cnpd_2013_fr

Rapport annuel 2013

1Rapport annuel 2013

Table des matires

2

La Commission nationale pour la protection des donnes (CNPD) est une autorit indpendante institue par la loi du 2 aot 2002 relative la protection des personnes l'gard du traitement des donnes caractre personnel.

Elle est charge de veiller lapplication des lois qui protgent les liberts et droits fondamentaux des personnes physiques, notamment leur vie prive et leurs donnes caractre personnel.

Sa mission consiste galement assurer le respect des dispositions de la loi modifie du 30 mai 2005 sur la protection de la vie prive dans le secteur des communications lectroniques.

Superviser et assurer la transparence par :

U Lexamen pralable des traitements soumis autorisation ;

U La publicit ralise au moyen du registre des traitements notifis ;

U Les investigations suite des plaintes ou de sa propre initiative ;

U Lintervention suite des violations de donnes dans le secteur des communications lectroniques.

Informer et guider travers :

U La sensibilisation du public aux risques potentiels ;

U Les renseignements concernant les droits des citoyens et les obligations des responsables des traitements de donnes ;

U Lexplication des rgles lgales.

Conseiller et cooprer travers :

U Les avis relatifs aux projets de loi et aux mesures rglementaires ou administratives concernant le traitement de donnes personnelles ;

U Les suggestions et recommandations adresses au gouvernement, notamment au sujet des consquences de lvolution des technologies ;

U Lapprobation de codes de conduite sectoriels, la promotion des bonnes pratiques et la publication de lignes dorientations thmatiques.

Mission

31 Avant-propos 8

2 Les activits en 2013 12

2.1 Supervision de lapplication de la loi 14 2.1.1 Formalits pralables 14 2.1.2 Transferts de donnes hors Union europenne 17 2.1.3 Les chargs de la protection des donnes 19 2.1.4 Demandes de vrification de licit et plaintes 20 2.1.5 Contrles et investigations 25 2.1.6 Secteur des communications lectroniques 28

2.2 Avis et recommandations 30 2.2.1 Le statut, les modalits de dsignation 31 et les attributions du mdecin-coordinateur 2.2.2 Projet de loi n6394 portant approbation de diffrents 33 accords en matire de coopration transfrontalire 2.2.3 La rforme de la lgislation sur la fonction publique 34 2.2.4 Lorganisation du Service de Renseignement de lEtat 35 2.2.5 La rforme de lexcution des peines 37 et de ladministration pnitentiaire 2.2.6 Rglementation de laccs aux professions dartisan, 39 de commerant, dindustriel ainsi qu certaines professions librales 2.2.7 Echange transfrontalier dinformations sur les infractions 40 en matire de scurit routire 2.2.8 Organisation du centre socio-ducatif de lEtat 41 2.2.9 Modalits du comptage de lnergie lectrique 42 et du gaz naturel 2.2.10 Rglement interne du Registre National du Cancer 43

2.3 Information du public 45 2.3.1 Actions de sensibilisation du public 45 2.3.2 Reflets de lactivit de la Commission nationale 46 dans la presse 2.3.3 Outil de communication : le site Internet 47 2.3.4 Formations et confrences 47

2.4 Conseil et guidance 50 2.4.1 Concertation avec les organisations reprsentatives 50 sectorielles, les principaux acteurs conomiques, lEtat et les organismes publics 2.4.2 Demandes de renseignements 51

2.5 Recherche 53

Table des matires

4

7 Annexes Avis et dcisionsU Avis concernant le projet de rglement grand-ducal relatif au statut,

aux modalits de dsignation et aux attributions du mdecin-coordinateur

(Dlibration n28/2013 du 7 fvrier 2013)

U Avis relatif au projet de loi n6394 portant approbation : de lAccord entre le Gouvernement du Grand-Duch de Luxembourg, le Gouvernement du Royaume de Belgique, le Gouvernement de la Rpublique fdrale dAllemagne et le Gouvernement de la

94

2.6 Participation aux travaux europens 53 2.6.1 Le groupe Article 29 54 2.6.2 Comit consultatif de la Convention 108 64 du Conseil de lEurope (T-PD) 2.6.3 Le Groupe de Berlin 65 2.6.4 Le sminaire europen Case Handling Workshop 68 2.6.5 Confrence Internationale des commissaires 68 la protection des donnes 2.6.6 Confrence de printemps des autorits europennes 69 la protection des donnes 2.6.7 Confrence de lAssociation francophone des autorits 70 la protection des donnes 2.6.8 Rvision des lignes directrices de l'OCDE 70 sur la vie prive 2.6.9 La CNPD devient membre du Global Privacy 71 Enforcement Network (GPEN)

3 Les temps forts de 2013 72 3.1 Confrence de M. Dean Spielmann loccasion 72 des 10 ans de la CNPD 3.2 Validation de la charte BCR du groupe ArcelorMittal 77 3.3 LAFCDP s'adresse aux chargs de la protection des donnes 78 3.4 Analyse dtaille du contrat des services de Microsoft 80 3.5 Privacy Impact Assessment : accompagnement du GIE 80 Luxmetering dans la mise en place des compteurs intelligents 3.6 Prospection lectorale et protection des donnes 82

4 Perspectives 84

5 Ressources, structures et fonctionnement 88 5.1 Rapport de gestion relatif aux comptes de lexercice 2013 88 5.2 Personnel et services 90 5.3 Organigramme de la Commission nationale 91

6 La Commission nationale en chiffres 92

5Rpublique franaise, concernant la mise en place et lexploitation dun centre commun de coopration policire et douanire dans la zone frontalire commune, sign Luxembourg, le 24 octobre 2008 ; de lAccord entre le Gouvernement du Grand-Duch de Luxembourg et le Gouvernement de la Rpublique franaise relatif la coopration dans leurs zones frontalires entre les autorits de police et les autorits douanires, sign Luxembourg, le 15 octobre 2001

(Dlibration n178/2013 du 19 avril 2013)

U Avis au sujet des projets de loi relatifs la rforme dans la Fonction Publique en particulier des dispositions ayant trait la protection des donnes comprises dans le projet de loi n6457 (Dlibration n265/2013 du 14 juin 2013)

U Avis relatif lavant-projet de rglement grand-ducal pris en

excution de larticle 4 de la loi modifie du 15 juin 2004 portant organisation du Service de Renseignement de lEtat et lavant-projet de rglement grand-ducal pris en excution de larticle 23 de la loi du 15 juin 2004 relative la classification des pices et aux habilitations de scurit

(Dlibration n274/2013 du 28 juin 2013)

U Avis relatif au projet de loi n6381 portant rforme de l'excution des peines, au projet de loi n6382 portant rforme de l'administration pnitentiaire et au projet de rglement grand-ducal portant organisation des rgimes internes des tablissements pnitentiaires (Dlibration n302/2013 du 5 juillet 2013)

U Avis relatif l'avant-projet de rglement grand-ducal portant

cration des traitements de donnes caractre personnel ncessaires l'excution de l'article 32 de la loi du 2 septembre 2011 rglementant l'accs aux professions d'artisan, de commerant, d'industriel ainsi qu' certaines professions librales (Dlibration n345/2013 du 12 juillet 2013)

U Avis relatif au projet de loi n6566 facilitant lchange transfrontalier dinformations concernant les infractions en matire de scurit routire

(Dlibration n385/2013 du 25 juillet 2013)

U Avis relatif au projet de loi n6593 portant modification de la loi du 16 juin 2004 portant rorganisation du centre socio-ducatif de l'Etat et de diverses autres lois et au projet de rglement grand-ducal portant organisation de lunit de scurit du centre socio-ducatif de lEtat

(Dlibration n385/2013 du 25 juillet 2013)

99

101

105

113

117

121

125

Table des matires

6

U Avis relatif au projet de rglement grand-ducal relatif aux modalits du comptage de lnergie lectrique et du gaz naturel (Dlibration n566/2013 du 13 dcembre 2013)

U Avis relatif au rglement interne du Registre National du Cancer (Dlibration n606/2013 du 23 dcembre 2013)

Participations aux travaux internationauxU Documents adopts par le groupe de travail europen Article 29

en 2013

U Groupe de travail europen Article 29 : Document de travail 02/2013 nonant des lignes directrices sur le recueil du consentement pour le dpt de cookies

U Groupe de travail europen Article 29 : Avis 01/2013 apportant une contribution supplmentaire aux discussions sur la proposition de directive relative la protection des donnes traites dans les domaines de la police et de la justice pnale

U International Working Group on Data Protection in Telecommunica-tions: Working Paper on Privacy and Aerial Surveillance

U International Working Group Data Protection in Telecommunications: Working Paper on the Human Right to Telecommunications Secrecy

U International Working Group Data Protection in Telecommunications: Working Paper on Web Tracking and Privacy

DiscoursU La protection des donnes dans la jurisprudence de la Cour

europenne des droits de lhomme - Discours du Prsident Dean Spielmann (Cour europenne des droits de lhomme) prononc lors de la clbration du 10e anniversaire de la Commission nationale pour la protection des donnes Esch/Belval le 28 janvier 2013

130

135

140

141

147

154

159

160

169

1 Avant-propos

8

Au cours des dernires annes,la sensibilit des citoyens europens aux questions de protection des donnes sest nettement accrue : 74% des Europens considrent que la communication dinformations personnelles prend une part de plus en plus grande dans la vie moderne. Le Luxembourg nest pas une exception. Cette volution se manifeste non seulement dans les travaux de la CNPD, mais se retrouve aussi au

niveau du gouvernement et de lopinion publique.

Laugmentation considrable des plaintes (+33% par rapport 2012) et des demandes de renseignement (+22% par rapport 2012) adresses la CNPD tmoigne de lintrt croissant des citoyens pour la protection de leur sphre prive. Les nombreuses runions avec les acteurs des secteurs priv et public refltent leur besoin dtre accompagns

Le collge :Pierre WEIMERSKIRCH, Grard LOMMEL, Thierry LALLEMANG

9dans leurs dmarches de mise en conformit.

