Loi du 27 juillet 2007 portant modification
– de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel;
– des articles 4 paragraphe (3) lettre d); 5 paragraphe (1) lettre a); 9 paragraphe (1) lettre a) et 12 de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques et
– de l’article 23 paragraphe (2) points 1. et 2. de la loi du 8 juin 2004 sur la liberté d’expression dans les médias
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’Etat entendu;
De l’assentiment de la Chambre des Députés;
Vu la décision de la Chambre des Députés du 12 juillet 2007 et celle du Conseil d’Etat du 13 juillet 2007 portant qu’il n’y pas lieu à second vote;
Avons ordonné et ordonnons:
Article 1er. L’article 1er (objet) de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est modifié comme suit:
“La présente loi protège les libertés et les droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel (…)”.
Article 2. L’article 2 (définitions) de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est modifié comme suit:
1. La définition sous la lettre c) prend la teneur suivante:
(c) “consentement de la personne concernée”: toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que les données à caractère personnel fassent l’objet d’un traitement;
2. La définition sous la lettre e) prend la teneur suivante:
(e) “donnée à caractère personnel” (ci-après dénommée “donnée”): toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable (“personne concernée”); une personne physique est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique;
3. La définition sous la lettre (j) est supprimée.
4. Les lettres (k), (l), (m), (n), (o), (p), (q), (r) et (s) deviennent respectivement les lettres (j), (k), (l), (m), (n), (o), (p), (q) et (r).
5. La définition sous la lettre (n), devenue la lettre (m), est reformulée comme suit:
(m) “personne concernée”: toute personne physique qui fait l’objet d’un traitement de données à caractère personnel;
6. La définition sous la lettre (q), devenue la lettre (p), est reformulée comme suit:
(p) “surveillance”: toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des communications ou à l’utilisation d’appareils électroniques et informatisés.
Article 3. L’article 3 (champ d’application) a désormais la teneur suivante:
(1) La présente loi s’applique:
– au traitement automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données contenues ou appelées à figurer dans un fichier;
– à toute forme de captage, de traitement et de diffusion de sons et images qui permettent d’identifier des personnes physiques;
– au traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat, même liées à un intérêt économique ou financier important de
l’Etat, sans préjudice des dispositions spécifiques de droit national ou international régissant ces domaines.
(2) Est soumis à la présente loi:
(a) le traitement mis en oeuvre par un responsable du traitement établi sur le territoire luxembourgeois;
(b) le traitement mis en oeuvre par un responsable du traitement qui, sans être établi sur le territoire luxembourgeois ou sur celui d’un autre Etat membre de l’Union européenne, recourt à des moyens de traitement situés sur le territoire luxembourgeois, à l’exclusion des moyens qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre Etat membre de l’Union européenne.Pour le traitement mentionné à l’article 3, paragraphe (2) lettre (b), le responsable du traitement désigne par une déclaration écrite à la Commission nationale un représentant établi sur le territoire luxembourgeois qui se substitue au responsable du traitement dans l’accomplissement de ses obligations prévues par la présente loi sans que ce dernier ne soit dégagé de sa propre responsabilité.
(3) La présente loi ne s’applique pas au traitement mis en oeuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques.
Article 4. L’article 4 (qualité des données) paragraphe (2) est désormais libellé comme suit:
“(2) Un traitement ultérieur de données à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible avec les finalités déterminées pour lesquelles les données ont été collectées”.
Article 5. L’article 5 (légitimité du traitement) paragraphe 1er prend la teneur suivante:
“(1) Le traitement de données ne peut être effectué que:
(a) s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou
(b) s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le ou les tiers auxquels les données sont communiquées, ou
(c) s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou
(d) s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er , ou
(e) s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou
(f) si la personne concernée a donné son consentement”.
Article 6. L’article 6 (traitement de catégories particulières de données) est modifié de la façon suivante:
1. Le paragraphe 2 est modifié comme suit:
a) sous la lettre (a), l’adjectif “exprès” est ajouté à la notion de “consentement”.
b) Sous la lettre (b), le terme “notamment” est supprimé.
c) La lettre (f) est remplacée par le texte ci-après:
“(f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, ou lorsque”.
d) La lettre (g) s’énonce:
“(g) le traitement s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques sans préjudice de l’application de l’article 7 ci-après, ou lorsque”.
e) Est ajoutée une nouvelle lettre (i) libellée comme suit:
“(i) le traitement est mis en oeuvre dans le cadre d’un traitement de données judiciaires au sens de l’article 8”.
