la protection des données » et la fonction de « commissaire du Gouvernement à la protection des données auprès de l’État, » est ajoutée après celle de « commissaire du Gouvernement chargé de l’instruction disciplinaire, » ;

(c)au grade 18, la fonction de « président de la Commission nationale pour la protection des données » est ajoutée.

les dispositions prévues aux articles L.211-8, L.414-9 et L.423-1 s’appliquent, sauf lorsque le traitement répond à une obligation légale ou réglementaire.

(4)Pour les projets des traitements visés au paragraphe 1er, la délégation du personnel, ou à défaut, les salariés concernés, peuvent, dans les quinze jours suivant l’information préalable, soumettre une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié dans le cadre des relations de travail à la Commission nationale pour la protection des données, qui doit rendre son avis dans le mois de la saisine. Cette demande a un effet suspensif pendant ce délai.

(5)Les salariés concernés ont le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données. Une telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement.

»

Chapitre 2 - Disposition abrogatoire

Art. 72.

La loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est abrogée.

Chapitre 3 - Dispositions transitoires

Art. 73.

La CNPD continue la personnalité juridique, y compris le personnel et les engagements juridiques, de la Commission nationale pour la protection des données telle que créée par la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

Art. 74.

La durée du mandat des membres du collège et des membres suppléants, nommés avant l’entrée en vigueur de la présente loi, est calculée à partir de la date de nomination de leur mandat en cours lors de l’entrée en vigueur de la présente loi.

Art. 75.

Les membres du collège, nommés avant l’entrée en vigueur de la présente loi, sont classés dans le nouveau grade au même numéro d’échelon, diminué d’un échelon ou, à défaut d’un tel échelon, au dernier échelon du grade auquel ils ont été reclassés, sans préjudice du report de l’ancienneté d’échelon acquise sous l’ancienne législation.

Art. 76.

En cas de non-renouvellement ou de révocation d’un mandat d’un membre du collège, nommé pour la première fois avant l’entrée en vigueur de la présente loi, celui-ci devient conseiller général auprès de la CNPD avec maintien de son statut et de son niveau de rémunération de base, à savoir le grade 17 pour le président et le grade 16 pour les deux autres membres, à l’exception des indemnités spéciales attachées

àsa fonction antérieure. Il peut faire l’objet d’un changement d’administration dans une administration ou dans un autre établissement public, conformément à l’article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires de l’État.

A 686 - 16

Chapitre 4 - Intitulé de citation

Art. 77.

La référence à la présente loi peut se faire sous une forme abrégée en recourant à l’intitulé suivant : « Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ».

Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.

Pour le Ministre des Communications	Cabasson, le 1er août 2018.
et des Médias,	Henri
le Ministre de l’Agriculture, de la Viticulture
et de la Protection des Consommateurs,
Fernand Etgen

Doc. parl. 7184 ; sess. ord. 2016-2017 et 2017-2018.

A 686 - 17