Les questions relatives la protection de la vie prive sont voques de manire dtaille dans le programme gouvernemental. Le phnomne du Big Data , la conservation des donnes ( Vorratsdatenspeicherung ), E-Sant et le dossier de soins partag, le cloud computing ou encore la cyber security y ont t abords. Lavis de la CNPD est par ailleurs de plus en plus demand dans le contexte des projets de loi ou mesures rglementaires. En 2013, elle a notamment pris position par rapport aux sujets suivants : lorganisation du Service de Renseignement de lEtat, le statut, les modalits de dsignation et les attributions du mdecin-coordinateur, la rforme de la fonction publique, la rforme de lexcution des peines et de ladministration pnitentiaire, lchange transfrontalier dinformations concernant les infractions en matire de scurit routire et le registre national du cancer.

Au niveau europen, la directive 1995/46/CE sur la protection des donnes est en cours de rvision depuis janvier 2012 : il sagit de confrer au cadre juridique europen leffectivit ncessaire et de tenir compte de lmergence des

nouvelles technologies et de la globalisation, qui ont modifi en profondeur la manire dont les donnes sont collectes et utilises. Mme si les dispositions du projet de rglement europen, qui remplacera cette directive, subiront encore certaines modifications plus ou moins profondes, les points centraux de la rforme ne manqueront pas dexiger de la part de tous les acteurs un effort dadaptation non ngligeable face la nouvelle approche moins bureaucratique, mais plus exigeante pour tous les acteurs.

Ceci vaut tant pour les entreprises et organisations du secteur priv que pour les organismes publics, qui devraient se prparer au cours des deux prochaines annes cette conduite prventive et responsable qu'on attend dornavant des data controllers et que ces derniers doivent adopter lgard des donnes caractre personnel quils collectent, sauvegardent dans des fichiers, utilisent et transmettent le cas chant des tiers.

Accountability signifiera pour eux bien davantage que de sacquitter des formalits dclaratives et de respecter leurs obligations lgales ainsi que les restrictions prvues le cas chant dans les autorisations mises par la CNPD pour les traitements susceptibles dengendrer des risques particuliers.

Le fait de devoir fournir la preuve que les mesures requises en interne pour assurer le respect des droits des individus dont ils traitent les donnes dans une optique de Privacy by design ont t prises, ncessitera une mthodologie danalyse et dvaluation des risques et une comptence didentification des solutions reconnues conformes aux exigences de la protection des donnes, dont lexprience manque encore largement aux acteurs.

Pouvoir les conseiller et les orienter dans cette dlicate dmarche est ce quils demanderont lgitimement lautorit de surveillance. Cest donc un dveloppement de lactivit de guidance que notre quipe entend se prparer dans les prochains mois, tout comme lextension de sa capacit dinvestigation et de contrle.

Les outils et mcanismes innovateurs qui seront introduits par le futur rglement europen (PIA, codes de conduite sectoriels, BCR, certificats de conformit etc.) accompagneront lvolution vers un comportement autoresponsabe des acteurs.

Cest dans une optique danticipation de la future approche lgale que la CNPD a dcid daccompagner lanalyse des enjeux de protection de

110

Avant-propos

la vie prive face aux futurs compteurs dnergie intelligents ( smart metering ) travers un dialogue avec les responsables des ministres comptents, fournisseurs et exploitants de rseau (gaz et lectricit). Un exercice semblable sera men en collaboration avec lagence eSant au sujet du futur dossier lectronique (dossier de soins partag) du patient, en collaboration avec le Ministre de la Sant et la CNS.

Le facteur dcisif de progrs rsidera nanmoins dans le dveloppement dune culture de la protection des donnes au sein mme des entreprises et organisations prives ainsi que des organismes publics. Un rle prpondrant reviendra cet gard aux dirigeants et aux juristes, compliance officer , responsables des systmes informatiques et technologies de communication et aux consultants et avocats qui les conseillent.

A cet gard la Commission nationale se flicite particulirement de la constitution fin 2013 de lAssociation pour la protection des donnes au Luxembourg et du succs rencontr par ses premires activits. Comme les chargs de la protection des donnes, ces professionnels aviss joueront un rle indispensable pour permettre aux organisations de se prparer

satisfaire aux attentes de la future lgislation.

La confiance des utilisateurs sen trouvera renforce et reprsentera un atout de comptitivit non ngligeable pour des secteurs de pointe de notre conomie.

La nouvelle approche rgulatrice apportera aussi son lot de transformations dans lactivit de la CNPD qui est consciente quelle devra tre la hauteur de lattente des citoyens et ne devra pas mnager ses efforts dinformation du public au sujet des rgles de la protection des donnes. Un rapport rcent de lAgence des droits fondamentaux de lUnion europenne encourage la Commission miser sur un renforcement du rle des autorits de contrle, une clarification des droits individuels et une facilitation des voies de recours pour permettre aux citoyens dinvoquer et, si ncessaire, de faire respecter leurs droits fondamentaux de protection des donnes.

La modernisation du cadrelgal vient point nomm pour que ces droits ne soient pas perus comme purement thoriques et inadapts lre numrique et notre vie connecte, laube de lInternet des objets et du Big Data. Russir la modernisation de la protection des donnes est essentiel pour

11

le futur march unique du numrique, pour la comptitivit et la capacit dinnovation des entreprises europennes. Elle devra rtablir la confiance du public branle par PRISM et les nouvelles rptes concernant des pannes de scurit et daccs aux donnes personnelles linsu ou contre la volont des concerns.

Luxembourg, le 25 avril 2014

La Commission nationale pour la protection des donnes

Grard LommelPrsident Pierre WeimerskirchMembre effectif Thierry LallemangMembre effectif

Le Fonds Belval

Le sige de la CNPD Belval

2 Les activits en 2013

12

Lanne 2013en un coup dil

Janvier28 - La CNPD participe la Journe de la protection des donnes et fte son 10e anniversaire avec une confrence de M. Dean Spielmann, Prsident de la Cour Europenne des Droits de l'Homme

Fvrier1 - La CNPD valide la charte BCR du groupe ArcelorMittal en tant quautorit chef de file7 - La CNPD met son avis sur le projet de rglement grand-ducal relatif au statut, aux modalits de dsignation et aux attributions du mdecin-coordinateur7 - La CNPD participe la table ronde Wi ass meng Foto hei geland? dans le cadre du Safer Internet Day

Mars12 - Les chargs de la protection des donnes se runissent Luxembourg loccasion dune confrence de lAFCDP

Avril19 - La CNPD met son avis sur le projet de loi n6394 portant approbation de diffrents accords en matire de coopration transfrontalire 25 - La CNPD intervient la confrence ISACA avec le thme Accountability for Data Protection

Mai16-17 - La CNPD participe la confrence de printemps

des autorits europennes la protection des donnes Lisbonne

Juin14 - La CNPD met son avis au sujet des projets de loi relatifs aux rformes dans la fonction publique28 - La CNPD se prononce sur lorganisation du Service de Renseignement de lEtat

Juillet5 - La CNPD met son avis sur le projet de loi n6381 portant rforme de lexcution des peines et sur le projet de loi n6382 portant rforme de ladministration pnitentiaire11 - L'OCDE prsente une version rvise de ses lignes directrices sur la protection de la vie prive et les flux transfrontires de donnes caractre personnel12 - La CNPD met son avis sur laccs aux professions dartisan, de commerant, dindustriel ainsi qu certaines professions librales26 - La CNPD met son avis sur le projet de loi n6566 sur lchange transfrontalier dinformations concernant les infractions en matire de scurit routire dans lequel elle appelle une transposition adquate de la dcision-cadre 2008/977/JAI relative la protection des donnes traites dans le cadre de la coopration policire et judiciaire en matire pnale26 - La CNPD met son avis sur la rorganisation du centre socio-ducatif de lEtat et sur lorganisation de lunit de scurit du centre en question

13

DELIBERATIONS

606Dlibrations adoptes(+63% par rapport 2012)

10Avis relatifs des projets ou propositions de loi ou mesures rglementaires

20Agrments pour les chargs de la protection des donnes

FORMALITES PREALABLES

1072Notifications reues

833Demandes dautorisation

6559Dclarants (depuis 2002)

DEMANDES DE RENSEIGNEMENT

2077Demandes(+22% par rapport 2012)

PLAINTES ET INVESTIGATIONS

177Plaintes (+33% par rapport 2012)

26Investigations

VIOLATIONS DE DONNEES (COMMUNICATIONS ELECTRONIQUES)

1Notification

Aot11 - LUruguay devient le premier Etat non europen adhrer la Convention 108 pour la protection des donnes caractre personnel

Septembre11 - La CNPD participe une table ronde, organise par l'Universit du Luxembourg en coopration avec la Ville d'Esch, intitule Prism - lutte antiterroriste, sauvegarde de la sphre prive et protection des intrts conomiques sont-ils compatibles ?

19 - La CNPD participe la confrence Classification des banques de donnes de lEtat du Cyber Security Board23-26 - La CNPD participe la confrence internationale des commissaires la protection des donnes et de la vie prive Varsovie

Octobre2-3 - La CNPD participe au 25e Case Handling Workshop Sarajevo

Novembre18-21 - La CNPD participe

une formation sur la scurit de linformation dans la commune de Differdange, organise par CASES

Dcembre1 - La CNPD devient membre du Global Privacy Enforcement Network (GPEN)13 - La CNPD met son avis sur le projet de rglement grand-ducal relatif aux modalits de comptage de lnergie lectrique et du gaz naturel23 - La CNPD met son avis relatif au rglement interne du Registre National du Cancer


14

Le travail de la Commission nationale pendant lanne 2013 tait centr sur les activits suivantes :

U Le traitement des notifications et des autorisations pralables ;

U Lanalyse des plaintes et demandes de vrification de licit ;

U Les contrles et investigations ;U Les avis concernant les

projets de loi et mesures rglementaires ;

U Linformation et la sensibilisation du public ;

U Le conseil et la guidance des acteurs publics et privs ;

U Les activits internationales et en particulier la participation aux travaux sur le plan europen.

2.1.1 Formalits pralables

Le lgislateur luxembourgeois prvoit que tout traitement de donnes caractre personnel doit en principe tre notifi la Commission nationale. Les traitements les pluscourants sont exempts de dclaration, tandis que certains traitements plus sensibles requirent une autorisation pralable de la CNPD.