2. Le paragraphe 3 est abrogé dans sa forme actuelle.
3. Le paragraphe 4 actuel devient le paragraphe 3 nouveau et prend la teneur suivante:
“(3) Toutefois, les données génétiques ne peuvent faire l’objet d’un traitement que:
a) pour vérifier l’existence d’un lien génétique dans le cadre de l’administration de la preuve en justice, pour l’identification d’une personne, la prévention ou la répression d’une infraction pénale déterminée dans les cas visés au paragraphe (2) du présent article par les lettres (f), (h) et (i), ou
b) dans le cas visé au paragraphe (2) du présent article par la lettre (c) lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux, ou
c) dans le cas visé au paragraphe (2) du présent article par la lettre (g) lorsque le traitement s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques, ou
d) dans le cas visé à l’article 7, paragraphe (2) lorsque la personne concernée a donné son consentement exprès et si le traitement est effectué dans les seuls domaines de la recherche en matière de santé ou de la recherche scientifique sauf indisponibilité du corps humain et sauf dans le cas où la loi prévoit que l’interdiction visée au paragraphe (1) ne peut être levée par le consentement de la personne concernée.
Dans les cas où la loi permet la levée de l’interdiction par le consentement de la personne concernée, mais qu’il s’avère que pour des raisons pratiques le consentement est impossible à requérir ou disproportionné par rapport à l’objectif recherché et sans préjudice du droit d’opposition de la personne concernée, il peut être passé outre à l’exigence du consentement préalable dans des conditions à déterminer par règlement grandducal, ou
e) dans le cas visé à l’article 7, paragraphe (1), lorsque le traitement de données génétiques est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, ou de l’administration de soins ou de traitements. Dans ce cas, le traitement de ces données ne peut être mis en oeuvre que par les instances médicales”.
4. Le paragraphe 5 actuel est renuméroté en conséquence pour devenir le paragraphe 4 nouveau.
Article 7. L’article 7 (traitement de catégories particulières de données par les services de la santé) est désormais libellé comme suit:
“Sans préjudice de l’application de l’article 6 paragraphe (3) relatif au traitement des données génétiques:
(1) le traitement de données relatives à la santé et à la vie sexuelle nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements peut être mis en oeuvre par des instances médicales;
(2) le traitement de données relatives à la santé et à la vie sexuelle nécessaire aux fins de la recherche en matière de santé ou de la recherche scientifique peut être mis en oeuvre par des instances médicales, ainsi que par les organismes de recherche et par les personnes physiques ou morales dont le projet de recherche a été approuvé en vertu de la législation applicable en matière de recherche biomédicale. Si le responsable est une personne morale, il indique un responsable délégué soumis au secret professionnel;
(3) le traitement de données relatives à la santé et à la vie sexuelle nécessaire aux fins de la gestion de services de santé peut être mis en oeuvre par des instances médicales, ainsi que lorsque le responsable du traitement est soumis au secret professionnel, par les organismes de sécurité sociale et les administrations qui gèrent ces données en exécution de leurs missions légales et réglementaires, par les entreprises d’assurance, les sociétés gérant les fonds de pension, la Caisse médico-chirurgicale mutualiste et par celles des personnes physiques ou morales bénéficiant d’un agrément dans le domaine médico-social ou thérapeutique en vertu de la loi du 8 septembre 1998 réglant les relations entre l’Etat et les organismes oeuvrant dans les domaines social, familial et thérapeutique lorsqu’ils développent leur activité dans l’un des domaines à énumérer par règlement grandducal.
(4) Le recours à un sous-traitant est possible dans les conditions prévues à l’article 21.
Sous réserve que leur traitement soit en lui-même licite au regard des articles 6 et 7, les données y visées peuvent être communiquées à des tiers ou utilisées à des fins de recherche, d’après les modalités et suivant les conditions à déterminer par règlement grand-ducal.
Les prestataires de soins et les fournisseurs peuvent communiquer les données relatives à leurs prestations au médecin traitant et à un organisme de sécurité sociale ou à la Caisse médico-chirurgicale mutualiste aux fins de remboursement des dépenses afférentes.
