Traitement des données à caractère personnel

Dernière mise à jour de cette page le 11-03-2016

Cette page est en cours de mise à jour.

Dans le cadre de ses activités, l'employeur peut être amené à collecter et à enregistrer des données personnelles. Il peut s'agir par exemple d'une collecte de données à des fins commerciales, à des fins de surveillance ou encore pour des raisons de sécurité.

La collecte et le traitement de données personnelles doivent toujours être proportionnels à l'objectif poursuivi. La Commission nationale pour la protection des données (CNPD) vérifie cette proportionnalité, ainsi que la légitimité des motifs du traitement.

L'entreprise doit, en règle générale, notifier tout traitement de données à caractère personnel à la CNPD.

Certains types de traitements de données sont toutefois exemptés de notification, tandis que d'autres doivent faire l'objet d'une autorisation préalable. Dans certains cas, l'autorisation préalable peut être demandée selon une procédure simplifiée.

L'entreprise doit également informer chaque personne concernée sur le traitement de données mis en place.

Formulaires / Services en ligne

Effectuez votre démarche

* Peut être déposé en ligne via MyGuichet

Personnes concernées

Les déclarations préalables de traitements de données à caractère personnel doivent être introduites par le responsable du traitement, c'est-à-dire :

  • la personne physique elle-même ;
  • ou, dans le cas d'une personne morale, les personnes habilitées à engager l'entreprise.

Le responsable du traitement peut également mandater un tiers (par exemple un avocat).

Il peut, par ailleurs, désigner un chargé de la protection des données agréé par la CNPD, afin de se décharger des notifications de traitement de données. Il reste néanmoins tenu d'introduire les demandes d'autorisation éventuelles.

Pour tout traitement de données à caractère personnel, l'entreprise doit en informer :

  • les salariés concernés ;
  • les personnes externes à l'entreprise qui sont également concernées (clients, fournisseurs, visiteurs) ;
  • en cas de surveillance sur le lieu de travail, les représentants des salariés (le comité mixte jusqu'aux prochaines élections sociales, ou, à défaut, la délégation du personnel, ou à défaut, l'ITM).

A noter que les comités mixtes cesseront d'exister à partir des élections sociales qui se dérouleront après le 1er janvier 2016. A compter de ces élections, les prérogatives attribuées aux comités mixtes seront exercées par les délégations du personnel mises en place dans les entreprises occupant au moins 150 salariés durant les 12 mois précédant le 1erjour du mois de l'affichage annonçant les élections.


En attendant les prochaines élections, les comités mixtes mis en place à ce jour conservent leurs attributions.

Modalités pratiques

Traitements de données visés

Notification préalable 

Tout traitement de données à caractère personnel qui n'est ni exempté de notification, ni soumis à autorisation préalable doit faire l'objet d'une notification auprès de la CNPD.

Les modifications d'un traitement, ainsi que la fin (arrêt définitif) de ces traitements doivent également être notifiées à la CNPD.

Cas particulier


Si l'employeur a désigné un chargé de la protection des données, il n'est pas tenu de notifier ses traitements à la CNPD, hormis en cas de traitement à des fins de surveillance.

Exemption

Sont par exemple exemptés de notification les traitements de données à caractère personnel qui :

  • sont nécessaires à l'administration des salaires ;
  • visent exclusivement la gestion des candidatures et des recrutements, ainsi que l'administration du personnel ;
  • se rapportent exclusivement à la comptabilité ;
  • visent exclusivement l'administration d'actionnaires, d'obligataires et d'associés ;
  • visent exclusivement la gestion de la clientèle ou des fournisseurs ;
  • sont indispensables à la communication en vue d'entrer en contact avec l'intéressé ;
  • portent sur l'enregistrement des visiteurs, effectué dans le cadre d'un contrôle d'accès manuel.

Dans la plupart de ces cas, l'exemption est valable à condition que les données recueillies ne soient pas divulguées à des tiers.