Le nombre total des traitements de donnes dclars depuis

2003 slve 20.713. En tout, 6.559 dclarants/responsables se sont ainsi conforms aux devoirs de dclaration imposs par la loi.

Le projet de rglement europen sur la protection des donnes, prsent par la Commission europenne le 25 janvier 2012, prvoit de simplifier certaines contraintes administratives, notamment en supprimant les obligations de notification pour les organismes qui traitent des donnes caractre personnel.

2.1.1.1 Les notifications pralables

Les traitements de donnes caractre personnel non exempts de dclaration et non soumis autorisation pralable doivent faire l'objet d'une notification pralable.

En 2013, 1.072 traitements ont t notifis la Commission nationale, ce qui reprsente une augmentation importante par rapport lanne prcdente. La raison principale de cette augmentation est le nombre important dengagementsformels de conformit quela CNPD a reus dans le contexte des lections sociales de 2013. Au total, elle en a reu 651.

En effet, la loi prvoit, ct des notifications ordinaires, une forme simplifie de notification ( notification unique ). Cette

2.1 Supervision de lapplication de la loi

15

notification unique se limite aux traitements dtermins par la Commission nationale par le biais de dcisions uniques . Lorsque les traitements en question correspondent en tous points aux conditions fixes dans les dcisions uniques affrentes, le responsable du traitement adresse la Commission nationale un engagement formel par lequel il dclare que le traitement est conforme la description figurant dans la dcision unique.

Par sa dcision 108/2007 du 14 septembre 2007, la Commission nationale a dfini les modalits des

traitements de donnes que les employeurs (chefs dentreprise, chefs dtablissement ou leurs dlgus) sont amens oprer dans le cadre de lorganisation et du droulement des lections des dlgus du personnel, des dlgations des jeunes travailleurs et des reprsentants du personnel dans les comits mixtes dentreprise et les conseils dadministration des socits anonymes.

Parmi les 421 notifications ordinaires, 75% proviennent dacteurs du secteur priv. Les finalits dclares le plus souvent dans ces notifications taient ladministration du personnel

et la gestion des ressources humaines. Dautres raisons cites pour traiter des donnes dans le cadre de notifications taient : la gestion de la clientle, la comptabilit, la gestion des fournisseurs ou encore la recherche scientifique.

2.1.1.2 Les autorisations pralables

Les traitements prsentant un risque particulier au regard de la vie prive des personnes concernes ne sont possibles que moyennant une autorisation de la Commission nationale.

Surveillance (87,5%)

Pour des finalits autres (1%)Interconnexion de fichiers (0,5%)

Crdit et solvabilit (2%)Donnes sensibles/gntiques (3,5%) Transferts de donnes pays tiers (5,5%)

Catgories des demandes d'autorisation

Quels sont les traitements soumis autorisation ?

Surveillance et surveillance

sur le lieu de travail

Traitement de donnes biomtriques (contrle de l'identit

de personnes)

Traitement de donnes gntiques (dans certains cas)

Interconnexion de donnes

Utilisation ultrieure de donnes pour d'autres objectifs

(p.ex. statistiques)

Traitements relatifs au crdit et la solvabilit de personnes

Cas spcifiques : transfert de donnes vers un pays hors UE ne prsentant pas un niveau de protection adquat


16

La CNPD a reu 833 demandes dautorisation en 2013 (contre 706 en 2012). Elle na jamais reu autant de demandes en une anne depuis sa cration.

Plus de 70% des demandes concernent lexploitation de camras de surveillance. Les demandes concernant la golocalisation de vhicules et de personnes continuent augmenter, tandis que celles concernant la surveillance des conversations tlphoniques et des outils restent un niveau constant.

En plus des demandes dautorisation, la Commission

nationale a reu 149 engagements formels de conformit en 2013. La loi prvoit une procdure allge d'autorisation ( autorisation unique ) pour certains traitements dtermins par la Commission nationale. Il s'agit actuellement de la surveillance lectronique des horaires et des accs. Pour pouvoir bnficier d'une telle autorisation, le responsable du traitement doit adresser un engagement formel par lequel il dclare que le traitement est conforme la description figurant dans la dcision unique de la Commission nationale.

Le registre public

La loi prescrit la tenue d'un registre public par la CNPD. Ce registre permet aux citoyens de vrifier si un responsable (entreprise, administration, etc.) a dclar ses traitements et sil est susceptible de dtenir des informations les concernant. Figurent dans ce registre :U les traitements notifis la CNPD,U les traitements autoriss par la CNPD, etU les traitements surveills par les chargs de la protection

des donnes figurant sur leurs relevs transmis la CNPD.

Ne figurent pas dans le registre public :U les traitements de donnes exempts de dclaration et U ceux qui, soumis autorisation pralable, n'ont pas t

autoriss.

17

2.1.2 Transferts de donnes hors

Union europenne

2.1.2.1 Autorisation en cas de transferts de donnes vers des pays tiers

En principe, il est interdit de transfrer des donnes caractre personnel vers des pays en dehors de lEspace conomique europen (Union europenne, Liechtenstein, Norvge et Islande) nassurant pas une protection adquate. Si une entreprise veut transfrer des donnes personnelles du Luxembourg vers un destinataire tabli en dehors de cette sphre de scurit (pays ayant transpos la directive 95/46/CE ou disposant dune lgislation propre reconnue adquate), elle devra demander une autorisation pralable la CNPD.

Mais, il existe trois exceptions ce principe :

- Safe Harbor : Les personnes physiques et morales tablies

aux Etats-Unis ayant adhr aux conditions des accords de la sphre de scurit conclus entre la Commission europenne et les autorits amricaines figurant sur la liste tenue par la Federal Trade Commission ;

- Les drogations lgales1 : consentement de la personne concerne, ncessit pour lexcution dun contrat conclu dans lintrt de la personne concerne, intrt public important ;

- Les accords conventionnels passs entre les exportateurs et destinataires des donnes ou autres mesures de protection qui constituent des garanties suffisantes. Aux termes de larticle 19 (3), il appartient la Commission nationale de vrifier si les sauvegardes et garanties sont suffisantes, ces dernires pouvant rsulter notamment de lapplication des clauses contractuelles types approuves par la Commission europenne.

En 2013, la Commission nationale a t saisie de 85 demandes dautorisation en vue

du transfert de donnes vers des pays tiers. Ce chiffre reprsente une nette augmentation par rapport lanne prcdente. La majorit des demandes manaient dentreprises du secteur financier. Les pays de destination taient le plus souvent les Etats-Unis et lInde.

En effet, de plus en plus dentreprises collaborent avec des partenaires commerciaux et offrent leurs produits et services sur des marchs lointains hors dEurope. Le dveloppement des changes commerciaux et la mondialisation ont entran un accroissement spectaculaire des transferts de donnes caractre personnel dans le cadre de projets de centralisation et d outsourcing de la gestion du personnel, de la clientle ou des fournisseurs, ainsi que dans le contexte de lexternalisation de leurs activits informatiques. 2.1.2.2 Approbation de

rgles dentreprise contraignantes

Les rgles dentreprise contraignantes ( Binding

1 Conditions numres larticle 19 (1) de la loi modifie du 2 aot 2002 et galement prvues dans la directive.

100

80

60

40

20

02006 2007 2008 2009 2010 2011 2012 2013

Tranferts vers des pays tiers


18

Corporate Rules ) constituent un outil susceptible dassurer une protection adquate des donnes caractre personnel lorsque celles-ci sont transfres ou traites en dehors de lUnion europenne. Les entreprises peuvent adopter ces rglesde leur propre initiative et les appliquer aux transferts de donnes entre les socits qui font partie dun mme groupe.

Elles reprsentent une alternative juridique intressante pour les

groupes de socits qui se voient amens transfrer rgulirement des donnes caractre personnel de leurs socits tablies sur le territoire de lUE vers dautres entits du groupe situes dans des pays tiers.

Les BCR prsentent de nombreux avantages pour un groupe dentreprises multinationales :

U Conformit avec la directive 95/46/CE ;

19

U Limitation des obligations administratives pour chaque transfert ;

U Uniformisation des pratiques relatives la protection des donnes au sein dun groupe ;

U Guide interne en matire de protection des donnes personnelles ;

U Moyen plus flexible et adapt la culture dentreprise ;

U Possibilit de placer la protection des donnes au rang de proccupation thique du groupe .

En 2013, la charte du groupe ArcelorMittal a t valide par les 25 autres autorits impliques des Etats membres o le groupe est implant2. La CNPD avait pass en revue de faon approfondie cette charte en tant qu'autorit chef de file ( lead authority ). En 2009, elle avait dj gagn de lexprience dans ce domaine en prenant le rle de chef de file dans lexamen de la charte BCR du groupe eBay. Actuellement, elle est en train danalyser la charte dun autre groupe international avec sige Luxembourg.

La Commission nationale a par ailleurs analys et approuv les rgles dentreprisecontraignantes concernant

19 groupes multinationaux lui soumises par dautres autorits de protection des donnes europennes.

2.1.3 Les chargs de la protection des donnes Tout responsable du traitement dispose de la facult de dsigner un charg de la protection des donnes. Avant la modification de la loi en 2007, il ntait pas possible de dsigner une personne salarie de lorganisme responsable du traitement, mais il fallait recourir un charg externe inscrit la liste des personnes agres par la CNPD afin dexercer cette fonction.

Depuis 2007, sur suggestion de la CNPD, les salaris peuvent galement tre dsigns comme chargs, condition que ces derniers bnficient dune certaine indpendance vis--vis des responsables du traitement qui les ont dsigns et quils disposent du temps appropri pour pouvoir sacquitter de leurs missions.

Les responsables ayant dsign un charg de la protection des donnes sont exempts du devoir de notification des traitements quils mettent en uvre. Ces derniers doivent cependant figurer dans le registre des traitements que le charg doit tablir, le tenir jour de faon

permanente et transmettre tous les quatre mois la CNPD.

Le charg doit surveiller le respect des dispositions de la loi et de ses rglements dexcution. A cet effet, il dispose dun pouvoir dinvestigation et dun droit dinformation auprs du responsable du traitement et, corrlativement, dun droit dinformer le responsable du traitement des formalits accomplir afin de se conformer aux dispositions lgales et rglementaires en la matire. Le charg doit en outre consulter la Commission nationale en cas de doute quant la conformit la loi des traitements mis en uvre sous sa surveillance.