(5) Quiconque effectue un traitement ou opère une communication à un tiers en violation des dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement ou de la communication contraires aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction”.
Article 8. L’article 9 paragraphe (1) (traitement réalisé dans le cadre de la liberté d’expression) est modifié comme suit:
1. Le paragraphe 2 est abrogé.
2. Dans la phrase introductive du paragraphe unique qui subsiste, la référence à la “législation sur la liberté dans les moyens de communication de masse” est remplacée par celle à la “loi du 8 juin 2004 sur la liberté d’expression dans les médias”.
3. La phrase finale sous la lettre a) prend la teneur suivante:
“lorsque le traitement se rapporte à des données rendues manifestement publiques par la personne concernée ou à des données qui sont en rapport direct avec la vie publique de la personne concernée ou avec le fait dans lequel elle est impliquée de façon volontaire;”
4. La lettre (e) est remplacée par le texte suivant:
“(e) au droit d’accès de la personne concernée qui est différé et limité conformément à l’article 29, paragraphe (3)”.
Article 9. L’article 10 (traitement à des fins de surveillance) est modifié comme suit:
1. Au paragraphe 1er
lettre (b), un double point est inséré après “le traitement nécessaire” suivi de 2 tirets, dont le deuxième tiret constitue une nouvelle condition de légitimité, libellés comme suit:
– “à la sécurité des usagers ainsi qu’à la prévention des accidents;
– à la protection des biens, s’il existe un risque caractérisé de vol ou de vandalisme”.
2. Au paragraphe 1er, lettre (c), le point est remplacé par une virgule, suivie de la conjonction “ou”.
3. Le paragraphe 1er est complété par une lettre (d) libellée comme suit:
“(d) si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement”.
Article 10. L’article 11 (traitement à des fins de surveillance sur le lieu de travail) se lira comme suit:
“Article 11 nouveau: Traitement à des fins de surveillance sur le lieu de travail
Le traitement à des fins de surveillance sur le lieu de travail ne peut être mis en œuvre par l’employeur, s’il est le responsable du traitement, que dans les conditions visées à l’article L.261-1 du Code du Travail”.
Article 11. A l’article 12 (notification préalable à la Commission nationale), les paragraphes 2 et 3 de l’article 12 sont remplacés par les dispositions libellées comme suit:
(2) Sont exemptés de l’obligation de notification:
(a) les traitements, sauf ceux à des fins de surveillance visés aux articles 10 ci-dessus et L.261-1 du Code du Travail, effectués par le responsable du traitement, s’il désigne un chargé de la protection des données. Le chargé de la protection des données établit et continue à la Commission nationale un registre comprenant les traitements effectués par le responsable du traitement, à l’exception de ceux exemptés de notification conformément au paragraphe (3) du présent article et conformément aux dispositions relatives à la publicité des traitements telles que prévues à l’article 15;
(b) les traitements ayant pour seul but la tenue d’un registre qui en vertu d’une disposition légale est destiné à l’information du public et qui est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime;
(c) les traitements mis en oeuvre par les avocats, notaires et huissiers, et nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice;
(d) les traitements mis en oeuvre aux seules fins de journalisme ou d’expression artistique ou littéraire visés à l’article 9;
(e) les traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.
(3) Sont en outre exemptés de l’obligation de notification:
(a) Les traitements de données qui se rapportent exclusivement à des données à caractère personnel nécessaires à l’administration des salaires des personnes au service ou travaillant pour le responsable du traitement, pour autant que ces données soient utilisées exclusivement pour l’administration des salaires visée et qu’elles soient uniquement communiquées aux destinataires qui y ont droit.
(b) Les traitements de données qui visent exclusivement la gestion des candidatures et des recrutements ainsi que l’administration du personnel au service ou travaillant pour le responsable du traitement.
Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8, ni à des données destinées à une évaluation de la personne concernée.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire, ou pour autant qu’elles soient indispensables à la réalisation des objectifs du traitement.
(c) Les traitements de données qui se rapportent exclusivement à la comptabilité du responsable du traitement, pour autant que ces données soient utilisées exclusivement pour cette comptabilité et que le traitement concerne uniquement des personnes dont les données sont nécessaires à la comptabilité.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition réglementaire ou légale ou pour autant que la communication soit indispensable pour la comptabilité.
