Réclamation auprès de la Commission nationale pour la protection des données

Dernière modification le

Formulaire de réclamation devant la CNPD
Accéder aux services en ligne et formulaires

Les droits en matière de protection des données à caractère personnel (ci-après "données personnelles") sont renforcés pour tous les citoyens de l’Union européenne.

Toute personne dispose des droits d’information, d’accès, de rectification, à l’oubli, à la limitation, à la portabilité et d’opposition en ce qui concerne ses données personnelles (Ces droits sont détaillés et définis sous la rubrique "conditions préalables").  

Toute personne peut contacter directement le responsable du traitement de ses données personnelles (ci-après "responsable du traitement") afin de faire valoir ses droits.

Elle peut également déposer une réclamation auprès de la Commission nationale pour la protection des données (CNPD) si sa demande auprès du responsable du traitement est restée sans suite ou si cette demande s'avère difficile ou impossible compte tenu des circonstances.

Personnes concernées

Toute personne concernée par une collecte ou l’utilisation de ses données personnelles en ligne ou par tout autre moyen a le droit de faire valoir ses droits auprès du responsable du traitement.

Conditions préalables

Notion de consentement

Le responsable du traitement ne peut collecter et utiliser des données personnelles que si :

  • la personne concernée consent au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques,
  • le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsabble du traitement ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers à moins que ne prévalent les intérêts, libertés ou intérêts fondamentaux de la personne concernée qui exigent une protection des données personnelles (notamment s'il s'agit d'un enfant).

Non-respect du droit d’information

La personne concernée doit être informée par le responsable du traitement non seulement de la collecte de ses données personnelles mais également de tous les droits qui en découlent.

En cas de collecte directe auprès de la personne concernée, le responsable du traitement doit fournir à la personne concernée, sauf si elle en dispose déjà, au moment où les données en question sont obtenues, les informations suivantes :

  • son identité et ses coordonnées ainsi qu'éventuellement, celles de son représentant ;
  • les coordonnées du délégué à la protection des données s’il existe ;
  • les finalités et la base juridique du traitement ;
  • si le traitement se fonde sur des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, des informations sur ces intérêts ;
  • les destinataires ou les catégories de destinataires des données personnelles s’ils existent ;
  • si tel est le cas, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données personnelles vers un pays tiers de l’UE ou une organisation internationale ;
  • la durée de conservation des données personnelles ou , lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de demander au responsable du traitement l’exercice de ses droits (accès à ses données personnelles, leur rectification/effacement, droits de limitation, d’opposition et de portabilité des données) ;
  • le droit de retirer à tout moment son consentement lorsqu’il a été donné pour une ou plusieurs finalités spécifiques ;
  • le droit d’introduire une réclamation auprès de la CNPD ;
  • si l'exigence de fournir ses données personnelles :
    • a un caractère réglementaire ;
    • a un caractère contractuel ;
    • si elle conditionne la conclusion d'un contrat ;

et les conséquences éventuelles du refus de fournir ces données ;

  • l’existence et les conséquences d’une prise de décision automatisée, y compris le profilage ;
  • lorsque le responsable du traitement à l’intention d’effectuer un traitement ultérieur des données personnelles pour une finalité autre que celle pour laquelle elles ont été collectées, il doit fournir à la personne concernée des informations concernant cette autre finalité.

En cas de collecte indirecte (si les données n’ont pas été collectées directement auprès de la personne concernée), outre les informations fournies dans le cadre d’une collecte directe des données personnelles (exceptées les informations concernant l’exigence de les fournir et les conséquence d’un refus ainsi que celles relatives aux éventuels traitements ultérieurs) le responsable du traitement doit également fournir les informations suivantes :

  • les catégories de données personnelles concernées ;
  • la source d’où proviennent les données personnelles et éventuellement, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
  • dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;
  • au plus tard au moment de la première communication, si les données à caractère personnel doivent être utilisées par le responsable du traitement aux fins de communication avec la personne concernée ;
  • s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel lui sont communiquées pour la première fois.

Cependant, dans le cas d’une collecte indirecte, ces informations ne doivent pas être fournies si :

  • la personne concernée dispose déjà de ces informations ;
  • leur fourniture :
    • se révèle impossible ; ou
    • exige des efforts disproportionnés (concernant notamment le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou statistique) ; ou
    • est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement. Dans ces cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
  • l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union européenne ou la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ; ou
  • les données personnelles doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union européenne ou le droit des États membre, y compris une obligation légale de secret professionnel.