Avec la dsignation dun charg, lexpertise de la protection des donnes fait son entre dans les entreprises ou autres organismes. Le projet de rglement europen actuellement discut entend introduire cette fonction du charg de la protection des donnes partout dans lUnion europenne.

Depuis 2005, 81 entreprises, associations et organismes publics ont dsign un charg de la protection des donnes. A la fin de lanne 2013, 105 personnes physiques ou morales taient agres pour exercer lactivit de charg de la protection des donnes.

2 Voir partie 3.2.


20

2.1.4 Demandes de vrification de licit et plaintes

Le nombre de citoyens faisant appel la CNPD lorsquils estiment quil y a violation de la loi ou entrave lexercice de leurs droits continue augmenter. En 2013, la Commission nationale a reu un nombre record de 177 plaintes et demandes de vrification de licit.

Dans les deux tiers des cas, les plaintes proviennent dautres Etats membres de lUnion europenne, soit par lintermdiaire des autorits de protection des donnes qui agissent au nom de leurs propres citoyens, soit directement par les ressortissants trangers. Cela est notamment d la prsence de nombreuses socits multinationales ayant choisi dtablir leur sige europen Luxembourg (eBay, PayPal, Skype, Microsoft, Amazon ) et pour lesquelles la CNPD est lautorit comptente pour assurer le respect de la lgislation nationale en matire de protection des donnes. Dans 62% des cas, les entreprises vises par les plaintes sont celles offrant des services sur Internet.

Un quart des plaintes concerne des demandes deffacement ou de rectification de donnes qui nont pas t respectes. Cela inclut toutes les plaintes relatives des demandes de clture de

comptes auprs des commerces ou des services en ligne, des demandes deffacement de donnes (donnes clients, donnes de candidature, donnes bancaires, etc.) ou encore les cas dans lesquels les plaignants demandent lassistance de la CNPD pour rectifier leurs donnes aprs une transmission errone de donnes des tiers (contrats, livraisons, documents, etc.).

Dans beaucoup de cas (19%), les plaignants ont demand la CNPD de vrifier la licit de certaines pratiques administratives ou commerciales. En dehors des nombreuses demandes qui remettent en cause les conditions gnrales de certains commerces, dautres cas de figure de lanne 2013 concernaient par exemple :la collecte disproportionne de donnes par un garagiste, la collecte des copies des titres didentit par un service en ligne ou encore la publication dune brochure par une commune avec des informations personnelles des rsidents (voir encadr page 22).

Un autre motif souvent invoqu par les plaignants est le refus qui leur est oppos, labsence de rponse ou linsuffisance des informations en matire daccs leurs donnes (17%). Dans ces cas, la Commission nationale a d intervenir pour faire valoir leurs droits auprs des diffrents responsables du traitement. A ce titre, les fermetures respectivement

21

les suspensions de comptes clients, notamment par les socits de commerce en ligne, font lobjet de plaintes rcurrentes. Dans de tels cas, les citoyens demandent lassistance de la CNPD parce quils ne comprennent pas toujours les raisons pour lesquelles le statut de leur compte a chang.

Fait galement lobjet de plaintes rcurrentes la transmission de donnes des tiers non autoriss (15%). En effet, comme tous les ans, la Commission nationale a t saisie de nombreuses plaintes concernant la publication de

donnes sur Internet (voir encadr page 23).

Reviennent aussi rgulirement les plaintes concernant lenvoi de courriels confidentiels, mais distribus de faon collective et visible tous les destinataires ( CC au lieu de BCC ).

Lanne 2013 tait par ailleurs marque par le scandale NSA/PRISM, qui a fait lobjet de plusieurs demandes auprs de la CNPD (voir encadr page 23).

Par ailleurs, la Commission

nationale est rgulirement saisie par des citoyens ayant des difficults faire valoir leur droit dopposition la prospection ou qui estiment navoir jamais consenti voir leur donnes utilises pour tre prospects via des communications lectroniques. La Commission nationale a d intervenir notamment plusieurs reprises dans des cas denvois de courriels ou de SMS non sollicits ou encore dans des cas o les plaignants ont voulu connatre lorigine des donnes utilises par les organisations/socits pour prospecter lesdits plaignants.

180

160

140

120

100

80

60

40

20

02003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Evolution du nombre de plaintes

Demande deffacement ou de rectification des donnes (24%)

Opposition la prospection (10%) Vidosurveillance (9%)

Transmission dloyale des tiers (15%)

Autres (7%)

Refus daccs aux donnes (16%) Licit de certaines pratiques administratives/commerciales (19%)

Motif des plaintes


22

Distribution dune brochureavec des informations personnelles des rsidents

La Commission nationale a t saisie de plusieurs plaintes concernant la distribution, par une administration communale, dune brochure destine lentiret des mnages qui contenait en effet une liste des diffrentes localits de la commune, les noms des rues, les codes postaux et les numros des maisons avec les noms et prnoms des rsidents affrents.

La loi ne permet pas un responsable du traitement de communiquer des donnes caractre personnel un tiers non autoris et encore moins de divulguer ces donnes un large public. En lespce, la Commission nationale a estim que lutilisation du fichier de la population pour communiquer et divulguer les noms et adresses de tous ses rsidents indistinctement toute la population de la commune est incompatible avec la finalit pour laquelle les donnes ont t collectes initialement par la commune, savoir la tenue du fichier permettant dadministrer la population de la commune.

Elle a donc demand la commune en question de cesser cette pratique pour lavenir alors quelle ntait pas conforme la loi sur la protection des donnes. Par ailleurs, elle a suggr aux administrations communales de prendre connaissance de la dcision n2/2010 du 15 janvier 2010 dans laquelle elle a dfini les modalits des traitements de donnes caractre personnel mises en uvre par les communes du Grand-Duch de Luxembourg dans le cadre de lexercice des missions qui leur sont confres.

Cette dcision numre, entre autres, les destinataires ou catgories de destinataires auxquels les donnes dtenues par les communes peuvent tre communiques.

23

Effacement de groupes sur Facebook aprs intervention de la CNPD

La Commission nationale a reu plusieurs plaintes concernant deux groupes luxembourgeois sur Facebook, par lintermdiaire desquels les membres publiaient des photos de voitures mal stationnes ou en stationnement interdit. Or, sur la plupart des photos, les plaques dimmatriculation des voitures ntaient pas floutes ou masques.

La CNPD a inform les administrateurs et les utilisateurs de ces groupes que les plaques dimmatriculation sont considres par la loi comme tant des donnes caractre personnel et quune telle publication est interdite.

Les utilisateurs des deux groupes ayant continu publier des photos de voitures avec des plaques dimmatriculation non floutes, la CNPD a dcid de sadresser directement la socit Facebook en lui demandant de fermer les groupes en question et dexiger de la part des administrateurs de ne plus ouvrir de groupes similaires lavenir.

La socit Facebook a fait droit la demande de la CNPD et a ferm les pages des groupes. Par ailleurs, une nouvelle violation par les administrateurs rsultera dans la dsactivation dfinitive de leurs comptes.

Affaire PRISM : pas de violation constate en matire de protection des donnes de la part de Skype et Microsoft au Luxembourg

Plusieurs entreprises, parmi lesquelles Google, Yahoo, Microsoft, Apple et AOL, ont t souponnes en juin 2013 d'avoir ouvert leurs serveurs informatiques la National Security Agency (NSA), l'une des principales agences amricaines de renseignements, facilitant la surveillance d'e-mails, de chats, de photos, vidos et d'autres donnes stockes par des millions d'internautes dans le monde. Deux enqutes simultanes publies dans les journaux Guardian et Washington Post ont rvl ces accusations d'espionnage massif des communications sur Internet. Si les autorits amricaines ont dj reconnu l'existence de ce programme appel Prism , les socits concernes ont fermement rejet les accusations de collaboration active, sauf celle requise par la lgislation en vigueur.

Cette affaire a dailleurs men au dpt de deux demandes de vrification de licit auprs de la CNPD qui visaient les socits Skype Communications s. r.l. et Microsoft Luxembourg s. r.l. En date du 15 novembre 2013, la CNPD a inform les requrants des rsultats de lexamen de leurs demandes relatives au respect de leurs droits et liberts fondamentaux lgard de traitements de donnes par lesdites socits.

A lissue de son enqute et recherche sur les faits conduite partir de juillet 2013 et de son analyse dtaille subsquente, la CNPD a statu ne disposer daucun lment permettant de conclure un transfert massif de donnes de la part des deux entreprises bases au Luxembourg la National Security Agency (NSA). Par ailleurs, il sest avr que le transfert de certaines catgories de donnes vers les entreprises affilies aux Etats-Unis, tel quil est tabli dans les politiques de confidentialit des services en ligne des deux entreprises mises en cause, soprait lgalement, conformment aux clauses contractuelles acceptes par leurs utilisateurs et aux rgles applicables de la dcision dadquation 2000/520/CE de la Commission europenne mettant en uvre laccord Safe Harbor conclu entre lUnion Europenne et les Etats-Unis dAmrique.


24

Par consquent, la CNPD na pas pu constater de violation des dispositions de la lgislation sur la protection des donnes caractre personnel, ni par Skype Communications s. r.l., ni par Microsoft Luxembourg s. r.l.

Par ailleurs, dans une deuxime lettre du 29 novembre 2013, la CNPD a fourni aux requrants des clarifications complmentaires quant la porte de ses constatations.

En rponse la question de savoir si la CNPD est parvenue confirmer ou infirmer l'existence du programme PRISM et l'accs par la NSA aux donnes personnelles des utilisateurs de Skype et d'autres services en ligne de Microsoft, la Commission nationale a expliqu qu'en tant qu'autorit de contrle, elle surveille le respect de la protection des donnes au Grand-Duch et que le primtre de sa recherche se limitait donc forcment aux activits de Skype Communications s. r.l. et de Microsoft Luxembourg s. r.l.. En dehors de sa juridiction, il n'appartient pas la CNPD d'enquter, de sorte que ses conclusions ne sont pas de nature confirmer ou rfuter l'existence des programmes de surveillance massive d'Internet de la part des services secrets comme PRISM, ni exclure que les systmes de Microsoft ou de Skype puissent avoir t accds dans ce contexte, notamment aux Etats-Unis. Toutefois, la Commission nationale n'a dcel aucun indice dont on aurait pu dduire que Skype ou Microsoft concdaient un accs aux donnes personnelles des utilisateurs de leurs services en ligne, ou fournissaient des donnes en dehors des injonctions ponctuelles leur soumises conformment aux lgislations nationales applicables dans le domaine rpressif et de la scurit publique.