(d) Les traitements de données qui visent exclusivement l’administration d’actionnaires, d’obligataires et d’associés, pour autant que le traitement porte uniquement sur les données nécessaires à cette administration, que ces données portent uniquement sur des personnes dont les données sont nécessaires à cette administration, que ces données ne soient pas communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire.
(e) Les traitements de données qui visent exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement.
Le traitement peut uniquement porter sur des clients ou des fournisseurs potentiels, existants ou anciens du responsable du traitement.
Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire, ou encore aux fins de la gestion normale d’entreprise.
(f) Les traitements de données qui sont effectués par une fondation, une association ou tout autre organisme sans but lucratif dans le cadre de leurs activités ordinaires.
Le traitement doit se rapporter exclusivement à l’administration des membres propres, des personnes avec qui le responsable du traitement entretient des contacts réguliers ou des bienfaiteurs de la fondation, de l’association ou de l’organisme.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire.
(g) Les traitements de données d’identification indispensables à la communication effectués dans le seul but d’entrer en contact avec l’intéressé, pour autant que ces données ne soient pas communiquées à un tiers.
La lettre (g) s’applique uniquement aux traitements de données non visés par une des autres dispositions de la présente loi.
(h) Les traitements de données portant exclusivement sur l’enregistrement de visiteurs, effectué dans le cadre d’un contrôle d’accès manuel, dans la mesure où les données traitées se limitent aux seuls nom, adresse professionnelle du visiteur, identification de son employeur, identification de son véhicule, nom, section et fonction de la personne visitée ainsi qu’au jour et à l’heure de la visite.
Ces données ne peuvent être utilisées exclusivement que pour le contrôle d’accès manuel.
(i) Les traitements de données qui sont effectués par les établissements d’enseignement en vue de gérer leurs relations avec leurs élèves ou étudiants.
Le traitement se rapporte exclusivement à des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels ou anciens de l’établissement d’enseignement concerné.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire.
(j) Les traitements de données à caractère personnel effectués par des autorités administratives si le traitement est soumis à des réglementations particulières adoptées par ou en vertu de la loi et réglementant l’accès aux données traitées ainsi que leur utilisation et leur obtention.
(k) Les traitements de données à caractère personnel nécessaires à la gestion des systèmes et réseaux informatiques et de communications électroniques, pourvu qu’ils ne soient pas mis en œuvre à des fins de surveillance au sens des articles 10 et 11 nouveau.
(l) Les traitements mis en oeuvre conformément à l’article 36 de la loi du 28 août 1998 sur les établissements hospitaliers à l’exception des traitements de données génétiques.
(m) Les traitements mis en oeuvre conformément à l’article 7 paragraphe (1) par un médecin et concernant ses patients à l’exception des traitements de données génétiques.
(n) Les traitements mis en oeuvre par un pharmacien et par un professionnel soumis à la loi modifiée du 26 mars 1992 sur l’exercice et la revalorisation de certaines professions de santé. Le traitement de données à caractère personnel se rapporte exclusivement à la délivrance des médicaments et aux soins ou prestations effectuées.
Ces données ne peuvent être communiquées à des tiers, sauf dans le cadre de l’application d’une disposition légale ou réglementaire.
Le paragraphe (4) reste inchangé.
Article 12. L’article 13 (contenu et forme de la notification) est modifié et complété comme suit:
Au paragraphe (1), lettre a) la référence au “sous-traitant” est supprimée. La lettre h) relative à la “durée de conservation” est également supprimée.
Les paragraphes 3 et 4 actuels sont fusionnés dans un paragraphe 3 nouveau au libellé suivant:
“(3) La notification se fait auprès de la Commission nationale moyennant support papier accompagné, le cas échéant, d’un support informatique ou d’une transmission par voie électronique suivant un schéma à établir par elle. Il est accusé réception de la notification.
Un règlement grand-ducal fixe le montant et les modalités de paiement d’une redevance à percevoir lors de toute notification et de toute modification de notification”.
Y est ajouté un paragraphe 4 nouveau à la teneur suivante:
“(4) Les traitements qui ont une même finalité, qui portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent faire l’objet d’une notification unique auprès de la Commission nationale.
