OBS IRIS Merlin
english francais deutsch

IRIS 2003-1:15/34

Luxembourg

Entrée en vigueur de la loi sur la protection des personnes à l'égard du traitement des données à caractère personnel

print add to caddie Word File PDF File

Marc Thewes

Avocat à la Cour, Luxembourg

La loi du 2 août 2002 sur la protection des personnes à l'égard du traitement des données à caractère personnel est entrée en vigueur le 1 décembre 2002. Cette loi procède à la transposition en droit luxembourgeois de la Directive 95/46/CEE et abroge la loi du 31 mars 1979 réglementant l'utilisation des données nominatives dans les traitements informatiques, restée pratiquement lettre morte.

Conformément aux orientations de la directive, la loi s'efforce d'assurer la qualité des données collectées (article 4), la légitimité des fins poursuivies par le traitement (article 5) et la protection des données traitées (article 22). Elle tend à assurer le droit d'accès de la personne aux données qui la concernent (article 28) et met en place une procédure d'opposition (article 30). La loi complète le dispositif prévu par la directive notamment en ce qui concerne les mesures de surveillance mises en place sur les lieux de travail. Ainsi la surveillance du travailleur afin de déterminer sa rémunération n'est permise que de façon temporaire et après que l'employeur ait informé le comité mixte d'entreprise.

Aux termes de l'article 12 de la loi, les traitements de données personnelles doivent en effet faire l'objet d'une notification préalable à la Commission nationale pour la protection des données, instituée par la loi et dont les membres ont été nommés en octobre 2002 pour une durée de six ans. Certains traitements de données considérées comme "sensibles" doivent même faire l'objet d'une autorisation préalable.

Conformément aux dispositions de la loi, la commission s'est dotée d'un règlement d'ordre intérieur et élabore actuellement un formulaire devant faciliter la notification des traitements par les personnes soumises à la législation. L'adoption de ce schéma, dont dépend l'application effective de l'obligation de notification, est actuellement attendue pour le début de l'année 2003. Aux termes de la loi, elle doit intervenir dans un délai ne dépassant pas quatre mois à dater de la nomination des membres de la commission.

L'article 33 de la loi permet à la commission de prendre des sanctions administratives à l'encontre du responsable d'un traitement qui violerait la loi. Elle peut notamment "interdire temporairement ou définitivement un traitement" ou "verrouiller, effacer ou détruire des données faisant l'objet d'un traitement contraire" à la loi. Un recours contre ces sanctions est possible devant les juridictions administratives.

Parmi les dispositions transitoires, on peut signaler que les traitements existants doivent être mis en conformité à la loi dans un délai de deux ans à dater de son entrée en vigueur.

références
Loi du 2 août 2002 sur la protection des personnes à l'égard du traitement des données à caractère personnel FR
 http://merlin.obs.coe.int/redirect.php?id=1218