La CNPD a donc estim que les socits sous investigation n'auraient pu tre frappes de sanctions qu'en prsence d'lments concrets indiquant une violation de leurs obligations lgales, et qu'une suspension des transferts de donnes vers les Etats-Unis bass sur le dispositif Safe Harbor tait inconcevable en l'absence de preuves matrielles ou d'indices constats laissant prsumer un transfert massif de donnes.

En outre, la Commission nationale a estim que les exceptions prvues pour l'accs par les autorits rpressives et de scurit nationale stipules dans l'accord Safe Harbor pass en 2000 entre la Commission europenne et les autorits amricaines, ne lgitimaient pas en soi une surveillance massive des communications et du trafic Internet.

25

2.1.5 Contrles et investigations

Pour veiller au respect de la lgislation applicable en matire de protection des donnes, la Commission nationale dispose de pouvoirs dinvestigation et dintervention au titre desquels elle peut directement accder aux locaux o a lieu le traitement ainsi quaux donnes faisant lobjet du traitement. Il y a lieu de rappeler quen vertu des dispositions de la loi, ce pouvoir dinvestigation exclut les locaux dhabitation (voir galement : Camras filmant les proprits avoisinantes ).

La Commission nationale nintervient donc pas seulement lorsque des cas datteinte la lgislation sur la protection des donnes lui sont signals, mais aussi de sa propre initiative dans un but de prvention. Elle a effectu un total de 26 contrles et investigations en 2013, que ce soit dans le cadre de la vidosurveillance, de la surveillance sur le lieu du travail ou encore lorsquelle a pris connaissance (par elle-mme ou par une notification) dune attaque informatique ou dune faille de scurit.

Outre les tractations menes avec Microsoft dans le cadre du passage en revue dcid par le G29 et opr conjointement avec nos collgues de la CNIL franaise concernant les questions de protection de donnes des utilisateurs europens des services

en ligne du groupe en application de son contrat de services (voir partie 3.4), les investigations auprs dAmazon portant sur lorganisation et le droulement effectif des diffrents traitements de donnes personnelles effectus par le groupe en Europe et chez Skype dans le contexte des plaintes reues en juin 2013 (voir partie 2.1.4.), les cas suivants illustrent les investigations opres par la CNPD.

2.1.5.1 Prise dimages panoramiques des fins de mesurage

La Commission nationale avait t saisie de plaintes de rsidents proccups concernant la prise dimages panoramiques, par des voitures spcialement quipes cet effet, lintrieur de plusieurs communes luxembourgeoises. Dans le cadre de sa mission de vrifier sil y a effectivement eu atteinte la vie prive des rsidents, la CNPD a t informe que ces images gorfrences sont proposes et vendues par une socit nerlandaise certaines communes du Grand-Duch qui sen serviront des fins de mesurage/gestion du territoire, etc. et que, dans aucun cas, laccs ces images ne sera mis la disposition du public. Les visages des personnes se trouvant sur les photos et les plaques dimmatriculation des voitures sont masqus par dfaut par ladite socit.

La Commission nationale a inform les responsables des

communes concernes que lutilisation de ces photos pour la ralisation des finalits susmentionnes constitue un traitement de donnes caractre personnel et a donc demand aux communes de vrifier si la finalit envisage du traitement de donnes rentre dans le cadre des traitements de donnes caractre personnel mis en uvre par les communes du Grand-Duch de Luxembourg, numrs par la Commission nationale dans sa dcision du 15 janvier 2010 (dlibration n2/2010). Par ailleurs, afin de respecter les droits que la loi confre aux citoyens, elle a rappel aux communes dinformer leurs rsidents du traitement envisag, conformment larticle 26 de la loi (p.ex. affichage au Reider , publication dans le Buet , etc.).

Comme le traitement de donnes de cette entreprise tombe sous la lgislation dun autre pays europen, la CNPD a galement contact lautorit de contrle de ce pays notamment pour tre inform des mesures de scurit implmentes par ladite entreprise en ce qui concerne les rsidents luxembourgeois.

2.1.5.2 Faille de scurit dune socit offrant des services de tlvision payante

Lautorit de protection des donnes tchque avait reu une plainte selon laquelle les donnes caractre personnel


26

(noms, prnoms, adresses, adresses e-mail) de nombreux clients tchques dune entreprise tablie au Luxembourg offrant des services de tlvision payante ont pu tre accdes par des tiers. Celle-ci a immdiatement signal cette importante faille de scurit la Commission nationale. La Commission nationale a demand lentreprise de procder durgence la vrification de son systme informatique et de prendre dans les meilleurs dlais toutes les mesures ncessaires, afin de rendre impossible un accs non autoris aux donnes personnelles et dassurer la scurit et la confidentialit des donnes clients.

Lentreprise en cause a implment immdiatement les mesures de scurit ncessaires, et elle a envoy un rapport dtaill de lincident la CNPD.

2.1.5.3 Faille technique sur le site ekb.lu

La Commission nationale avait appris par les mdias quun lve avait pu accder, via le site Internet ekb.lu , lensemble des noms, prnoms, matricules et identifiants de tous les lves et professeurs de son cole.

Alors que cet incident semble avoir traduit des insuffisances quant au respect des mesures de scurit et de confidentialit des donnes prvues aux articles 22 et 23 de la loi modifie du

2 aot 2002, la Commission nationale a not avec satisfaction que des mesures appropries ont immdiatement t prises afin dy remdier. Ceci tant, elle a demand au Ministre de lEducation Nationale et de la Formation Professionnelle de linformer des raisons exactes de cet incident et des mesures de scurit en vigueur.

Dans le cadre de cette enqute, la Commission nationale a constat plusieurs manquements. Elle a notamment demand ne pas mettre en ligne un service dont la structure technique et les mesures de scurit affrentes sont encore en phase de dveloppement. Par ailleurs, elle a demand au prdit Ministre de mettre en uvre une authentification forte avant la mise disposition du service. Etant donn que des donnes concernant les absences/prsences, les excuses, les remarques et les sanctions disciplinaires des lves y sont traites, la divulgation de telles informations ou un accs non autoris ces donnes pourrait entraner un prjudice important pour les personnes concernes. Pour cette raison, la Commission nationale a considr quune authentification de type identifiant/mot de passe est insuffisante dun point de vue scurit pour ce type de dossier.

Finalement, la CNPD a demand au Ministre de mettre en uvre un audit de scurit incluant

27

un test de pntration effectu par une entit spcialise et indpendante et, le cas chant, les actions correctrices ncessaires avant la mise en ligne du service.

2.1.5.4 Attaque informatique sur un site Internet ddi une tude scientifique

La presse ayant relat une attaque informatique par dni de service sur le site Internet dun centre de recherche ddi une tude laquelle participait un panel de 80.000 personnes, la CNPD a demand des claircissements aux responsables.

La CNPD a notamment demand des prcisions quant aux mesures de scurit prises par le centre de recherche pour viter laccs non autoris des donnes personnelles et assurer la confidentialit de la transmission sur Internet des informations personnelles des citoyens concerns.

Aprs analyse du CIRCL, le centre de recherche a pu confirmer quil ne sagissait pas dune attaque telle quvoque par la presse et quaucune donne caractre personnel na t perdue. Il a par ailleurs rpondu de manire satisfaisante aux questions de la CNPD.

2.1.5.5 Vidosurveillance

Camras filmant les proprits avoisinantes ou la voie publique

En raison des quelques plaintes que la Commission nationale reoit chaque anne concernant des installations de vidosurveillance lintrieur ou lextrieur des maisons dhabitation prives (notamment par des voisins qui sestiment observs ), il y a lieu de rappeler que dans le cadre de son pouvoir dinvestigation lui confr par la loi modifie du 2 aot 2002, la Commission nationale a un accs direct aux locaux o a lieu le traitement de donnes et peut procder aux vrifications ncessaires, mais

la loi ne permet pas dexercer ce pouvoir dinvestigation dans des locaux dhabitation (article 32 paragraphe (7) de la loi modifie de 2002).

En dautres termes, la Commission nationale peut procder des contrles sur place dans des lieux dhabitation privs uniquement avec laccord et sur invitation des personnes qui y sont domicilies. Comme un tel accord fait dfaut dans la plupart des cas, la Commission nationale suggre, de faon gnrale, de dnoncer ces installations de vidosurveillance la police ou au Parquet. En effet, contrairement la CNPD, les autorits judiciaires ont la possibilit de procder des perquisitions.

Vidosurveillance sans autorisation

Comme les annes prcdentes, la Commission nationale a t saisie de plusieurs plaintes concernant des camras de vidosurveillance installes


28

sans autorisation, cest--dire en violation des dispositions de la loi modifie du 2 aot 2002.

Dans ces cas, la CNPD a demand aux entreprises concernes de cesser immdiatement lutilisation de la vidosurveillance et leur a rappel que le non-respect des dispositions de la loi est passible de sanctions pnales.

2.1.6 Secteur des communications lectroniques

2.1.6.1 Violations de donnes dans le secteur des communications lectroniques

Conformment au rglement (UE) n611/2013 de la Commission europenne du 24 juin 2013 (entr en vigueur le 25 aot 2013), les fournisseurs de services de communications lectroniques accessibles au public, tels que les entreprises de tlphonie fixe/mobile ou les fournisseurs daccs Internet, doivent avertir la CNPD endans les 24 heures suivant le constat dune violation de scurit et de confidentialit des donnes caractre personnel et, de surcrot, informer leurs abonns au cas o lincident constat est susceptible daffecter dfavorablement le niveau de protection de leur vie prive et des donnes les concernant.