Dans ce cas le responsable de chaque traitement adresse à la Commission nationale un engagement formel de conformité de celui-ci à la description figurant dans la notification”.
Article 13. L’article 14 (autorisation préalable de la Commission nationale) est modifié comme suit:
1. Le paragraphe 1er prend la teneur suivante:
(1) Sont soumis à l’autorisation préalable de la Commission nationale:
(a) les traitements de données génétiques visés au paragraphe (3) lettres (c) et (d) de l’article 6;
(b) les traitements à des fins de surveillance visés à l’article 10 dès lors que les données résultant de la surveillance font l’objet d’un enregistrement et à l’article 11 nouveau;
(c) les traitements de données à des fins historiques, statistiques ou scientifiques visés à l’article 4, paragraphe (2);
(d) l’interconnexion de données visée à l’article 16;
(e) le traitement concernant le crédit et la solvabilité des personnes concernées lorsque ce traitement est effectué par des personnes autres que des professionnels du secteur financier ou des compagnies d’assurance concernant leurs clients;
(f) les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes;
(g) l’utilisation de données à des fins autres que celles pour lesquelles elles ont été collectées. Un tel traitement ne peut être effectué que moyennant consentement préalable de la personne concernée ou s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée.
L’article 14 paragraphe (2) lettre (a): la référence au “sous-traitant” est supprimée et les termes “et le cas échéant” sont intercalés entre “le responsable du traitement” et “de son représentant”. La lettre (j) concernant “la durée de conservation” est supprimée.
3. Sont insérés, à la suite de l’actuel paragraphe 2, les paragraphes 3 et 4 nouveaux libellés comme suit:
“(3) Toute modification affectant les informations visées au paragraphe (2) doit être autorisée par la Commission nationale préalablement à la mise en œuvre du traitement”.
“(4) La demande d’autorisation se fait auprès de la Commission nationale moyennant support papier accompagné, le cas échéant, d’un support informatique ou d’une transmission par voie électronique. Il est accusé réception de la demande d’autorisation. Un règlement grand-ducal fixera le montant et les modalités de paiement d’une redevance à percevoir lors de toute autorisation et de toute modification d’autorisation”.
4. Les paragraphes 3 et 4 actuels deviennent respectivement les paragraphes 5 et 6 nouveaux.
Article 14. L’article 15 (publicité des traitements) est modifié de la façon suivante:
1. Le paragraphe 2, lettre (c), est remplacé par le texte que voici:
“(c) les traitements surveillés par le chargé de protection des données et continués à la Commission nationale en vertu de l’article 12, paragraphe (2), lettre (a), ainsi que l’identité de celui-ci”.
2. Le paragraphe 5, lettre (d), est remplacé par le texte ci-après:
“(d) la prévention, la recherche et la constatation d’infractions pénales et la lutte contre le blanchiment,”.
Article 15. A l’article 16 (interconnexion) paragraphe 1er, les termes “ou réglementaire” sont ajoutés à la suite des mots “par un texte légal”.
L’article 16, paragraphe (3) prend désormais la teneur suivante:
“L’interconnexion n’est autorisée que dans le respect des finalités compatibles entre elles de fichiers et du respect du secret professionnel auquel les responsables du traitement sont le cas échéant astreints”.
Article 16. L’article 17, paragraphe 1er est complété par une lettre (d) comportant la disposition ci-après:
“(d) la création et l’exploitation, aux fins et conditions visées sous (a), d’un système de vidéosurveillance des zones de sécurité. Est à considérer comme telle tout lieu accessible au public qui par sa nature, sa situation, sa configuration ou sa fréquentation présente un risque accru d’accomplissement d’infractions pénales.
Les zones de sécurité sont fixées dans les conditions prévues par règlement grand-ducal”.
Article 17. A l’article 19 (dérogations) à la lettre f) la référence à “l’article 12 paragraphe (3) lettre b)” est remplacée par celle de “article 12 paragraphe (2) lettre b)”.
Le paragraphe (2) du même article est modifié comme suit:
“(2) Dans le cas d’un transfert effectué vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 18, paragraphe (2), le responsable du traitement doit, sur demande de la Commission nationale, notifier à celleci, endéans la quinzaine de la demande, un rapport établissant les conditions dans lesquelles il a opéré le transfert”.