Autorisation préalable

Doivent faire l'objet d'une demande d'autorisation préalable :

  • le traitement de données résultant de la surveillance, et plus particulièrement de la surveillance sur le lieu de travail, y compris :
    • la vidéosurveillance (formulaire de demande d'autorisation) ;
    • les contrôles électroniques des accès (par exemple les badges) ;
    • les contrôles électroniques des horaires de travail ;
    • le traçage des communications et/ou l'enregistrement d'entretiens téléphoniques ;
    • le contrôle de l'utilisation d'internet ou des courriers électroniques ;
    • la géolocalisation (GPS), etc. ;
  • le traitement de données biométriques, telles que l'empreinte digitale à des fins de contrôle d'identité ;
  • le transfert de données hors Union européenne ;
  • le traitement de données génétiques (à des fins autres que la sauvegarde des intérêts vitaux, la médecine préventive, les diagnostics médicaux ou l'administration de soins et traitements) ;
  • l'interconnexion de données ;
  • le traitement ultérieur de données à d'autres fins (historiques, statistiques, scientifiques, etc) ;
  • le traitement de données relatives au crédit et la solvabilité de personnes (lorsqu'il n'est pas effectué par un professionnel du secteur financier à l'égard de ses propres clients).
Parmi ces autorisations, les autorisations relatives au contrôle des horaires de travail et au contrôle électronique des accès peuvent être demandées selon une procédure simplifiée.

Notification préalable

Le requérant doit adresser une notification préalable dûment complétée et signée à la CNPD. Le formulaire, accompagné, le cas échéant, des documents explicatifs, doit être envoyé :

  • soit par e-mail à l'adresse notifications@cnpd.lu, après signature électronique au moyen d'un dispositif Luxtrust ;
  • soit sur papier dûment signé, accompagné, le cas échéant, d'une version électronique sur support informatique (CD-Rom, stick USB, etc.).
L'envoi par e-mail ou sur support informatique donne droit à une réduction de la redevance de 25 euros (voir tableau ci-après).

Le même formulaire sert pour la notification initiale d'un traitement ou celle relative à sa modification.

Dès l'introduction de sa notification préalable, le requérant doit verser une redevance sur le compte CCP IBAN LU31 1111 2052 2570 0000 de la CNPD (BIC : CCPL LULL)

Type de demande

Support utilisé pour établir la demande

Montant de la redevance

Notification préalable

Papier seul

125 euros

Papier et version électronique

100 euros

Version électronique avec signature électronique

100 euros

Notification de modification *

Papier seul

75 euros

Papier et version électronique

50 euros

Version électronique avec signature électronique

50 euros

Notification de fin de traitement

Pas de redevance

* Les déclarations de modifications "mineures" (dénomination, adresse, etc.) n'ayant pas directement trait au traitement sont gratuites.

De plus, une notification de fin de traitement est nécessaire si le traitement est arrêté de façon définitive. Cette notification est gratuite.

Cas particulier

Si l'employeur a désigné un chargé de la protection des données, il n'est pas tenu de notifier ses traitements à la CNPD, hormis en cas de traitement à des fins de surveillance.

Autorisation - démarche simplifiée

La CNPD peut autoriser de façon générale un type spécifique de traitement de données.

Le système de traitement ainsi autorisé est décrit précisément dans un document intitulé "décision unique".

Tout employeur qui met en place un système conforme aux exigences de ce document peut bénéficier de cette autorisation.

Pour bénéficier de cette autorisation, il doit adresser à la CNPD un engagement formel de conformité déclarant que le traitement de données mis en place est conforme à la description figurant dans la décision unique.

Il existe actuellement 3 types de "décision unique" concernant les entreprises pouvant donner lieu à un engagement formel de conformité :

Les engagements formels de conformité ne donnent pas lieu au paiement d'une redevance.

Dès que le dossier contient les informations requises, la CNPD peut décider dans quelle mesure l'autorisation peut être accordée ou non.

En cas de besoin, la CNPD peut s'adresser au requérant en vue de compléter le dossier.

Information des personnes concernées

Pour tout traitement de données à caractère personnel, l'employeur doit, en principe, en informer chaque personne concernée individuellement et par écrit.

Cette information doit mentionner :

  • les finalités pour lesquelles les données sont utilisées ;
  • l'identité du responsable du traitement.

De plus, l'information indique également (dans la mesure où c'est nécessaire pour assurer un traitement loyal des données) :

  • les catégories de données concernées ;
  • les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;
  • l'existence, pour la personne, d'un droit d'accès aux données la concernant et de rectification de ces données.

En pratique, l'information se fait le plus souvent par un document contresigné par la personne (note interne, contrat de travail, avenant, document de collecte des données, etc.).

Dans le cas d'une vidéosurveillance, l'information peut se faire par le biais d'un pictogramme affiché de manière bien visible dès que la personne concernée accède au site surveillé. Les informations mentionnées ci-dessus lui sont communiquées sur demande.

Organismes de contact

1, avenue du Rock'n'Roll
4e étage
L-4361 - Esch-sur-Alzette
Luxembourg
Tél. : (+352) 26 10 60-1
Fax : (+352) 26 10 60-29