Violation de scurit de Numricable

Le 25 juillet 2013, la Commission nationale a prononc un avertissement lencontre de la socit Coditel (Numricable). En effet, ladite socit a failli, conformment larticle 3 paragraphe (3) alina 1 de la loi modifie du 30 mai 2005 relative aux dispositions spcifiques de protection de la personne lgard du traitement des donnes caractre personnel dans le secteur des communications lectroniques, de notifier sans retard une violation de donnes caractre personnel la Commission nationale.

En lespce, la base de donnes des prospects (dont certains sont devenus clients) traite par Numricable a t la cible dun piratage informatique. Par la suite, les auteurs dudit piratage ont publi les donnes caractre personnel des personnes concernes sur Internet. Ds quelle a eu connaissance de laffaire, la Commission nationale a demand une prompte prise de position de la socit Numricable et la remise dune notification de violation des donnes caractre personnel.

Il rsulte de ladite notification que la socit Coditel a :

U mis en uvre des mesures techniques pour corriger

29

le problme et protger les donnes caractre personnel,

U inform les personnes concernes par la violation de donnes caractre personnel.

La Commission nationale a soulev par ailleurs quen cas de manquement rpt, elle peut prononcer une amende dordre qui ne peut excder 50.000 euros.

2.1.6.2 Rtention de donnes de trafic

et de localisation

La directive europenne 2006/24/CE sur la rtention des donnes a t transpose au niveau national par la loi du 24 juillet 2010. Lobjectif de cette directive est de conserver pendant un certain dlai les donnes que traitent les oprateurs de tlcommunications et les

fournisseurs daccs Internet pour les besoins de la recherche, de la dtection et de la poursuite dinfractions. Un des enjeux majeurs de cette directive est le maintien de lquilibre entre, dune part, laccs aux donnes traites par des fournisseurs de communications lectroniques dans le cadre de la lutte contre le terrorisme et la criminalit grave, et dautre part, la protection de la vie prive des citoyens.

La Commission nationale transmet annuellement la Commission europenne des statistiques sur la conservation des donnes au titre des articles 5 et 9. A cet effet, les fournisseurs de services ou oprateurs conservent et transfrent la Commission nationale, sur demande de celle-ci, les informations comprenant notamment :

- les cas dans lesquels des informations ont t transmises

aux autorits comptentes conformment la lgislation nationale applicable,

- le laps de temps coul entre la date partir de laquelle les donnes ont t conserves et la date laquelle les autorits comptentes ont demand leur transmission,

- les cas dans lesquels les demandes de donnes nont pas pu tre satisfaites.

En 2013, des informations ont t transmises aux autorits comptentes (Police judiciaire et Justice) dans 1445 cas. Dans 800 cas, les demandes de donnes nont pas pu tre satisfaites. Au total, les autorits comptentes ont fait 2245 demandes auprs des oprateurs. Ce chiffre reste stable par rapport lanne 2012, o 2346 demandes ont t faites.


30

Conformment larticle 32 paragraphe (3) lettre (e) de la loi modifie du 2 aot 2002, la Commission nationale a notamment pour mission d tre demande en son avis sur tous les projets ou propositions de loi portant cration d'un traitement de mme que sur toutes les mesures rglementaires ou administratives mises sur base de la prsente loi .

En 2013, la Commission nationale a mis 10 avis dans le cadre de projets de loi ou de rglements grand-ducaux :

1. Avis concernant le projet de rglement grand-ducal relatif au statut, aux modalits de dsignation et aux attributions du mdecin-coordinateur (Dlibration n28/2013 du 7 fvrier 2013) ;

2. Avis relatif au projet de loi n6394 portant approbation : de lAccord entre le Gouvernement du Grand-Duch de Luxembourg, le Gouvernement du Royaume de Belgique, le Gouvernement de la Rpublique fdrale dAllemagne et le Gouvernement de la Rpublique franaise, concernant la mise en place

et lexploitation dun centre commun de coopration policire et douanire dans la zone frontalire commune, sign Luxembourg, le 24 octobre 2008; de lAccord entre le Gouvernement du Grand-Duch de Luxembourg et le Gouvernement de la Rpublique franaise relatif la coopration dans leurs zones frontalires entre les autorits de police et les autorits douanires, sign Luxembourg, le 15 octobre 2001 (Dlibration n178/2013 du 19 avril 2013) ;

3. Avis au sujet des projets de loi relatifs la rforme dans la Fonction Publique en particulier des dispositions ayant trait la protection des donnes comprises dans le projet de loi n6457 (Dlibration n265/2013 du 14 juin 2013) ;

4. Avis relatif lavant-projet de rglement grand-ducal pris en excution de larticle 4 de la loi modifie du 15 juin 2004 portant organisation du Service de Renseignement de lEtat et lavant-projet de rglement grand-ducal pris en excution de larticle 23 de la loi du 15 juin 2004 relative la classification des pices et aux habilitations de scurit (Dlibration n274/2013 du 28 juin 2013) ;

2.2 Avis et recommandations

31

5. Avis relatif au projet de loi n6381 portant

rforme de l'excution des peines, au projet de loi n6382 portant rforme de l'administration pnitentiaire et au projet de rglement grand-ducal portant organisation des rgimes internes des tablissements pnitentiaires (Dlibration n302/2013 du 05 juillet 2013) ;

6. Avis relatif lavant-projet de rglement grand-ducal portant cration des traitements de donnes caractre personnel ncessaires lexcution de larticle 32 de la loi du 2 septembre 2011 rglementant laccs aux professions dartisan, de commerant, dindustriel ainsi qu certaines

professions librales (Dlibration n345/2013 du 12 juillet 2013) ;

7. Avis relatif au projet de loi n6566 facilitant

lchange transfrontalier dinformations concernant les infractions en matire de scurit routire (Dlibration n385/2013 du 25 juillet 2013) ;

8. Avis relatif au projet de loi n6593 portant modification de la loi du 16 juin 2004 portant rorganisation du centre socio-ducatif de l'Etat et de diverses autres lois et au projet de rglement grand-ducal portant organisation de lunit de scurit du centre socio-ducatif de lEtat (Dlibration n386/2013 du 25 juillet 2013) ;

9. Avis relatif au projet de rglement grand-ducal

relatif aux modalits du comptage de lnergie lectrique et du gaz

naturel (Dlibration n566/2013 du 13 dcembre 2013) ;

10. Avis relatif au rglement interne du Registre National du Cancer (Dlibration n606/2013 du 23 dcembre 2013).

2.2.1 Le statut, les modalits de dsignation et les attributions du mdecin-coordinateur

La Commission nationale s'est exprime au sujet du projet de rglement grand-ducal relatif au statut, aux modalits de dsignation et aux attributions du mdecin-coordinateur. La fonction du mdecin-coordinateur a t cre par la loi du 17 dcembre 2010 portant rforme du systme de soins de sant et modifiant notamment larticle 29 de la loi du 28 aot 1998 sur les tablissements hospitaliers. La CNPD a limit ses observations aux questions de protection des donnes, souleves plus particulirement par larticle 5 du projet de rglement grand-ducal. Celui-ci dispose notamment que pour les besoins de sa mission, le

Les sances de dlibration de la Commission nationale

Les membres de la Commission nationale se runissent en principe une fois par semaine en sance de dlibration. Une partie importante de ces sances est consacre lexamen des dossiers de demande davis ou dautorisation. En 2013, la Commission nationale a adopt au cours de 31 sances 606 dlibrations, dont notamment :

U 539 autorisations ;

U 10 avis relatifs des projets ou propositions de loi et mesures rglementaires ;

U 20 agrments pour les chargs de la protection des donnes ;

U 19 approbations de rgles dentreprise contraignantes ;

U 1 avertissement.


32

mdecin-coordinateur a accs aux dossiers individuels viss larticle 36 de la loi modifie du 28 aot 1998 des patients qui sont pris en charge par son service ou groupement de services .

Absence du lien thrapeutique entre le mdecin-coordinateur et le patient

Dans son avis, la Commission nationale a estim que lintroduction du rle de mdecin coordinateur dans notre lgislation est de nature contribuer amliorer la qualit de notre systme de soins. En particulier, elle na pas mis en doute que, pour lexercice et dans les limites de ses missions lgales et rglementaires, le mdecin-coordinateur devrait avoir accs aux dossiers individuels des patients pris en charge par son service ou groupement de services. Elle a

cependant t davis que cet accs devra tre encadr par certaines garanties.

La CNPD a attir lattention sur le fait que les missions du mdecin-coordinateur, aussi lgitimes et prcieuses quelles soient, ne sinscrivent pas dans un lien thrapeutique, mais bien dans une dmarche damlioration de la qualit des soins. Il nexiste donc pas a priori de lien thrapeutique entre le mdecin-coordinateur et les patients pris en charge par son service ou groupement de services. Larticle 20 paragraphe (3) du projet de loi n6469, qui permettrait le partage des donnes entre mdecins et autres professionnels de la sant faisant partie dune mme quipe de soins naurait donc pas vocation sappliquer. Il sensuit que le principe du secret mdical devra donc pleinement tre respect.

33

Laccs du mdecin-coordinateur aux donnes avec le consentement des patients

La Commission nationale a considr que laccs du mdecin-coordinateur aux donnes des patients individuels ne devrait tre possible quavec le consentement du patient.

Ce consentement devrait par ailleurs tre distinct des autres consentements ncessaires la prise en charge du patient dans le cadre du traitement mdical au sein de lhpital ou de ltablissement hospitalier spcialis. En dehors des cas durgence, le consentement devrait en outre tre pralable la prise en charge du patient au sein de lhpital ou de ltablissement hospitalier spcialis, afin que cette manifestation de volont du patient soit suffisamment informe. Lorsque le patient est admis aux services durgences, le consentement du patient devrait tre recueilli a posteriori.

Le contrle de laccs aux dossiers individuels des patients

La CNPD a estim dans son avis que le rle du mdecin-coordinateur ne comporte pas de mission de contrle ou de surveillance sur les mdecins traitants. Dans la plupart des cas,

le suivi des bonnes pratiques labores au sein dun service devrait pouvoir se faire sur base de chiffres agrgs ou de statistiques, ce qui nexclut pas que dans certains cas le mdecin-coordinateur puisse consulter certains dossiers individuels.