Article 18. L’article 20 (information réciproque) paragraphe 1er est remplacé par le texte énoncé ci-dessous:
“(1) La Commission nationale informe le ministre de toute décision prise en application des articles 18, paragraphes (3) et (4), et 19, paragraphe (3)”.
Article 19. A l’article 22 (sécurité des traitements), paragraphe 1er, la phrase finale est remplacée par la disposition suivante:
“Une description de ces mesures ainsi que de tout changement ultérieur majeur est, à sa demande et dans les quinze jours, communiquée à la Commission nationale”.
Article 20. A l’article 24 (secret professionnel), paragraphe 4, il y a lieu de faire référence aux paragraphes 1er et 2 de l’article 7.
Article 21. A l’article 26 (le droit à l’information de la personne concernée), à la fin des paragraphes (1) et (2) la référence à la “durée de conservation” est supprimée et un bout de phrase est ajouté qui a la teneur suivante: “dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données”.
Article 22. L’article 27 (exceptions au droit à l’information de la personne concernée) est modifié comme suit:
1. Le paragraphe 1er, lettre (d) prend la teneur suivante:
“(d) la prévention, la recherche, la constatation et la poursuite d’infractions pénales y compris celles à la lutte contre le blanchiment, ou le déroulement d’autres procédures judiciaires;”
2. Le paragraphe 1er est complété par une lettre (g), séparée par le signe “;” du texte repris sous la lettre (f), qui s’énonce:
“(g) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux lettres (c), (d) et (e)”.
Le paragraphe 2 se lit:
“(2) Les dispositions de l’article 26 sont susceptibles de dérogations lors de la collecte de données dans les cas prévus à l’article 9, lettres (c) et (d)”.
Article 23. L’article 28 (droit d’accès) est adapté comme suit:
1. Le paragraphe 4 est abrogé et les paragraphes subséquents sont renumérotés en conséquence.
2. Aux paragraphes 7 et 8, devenus les paragraphes 6 et 7, la référence au paragraphe 5 est remplacée par celle au paragraphe 4.
Article 24. L’article 29 (exceptions au droit d’accès) est modifié comme suit:
1. Le paragraphe 1er, lettre (d) prend la teneur suivante:
“(d) la prévention, la recherche, la constatation et la poursuite d’infractions pénales, y compris celles à la lutte contre le blanchiment, ou le déroulement d’autres procédures judiciaires;”
2. La lettre (g) du paragraphe 1er prend la teneur suivante:
“(g) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux lettres (c), (d) et (e)”.
La lettre (h) est supprimée.
3. Est inséré un paragraphe 3 nouveau, libellé comme suit:
“(3) Dans le cadre d’un traitement de données à caractère personnel effectué à des fins de journalisme ou d’expression artistique ou littéraire, toute personne a un droit d’accès aux données la concernant. Toutefois, dans tous les cas, le droit d’accès de la personne concernée aux données la concernant et utilisées dans le cadre d’un traitement mis en oeuvre aux fins de journalisme ou d’expression artistique ou littéraire est limité dans la mesure où il ne peut pas porter sur des informations relatives à l’origine des données et qui permettraient d’identifier une source. Sous cette réserve l’accès doit être exercé par l’intermédiaire de la Commission nationale pour la protection des données en présence du Président du Conseil de Presse ou de son représentant, ou le Président du Conseil de Presse dûment appelé”.
4. Les paragraphes 3, 4 et 5 deviennent respectivement les paragraphes 4, 5 et 6 nouveaux.
5. Au paragraphe 5 devenu le paragraphe 6 nouveau, la référence au paragraphe 3 ancien est remplacée par celle au paragraphe 4.
Article 25. A l’article 30 (droit d’opposition de la personne concernée), paragraphe 1er, lettre (b), la précision “des données” est à ajouter “au traitement” mentionné.
Article 26. A l’article 32 (missions et pouvoirs de la Commission nationale), paragraphe 5, la référence à l’article 29, paragraphe 4 est remplacée par celle renvoyant à l’article 29, paragraphe 5.