Ds lors, une certaine transparence lgard des mdecins traitants simpose. Cest pourquoi la Commission nationale a suggr de prvoir la mise en place dune journalisation des accs. Ainsi, des intervalles rguliers, les mdecins traitants devraient se voir communiquer la liste des dossiers de leurs patients auxquels le mdecin-coordinateur a accd.

2.2.2 Projet de loi n6394 portant approbation de diffrents accords en matire de coopration transfrontalire

La Commission nationale s'est prononce au sujet du projet de loi n6394 portant approbation : de lAccord entre le Gouvernement du Grand-Duch de Luxembourg, le Gouvernement du Royaume de Belgique, le Gouvernement de la Rpublique fdrale dAllemagne et le Gouvernement de la Rpublique franaise, concernant la mise en place et lexploitation dun

centre commun de coopration policire et douanire dans la zone frontalire commune, sign Luxembourg, le 24 octobre 2008 ; de lAccord entre le Gouvernement du Grand-Duch de Luxembourg et le Gouvernement de la Rpublique franaise relatif la coopration dans leurs zones frontalires entre les autorits de police et les autorits douanires, sign Luxembourg, le 15 octobre 2001.

Les deux accords prvoient la mise en place et lexploitation dun centre commun de coopration policire et douanire ainsi que des changes de renseignement entre les autorits policires et douanires des pays participants, renseignements qui peuvent comporter des donnes caractre personnel.

Si les deux accords prvoient le traitement de donnes caractre personnel, force est de constater que les accords ne contiennent aucune prcision quant aux catgories de donnes faisant lobjet du traitement. La Commission nationale aurait prfr que laccord comporte une numration des catgories de donnes concernes.

Elle a par ailleurs regrett quelle nait t consulte ni au cours de la phase de ngociation,


34

ni avant la signature de laccord de 2008, alors que le projet de loi sous examen na pour but que dapprouver les deux accords signs qui ne peuvent plus tre modifis, moins de les rengocier avec les Etats concerns.

2.2.3 La rforme de la lgislation sur la fonction publique

Dans son avis du 14 juin 2013, la Commission nationale a expos ses rflexions et commentaires au sujet des projets de loi relatifs aux rformes dans la fonction publique, mais en particulier des dispositions ayant trait la protection des donnes vises larticle 41 du projet de loi n6457.

La Commission nationale a salu lintroduction dans la loi cadre fixant le statut gnral des fonctionnaires de lEtat dune disposition ayant pour vocation dencadrer les traitements dont les donnes des fonctionnaires et employs des services de lEtat font lobjet tout comme ceux des pensionns ou candidats un emploi public.

Dans son avis, la CNPD a mis laccent sur le fait que les finalits susceptibles de justifier laccs aux donnes devront tre bien dtermines. Le texte propos le fait en des termes gnraux, en faisant rfrence aux processus

centraux et locaux de gestion du personnel, et il numre de faon explicite 9 champs dactivits essentiels. Le terme notamment prcdant cette numration ne parat acceptable que dans la mesure o il nouvre pas la voie un spectre illimit dobjets pour lesquels les donnes pourraient tre traites. La Commission nationale a donc marqu son accord avec le libell propos, sous la rserve expresse que lutilisation du terme notamment ne puisse pas tre comprise comme permettant dajouter aux finalits numres dautres finalits que celles se rattachant aux processus de gestion des ressources humaines viss par un texte lgal ou rglementaire.

Pour ce qui est des donnes recueillies et traites, la prfrence de la CNPD en la matire irait clairement en faveur dune numration directe dans larticle de loi, spcifiant au moins les grandes catgories de donnes vises dcrites dans leur gnralit.

La Commission nationale a not avec satisfaction que laccs aux donnes sera strictement limit aux personnes habilites cet effet et contrl. Le rglement dexcution prendre devra spcifier que ces accs feront lobjet dun systme de journalisation (logging) de nature faciliter le contrle et la dtection dventuels abus.

35

Finalement, la CNPD a fait remarquer que le texte propos nindique pas de dure de conservation des donnes recueillies et traites. Il conviendrait pour le moins de spcifier quelles informations doivent tre retenues en cas de cessation de loccupation de lagent dans les administrations et services de lEtat et pendant combien de temps suivant son dpart.

2.2.4 Lorganisation du Service de Renseignement de lEtat

La Commission nationale s'est prononce au sujet de lavant-projet de rglement grand-ducal pris en excution de larticle 4 de la loi modifie du 15 juin 2004 portant organisation du Service de Renseignement de lEtat et portant cration et fixant les modalits de fonctionnement dun fichier relatif au traitement de donnes caractre personnel par le Service de Renseignement de lEtat ainsi quau sujet de lavant-projet de rglement grand-ducal pris en excution de larticle 23 de la loi du 15 juin 2004 relative la classification des pices et aux habilitations de scurit et portant cration et fixant les modalits de fonctionnement dun fichier relatif au traitement de donnes caractre personnel par le Service de Renseignement de lEtat.

Avant-projet de rglement grand-ducal pris en excution de larticle 4 de la loi modifie du 15 juin 2004 portant organisation du Service de Renseignement de lEtat

La Commission nationale a not dans son avis que les catgories de donnes numres sont dcrites de manire assez vague. Ainsi, sans la lecture du commentaire des articles, il nest pas ais de faire la diffrence par exemple entre les donnes didentification personnelles et les caractristiques personnelles. Les expressions donnes didentification lectroniques et donnes de localisation lectroniques ne sont pas trs parlantes et la CNPD a propos de mentionner leur origine de de manire plus expresse. En ce qui concerne les donnes financires , la CNPD se demande quelle pourrait bien tre lorigine des donnes.

De manire gnrale, la Commission nationalesuppose que toutes les donnes correspondant aux catgories numres larticle 5 ne sont pas collectes systmatiquement doffice pour chaque personne concerne, mais que seules les donnes dont la collecte savre indispensable sont collectes conformment aux principes de ncessit et proportionnalit.

Cela vaut en particulier pour les donnes dites sensibles, savoir les donnes raciales ou ethniques ou les convictions philosophiques, politiques et religieuses ainsi que lappartenance syndicale. Le traitement de ces donnes est en principe interdit par larticle 6 paragraphe (1) de la loi modifie du 2 aot 2002, moins que le traitement ne soit mis en uvre par voie de rglement grand-ducal tel que prvu larticle 17 de la mme loi, ce que le gouvernement se propose de faire par le texte sous examen. La Commission nationale a not que le SRE ne sera donc pas autoris collecter des donnes relatives la sant et la vie sexuelle.

Quant aux coutes tlphoniques, la CNPD sest pos la question suivante : ne faudrait-il pas insrer une rfrence expresse la procdure prvue aux articles 88-3 et 88-4 du Code dinstruction criminelle ? Il en est de mme pour les donnes de traage de tlcommunications, pour autant que celles-ci ne relvent pas de larticle 5 paragraphe 1 points 3 et 4 de lavant-projet de rglement.

De manire plus gnrale, la CNPD a rappel quaucune mesure affectant un droit constitutionnellement protg par la Constitution - tel que le secret des communications ou linviolabilit du domicile - ne


36

pourra tre prise sans quun texte lgal nen prcise le cadre et les conditions.

Il convient de relever que la loi modifie du 15 juin 2004 portant organisation du Service de Renseignement de lEtat ne comporte pas de base lgale spcifique pour des techniques subreptices de collecte de donnes et denregistrement de sons et dimages autres que celles couvertes par les articles 88-3 et 88-4 linstar de ce qui existe, en matire policire, avec les articles 48-12 48-23 du Code dinstruction criminelle sur lobservation et linfiltration et en particulier lobservation effectue laide de moyens techniques prvue par larticle 48-13 paragraphes (2) et (3) du mme Code.

Larticle 11 prvoit que lors de chaque traitement de donnes, les informations relatives lagent du SRE ayant procd au traitement ainsi que la date et lheure du traitement devront tre enregistres. La CNPD a estim quune telle journalisation est une condition ncessaire pour pouvoir protger le citoyen contre les risques de drives et dabus. La journalisation est aussi un outil indispensable aux contrles internes.

Lavant-projet de rglement prvoit que les donnes de journalisation seront effaces aprs un dlai

de trois ans. Eu gard aux dysfonctionnements au sein du SRE, la Commission nationale a estim que les donnes de journalisation devraient faire lobjet dun archivage pendant une dure de 10 ans aprs lexpiration du dlai de trois ans prmentionn. De plus, la CNPD a estim quil faudra prvoir pour le moins une information sommaire sur les motifs dune consultation des donnes.

Avant-projet de rglement grand-ducal pris en excution de larticle 23 de la loi du 15 juin 2004 relative la classification des pices et aux habilitations de scurit

Larticle 5 numre les catgories de donnes appeles figurer dans le fichier e-ANS . La Commission nationale a salu que le texte donne une numration plus prcise des donnes traites, mais a dplor cependant que le texte ne donne aucune prcision sur lorigine des donnes.

Larticle 9 prvoit plusieurs dlais de conservation des donnes dans la partie archivage . Selon la CNPD, ces dlais semblent justifis et proportionns, sauf celui prvu au paragraphe 4 suivant lequel la fiche succincte doit tre conserve pendant un dlai de trente ans. Malgr les explications fournies au commentaire des articles, cette dure de conservation semble excessive.

37

2.2.5 La rforme de lexcution des peines et de ladministration pnitentiaire

La Commission nationale s'est prononce au sujet du projet de loi n6381 portant rforme de l'excution des peines, du projet de loi n6382 portant rforme de

l'administration pnitentiaire et du projet de rglement grand-ducal portant organisation des rgimes internes des tablissements pnitentiaires. Rforme de lexcution des peines Si la Commission nationale sest flicite de ce quune

base lgale soit confre la pratique de la surveillance lectronique avec le projet de loi n6381, ce texte a appel les remarques suivantes dans son avis :

U Le projet de loi ne prcise pas par qui ou sous les instructions de quelle institution ou personne la surveillance sera effectue. Le texte devrait ds lors dterminer de manire claire et prcise le responsable du traitement de donnes des fins de surveillance.

U Les principes de base des modalits et du fonctionnement de la surveillance lectronique devraient galement tre dtermins et prciss dans le texte.