Article 27. L’article 34 (composition de la Commission nationale) est modifié comme suit:
1. Au paragraphe 2 sont insérés à la suite de l’alinéa 5 les alinéas 6 et 7 nouveaux de la teneur qui suit:
“Par traitement, indemnité ou salaire au sens du présent article on entend l’émolument fixé pour les différentes fonctions physiques au moment de sa nomination, y compris toutes les majorations pour ancienneté de service, avancements et promotions auxquels le fonctionnaire, employé ou ouvrier peut prétendre en vertu d’une disposition légale, d’une disposition réglementaire prise en vertu d’une loi et du contrat collectif des ouvriers de l’Etat, s’il avait continué à faire partie de son administration ou établissement d’origine.
Ne sont pas compris dans le terme traitement, indemnité et salaire, les remises, droits casuels, indemnités de voyage ou de déplacement, frais de bureau et autres lorsqu’ils ne sont pas à considérer, d’après les dispositions qui les établissent, comme constituant une partie intégrante du traitement, de l’indemnité ou du salaire”.
2. Les alinéas subséquents sont décalés de deux unités.
3. L’alinéa 6, devenu l’alinéa 8 nouveau, prend la teneur ci-après:
“En cas de cessation de mandat, le membre concerné est réintégré sur sa demande dans son administration d’origine à un emploi correspondant aux grade et échelon atteints à la fin de son mandat”.
Article 28. Le paragraphe 1er de l’article 36 (statut des membres et agents de la Commission nationale) prend la teneur suivante:
“(1) Le cadre du personnel de la Commission nationale comprend les fonctions et emplois suivants:
a) dans la carrière supérieure de l’attaché de direction, grade de computation de la bonification d’ancienneté: grade 12,
– des conseillers de direction 1ère classe;
– des conseillers de direction;
– des conseillers de direction adjoints;
– des attachés de direction 1ers en rang;
– des attachés de direction.
b) dans la carrière supérieure de l’ingénieur, grade de computation d’ancienneté: grade 12,
– des ingénieurs 1ère classe;
– des ingénieurs-chef de division;
– des ingénieurs principaux;
– des ingénieurs-inspecteurs;
– des ingénieurs.
c) dans la carrière moyenne de l’ingénieur technicien, grade de computation de la bonification d’ancienneté: grade 7,
– des ingénieurs techniciens inspecteurs principaux 1ers en rang;
– des ingénieurs techniciens inspecteurs principaux;
– des ingénieurs techniciens-inspecteurs;
– des ingénieurs techniciens principaux;
– des ingénieurs techniciens.
d) dans la carrière moyenne du rédacteur, grade de computation de la bonification d’ancienneté: grade 7,
– des inspecteurs principaux 1ers en rang;
– des inspecteurs principaux;
– des inspecteurs;
– des chefs de bureau;
– des chefs de bureau adjoints;
– des rédacteurs principaux;
– des rédacteurs.
Les agents des carrières prévues ci-dessus sont des fonctionnaires de l’Etat”.
Article 29. L’article 37 (dispositions financières) est adapté comme suit:
1. Au paragraphe 4, il y a lieu d’écrire “aux articles 13 et 14”, en remplacement des mots “à l’article 13 de la présente loi”.
2. Le paragraphe 5 est abrogé.
Article 30. L’article 40 (le chargé de la protection des données) est modifié de la manière suivante:
1. Au paragraphe 1er
, les termes “dans le cadre de l’article 12, paragraphe 3 sous (a) et aux fins y visées” sont supprimés.
2. La lettre a) du paragraphe (3) est supprimée. La lettre b) de l’article 40 paragraphe (3) devient le paragraphe (4) nouveau reformulé.
3. Le paragraphe (3) est désormais libellé comme suit:
“(3) Dans l’exercice de ses missions le chargé de la protection des données est indépendant vis-à-vis du responsable du traitement qui le désigne.
Afin de pouvoir s’acquitter de ses missions, le chargé de la protection des données doit disposer d’un temps approprié.
Les missions ou activités exercées concurremment par le chargé de la protection des données ne doivent pas être susceptibles de provoquer un conflit d’intérêt avec l’exercice de sa mission”.
4. Le paragraphe (4) nouveau a désormais la teneur suivante:
“(4) Le chargé de la protection des données ne peut faire l’objet de représailles de la part de l’employeur du fait de l’exercice de ses missions, sauf violation de ses obligations légales ou conventionnelles”.
5. Les paragraphes suivants sont renumérotés.
6. Au paragraphe initial (paragraphe (7) nouveau), le bout de phrase “ainsi que d’assises financières d’une valeur de 20.000 euros” est supprimé.