U Enfin, il convient de se poser la question sil nest pas recommandable de demander le consentement de la personne concerne, vu quun tel traitement de donnes a un caractre extrmement intrusif dans la vie prive des personnes concernes.

Rforme de ladministration pnitentiaire Larticle 4 du projet de loi n6382 prvoit que le traitement de donnes caractre personnel sera mis en uvre et gr par ladministration pnitentiaire. Selon la CNPD,


38

il conviendrait de prciser davantage qui, lintrieur de ladministration pnitentiaire et des diffrents tablissements pnitentiaires, est responsable de quelles donnes et qui a accs quelles donnes. A ce titre, il serait judicieux dtablir deux niveaux daccs pour tous les dossiers des dtenus. Sur un premier niveau se trouveraient les informations de base accessibles ladministration pnitentiaire. A un second niveau se trouveraient des informations plus dtailles qui ne seraient accessibles quaux personnes habilites en raison de leur fonction lintrieur de ltablissement pnitentiaire concern.

Les catgories de donnes susceptibles dtre communiques aux autorits judiciaires et policires par ladministration pnitentiaire et les tablissements pnitentiaires mriteraient dtre prcises dans le texte. Il en est de mme pour ce qui est des finalits permettant une telle communication.

Larticle 42 prvoit la prise dempreintes digitales et de photographies des dtenus. La prise et la conservation de photographies peuvent constituer une atteinte la vie prive et au droit limage. Vu la finalit dauthentification inhrente cette prise de photographies, une telle atteinte parat nanmoins justifie et proportionne. Mais la

Commission nationale a estim que le texte devrait dterminer la dure de conservation des photographies et des empreintes digitales.

Projet de rglement grand-ducal portant organisation des rgimes internes des tablissements pnitentiaires Larticle 45 de ce projet prvoit la possibilit de soumettre une cellule des mesures de vidosurveillance. La Commission nationale nexclut pas une ventuelle ncessit dun placement sous vidosurveillance. Mais le recours un dispositif de surveillance des cellules ne doit se faire que lorsque des questions de scurit urgentes lexigent, par exemple en cas de menace de suicide. Et mme dans un tel cas la camra de surveillance ne devrait pas remplacer les autres mesures, savoir les rondes frquentes qui permettent un contact humain et qui assurent une surveillance efficace de ltat de sant du dtenu.

Un systme de masquage lectronique des images devrait tre mis en place pour la zone des sanitaires et toilettes et, le cas chant, les douches dans les cellules, afin de garantir lintimit de la personne, sauf avis contraire explicite dun mdecin dans des cas tout fait exceptionnels.

39

En cas denregistrement des images, celles-ci devront tre supprimes rapidement aprs leur enregistrement.

2.2.6 Rglementation de laccs aux professions dartisan, de commerant, dindustriel ainsi qu certaines professions librales

La Commission nationale sest prononce au sujet de lavant-projet de rglement grand-ducal portant cration des traitements de donnes caractre personnel ncessaires lexcution de larticle 32 de la loi du 2 septembre 2011 rglementant laccs aux professions dartisan, de commerant, dindustriel ainsi qu certaines professions librales.

Lobjectif de lavant-projet de rglement consiste dterminer les conditions et critres respecter par le Ministre qui veut accder aux donnes ncessaires pour vrifier si une personne satisfait aux exigences poses par la loi du 2 septembre 2011.

La loi du 2 septembre 2011 pose le principe de la mise en place dun registre des entreprises dans lequel devront figurer toutes les donnes ncessaires au Ministre des Classes moyennes. Lavant-projet de rglement grand-ducal numre en dtail les donnes

dont il sagit. La Commission nationale a salu la prcision avec laquelle les donnes sont numres, sauf pour ce qui est du tiret crit dans les termes suivants : toutes autres informations fournies par ladministr ou par dautres administrations . Contrairement aux quatre premiers tirets, ce libell est trop vague pour faire apparatre le caractre pertinent et ncessaire de ces informations, et il constitue en quelque sorte une catgorie fourre-tout , de sorte quil conviendrait de prciser davantage quelles donnes sont exactement vises.

Larticle 2 de lavant-projet de rglement grand-ducal numre de faon limitative les donnes auxquelles le Ministre peut accder via un systme informatique direct afin de contrler si une personne satisfait aux exigences poses par la loi du 2 septembre 2011. En ce qui concerne cette numration, la CNPD a considr que des prcisions devraient tre apportes afin de clarifier quelles donnes des ascendants et descendants de la personne concerne sont fournir, et en quoi ces informations sont pertinentes et ncessaires.

La Commission nationale a not avec satisfaction quelle a t suivie dans son avis du 15 avril 2011 relatif larticle 32 du projet de loi n6158 rglementant laccs

aux professions dartisan, de commerant, dindustriel ainsi qu certaines professions librales alors que les dispositions des articles 3 et 4 de lavant-projet de rglement grand-ducal, assurant la traabilit des accs aux donnes de fichiers publics, constituent une bonne garantie contre dventuels abus.

Le paragraphe (2) de larticle 4 dispose que les donnes de journalisation sont effaces aprs un dlai dune anne compter de leur premier enregistrement, sauf si elles font lobjet dune procdure de contrle. A ce sujet, la CNPD a propos daligner la dure de conservation sur celle qui a t retenue par la loi du 5 juin 2009 relative laccs des autorits judiciaires, de la Police, de lInspection gnrale de la Police certains traitements de donnes caractre personnel mis en uvre par des personnes morales de droit public, qui prvoit que les informations relatives aux magistrats et aux membres du personnel de ladministration judiciaire ayant procd la consultation ainsi que les informations consultes, la date et lheure de la consultation sont enregistres et conserves pendant un dlai de 3 ans. Cette dure parat plus approprie que celle dun an envisage pour prserver les possibilits de vrification du caractre licite de la consultation des donnes.


40

2.2.7 Echange transfrontalier dinformations sur les infractions en matire de scurit routire

La CNPD a avis le projet de loi n6566 facilitant l'change transfrontalier dinformations concernant les infractions en matire de scurit routire.

Ce projet de loi a pour objet de transposer en droit national la directive 2011/82/UE du 25 octobre 2011, qui prvoit la mise en place dune procdure dchange dinformations transfrontalier en vue de permettre lapplication transfrontire de sanctions relatives aux infractions les plus graves en matire de scurit routire, lorsque celles-ci sont commises dans un pays de lUnion europenne autre que celui dans lequel le vhicule est immatricul. LEtat membre sur le territoire duquel une infraction dtermine en matire de scurit routire sera commise par un conducteur dont le vhicule est immatricul dans un autre Etat membre pourra accder sur demande aux donnes relatives limmatriculation de ce vhicule.

Etant donn que ce texte prvoit lchange de donnes caractre personnel transfrontalier concernant les auteurs prsums dinfractions routires, le projet a des implications directes en matire de protection des donnes.

Le projet de loi transpose fidlement la directive europenne prcite, laquelle prvoit dj des garanties appropries suffisantes en termes de protection des donnes. A ce titre, la CNPD sest rallie lavis (2008/C 310/02) du Contrleur europen de la protection des donnes du 8 mai 2008 relatif la proposition de directive du Parlement europen et du Conseil facilitant lapplication transfrontire de la lgislation dans le domaine de la scurit routire, lequel avait avis favorablement la lgitimit et la ncessit de lchange de donnes transfrontalier, de mme que la qualit des donnes personnelles traites dans ce contexte.

Si la CNPD a accueilli favorablement le projet de loi dans son ensemble, larticle 7 appelle cependant quelques observations. La CNPD est davis que la dcision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative la protection des donnes caractre personnel traites dans le cadre de la coopration policire et judiciaire en matire pnale na jamais fait lobjet dune transposition proprement dite en droit national. Labsence dun texte spcifique de transposition et la dispersion de dispositions de protection des donnes en matire pnale dans 20 diffrents textes lgaux ne sont pas de nature favoriser

41

ou faciliter la prvisibilit et lexercice effectif des droits protecteurs des citoyens. Pour cette raison, la CNPD a recommand au gouvernement de transposer de faon plus approprie la dcision-cadre 2008/977/JAI, savoir dans un seul et mme texte lgislatif national, alors quil y a un besoin pressant dans lintrt des citoyens voir clarifier leurs droits et liberts fondamentaux protgs. Une coopration plus troite entre les services rpressifs devrait aller de pair avec le respect des droits fondamentaux, notamment le droit au respect de la vie prive et le droit la protection des donnes.

Larticle 7 paragraphe (2) du projet de loi confre tout rsident luxembourgeois, auteur prsum dune infraction la circulation routire commise dans un autre Etat membre, le droit daccder aux donnes relatives limmatriculation de son vhicule qui ont t transmises par la Police grand-ducale au point de contact national de lEtat membre de linfraction. Il sagit l dun droit daccs dit direct . Or, la loi modifie du 2 aot 2002 relative la protection des donnes ne confre aux personnes concernes quun accs dit indirect , qui ne peut sexercer que par lintermdiaire de lautorit de contrle spcifique Article 17 . Etant donn quune loi spciale (projet

de loi n6566) droge la loi gnrale (loi modifie du 2 aot 2002) et dans un souci de scurit juridique, la CNPD est davis que larticle 7 paragraphe (2) du projet de loi devrait instaurer pour le moins un droit daccs en faveur des personnes concernes qui sexerce directement auprs de la Police grand-ducale.

2.2.8 Organisation du centre socio-ducatif de lEtat

La Commission nationale sest prononce au sujet de

- lavant-projet de loi portant modification : 1. de la loi du 16 juin 2004 portant rorganisation du centre socio-ducatif de l'Etat ; 2. de la loi du 22 juin 1963 fixant le rgime des traitements des fonctionnaires de l'Etat ; 3. de la loi du 29 juin 2005 fixant les cadres du personnel des tablissements d'enseignement secondaire et secondaire technique ; 4. de la loi du 23 juillet 1952 concernant lorganisation militaire

(ci-aprs dsign le projet de loi ) ;

- et du projet de rglement grand-ducal portant organisation de lunit de scurit du centre socio-ducatif de lEtat (ci-aprs dsign le projet de rglement ).

Les deux textes ont principalement pour objet de rendre lorganisation de lunit de scurit du centre socio-ducatif de lE