7. Les paragraphes subséquents sont renumérotés et restent inchangés.
Article 31. L’article 41 (dispositions spécifiques) est adapté en ce sens:
1. Le paragraphe 1er, alinéa final se lit désormais:
“La centrale des secours d’urgence 112, les centres d’appels d’urgence de la police grand-ducale et la centrale du service d’incendie et de sauvetage de la Ville de Luxembourg accèdent dans les mêmes conditions et modalités que les autorités visées à l’alinéa précédent aux seules données concernant l’identité des abonnés et utilisateurs des opérateurs et fournisseurs de communications électroniques”.
2. Le paragraphe 3 prend la teneur suivante:
“L’accès de plein droit se limite aux mesures spéciales de surveillance telles que prévues aux articles 88-1 à 88-4 du Code d’instruction criminelle, celles prises en matière de crime flagrant ou dans le cadre de l’article 40 du Code d’Instruction criminelle et aux mesures particulières de secours d’urgence prestées dans le cadre des activités de la centrale des secours d’urgence 112, des centres d’appels d’urgence de la police grand-ducale et de la centrale du service d’incendie et de sauvetage de la Ville de Luxembourg”.
3. Un paragraphe 5 y est ajouté qui s’énonce:
“(5) L’autorité de contrôle visée à l’article 17, paragraphe (2) veille au respect du présent article”.
Article 32. A l’article 42 (dispositions transitoires) un nouveau paragraphe (4) est inséré et libellé comme suit:
“(4) Pour l’application des dispositions de l’article 34 ci-dessus, la rémunération de l’agent nommé le 14 octobre 2002 membre effectif de la Commission nationale pour la protection des données et titulaire d’un diplôme universitaire en informatique est fixée en supposant qu’une nomination fictive à la fonction d’attaché de gouvernement soit intervenue le 1er novembre 2002, qu’il ait bénéficié d’une promotion à la fonction d’attaché de gouvernement premier en rang le 1er novembre 2005 et qu’il bénéficierait d’une promotion à la fonction de conseiller de direction adjoint au plus tôt le 1er novembre 2008″.
Article 33. A l’article 44 (dispositions finales), un nouveau paragraphe (3) est ajouté et libellé comme suit:
(3) l’article 4 paragraphe (3) lettre d) de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques doit être modifié comme suit:
– à l’alinéa 1er, il y a lieu de compléter le bout de phrase “afin de fournir une preuve d’une transaction commerciale” par “afin de fournir une preuve d’une transaction commerciale ou de toute autre communication commerciale”;
– à l’alinéa 2, la première phrase débute comme suit: “Les parties aux transactions ou à toutes autres communications commerciales…”.
Au même article, un nouveau paragraphe (4) est ajouté et libellé comme suit:
(4) Aux articles 5 paragraphe (1) lettre a) et 9 paragraphe (1) lettre a) de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques la durée de “12 mois” est remplacée par celle de “6 mois”.
Au même article, un nouveau paragraphe (5) a désormais la teneur suivante:
“(5) L’article 12 de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques est complété à la fin par l’ajout suivant: “(…) sans préjudice de l’application de l’article 8 de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel”.
Un nouveau paragraphe (6) est ajouté. Il est libellé comme suit:
(6) L’article 23 de la loi du 8 juin 2004 sur la liberté d’expression dans les médias est modifié comme suit:
Au point 1. du paragraphe (2) est rajouté après les mots “et éditeurs” le bout de phrase suivant: “y compris dans le domaine des traitements de données à caractère personnel”.
Au point 2 du même paragraphe est intercalé entre les mots “par la voie d’un média” et “sans préjudice des pouvoirs réservés” le bout de phrase suivant: “y compris des plaintes concernant le respect des droits et libertés des personnes en matière de traitement des données à caractère personnel”.
Article 34. Entée en vigueur
La présente loi entre en vigueur le premier jour du premier mois qui suit sa publication au Mémorial.
Mandons et ordonnons que la présente loi soit insérée au Mémorial pour être exécutée et observée par tous ceux que la chose concerne.
Cabasson, le 27 juillet 2007. Henri
Le Ministre des Communications, Jean-Louis Schiltz
Le Ministre de la Fonction Publique et de la Réforme Administrative, Claude Wiseler
Le Ministre de la Justice, Luc Frieden