Les informations communiquées doivent être aisément accessibles, faciles à comprendre et formulées dans des termes clairs et simples.

Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.

Non-respect du droit d’accès

La personne concernée a, à tout moment et sans frais, le droit :

  • d'obtenir la confirmation que ses données personnelles sont ou non traitées;
  • d'accéder à ces données;
  • d'obtenir les informations suivantes:
    • les finalités du traitement;
    • les catégories de données personnelles concernées;
    • les destinataires des données personnelles (en particulier, s'il s'agit de pays hors UE et d'organisations internationales);
    • si possible, la durée de conservation des données personnelles ou sinon, les critères utilisés pour déterminer cette durée;
    • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données personnelles ou la limitation du traitement ou du droit de s'opposer au traitement;
    • le droit d'introduire une réclamation auprès de la CNPD;
    • en cas de collecte indirecte des données, toute infromation quant à leur source,
    • l'existence d'une prise de décision automatiséem y compris le profilage;
  •  une copie de toutes ses données personnelles détenues par un responsable du traitement (ex. dossier médical, dossier client, compte personnel sur un réseau social, etc.).

La personne concernée doit simplement contacter le responsable du traitement et en faire la demande par écrit ou par voie électronique.

Le responsable du traitement exiger le paiement de certains frais pour toute copie supplémentaire (notamment des frais de copies).

Le responsable du traitement doit répondre dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.

Au besoin, ce délai peut être prolongé de 2 mois, compte tenu de la complexité et du nombre des demandes. Dans ce cas, le responsable du traitement doit informer la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Non-respect du droit de rectification  

Lorsque des données personnelles collectées sont inexactes, incomplètes ou plus à jour, la personne concernée peut demander directement au responsable du traitement de les rectifier ou de les compléter.

Non-respect du droit à l’oubli

Il s’agit, dans certains cas, du droit pour la personne concernée de demander l’effacement de certaines données auprès du responsable du traitement, à savoir notamment si:

  • la conservation de certaines données de la personne concernée n'est plus justifiée;
  • le responsable du traitement n'a plus aucun motif légitime qui justifie la conservation des données personnelles de la personne concernée (par exemple: des obligations légales au  niveau de la comptabilité).
Le droit à l'oubli permet également à la personne concernée d'exiger le retrait immédiat de données personnelles collectées ou publiées sur un réseau social alors qu'elle était mineure et qu'elle n'avait pas pleinement conscience des risques inhérents au traitement.

Non-respect du droit à la limitation

Il permet d’interdire temporairement au responsable du traitement de continuer à utiliser des données personnelles pendant une certaine période, c’est-à-dire jusqu’au moment où il a vérifié :

  • l’exactitude des données concernant le droit de rectification ;
  • le motif d’effacement ou d’opposition invoqué.

Cela concerne également le cas où le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement mais que celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice.

Remarque :  le responsable du traitement pourra uniquement "stocker" les données personnelles mais ne pourra plus les utiliser.

La limitation peut être exercée selon diverses modalités (déplacement temporaire vers un autre fichier, verrouillage des données, retrait temporaire d'un site Internet, etc).

Non-respect du droit à la portabilité

Toute personne a le droit de demander au responsable du traitement de lui faire parvenir gratuitement les données :

  • qui lui ont été volontairement communiquées par la personne concernée pour une ou plusieurs finalités spécifiques ;
  • qu’il a reçu dans le cadre de l’exécution d’un contrat.

Ces données doivent être adressées dans un format structuré, couramment utilisé et lisible par machine (par exemple : sous format pdf).

Dans certains cas, il est également possible d’exiger du responsable du traitement qu’il transmette ces données directement à un autre responsable choisi par la personne concernée (réseau social, fournisseur d'accès Internet, site de streaming, etc.).

Lorsque le traitement effectué par l’administration se fonde sur sa mission d’intérêt public, le droit à la portabilité ne s’applique pas.

Non-respect du droit d’opposition

Toute personne peut s’opposer à la collecte ou l’utilisation de ses données personnelles.

La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant fondé sur un traitement nécessaire :

  • à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  • aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données personnelles, notamment lorsqu’il s’agit d’un enfant (ex. mon intérêt légitime).

Dans ce cas, le responsable du traitement ne traite plus les données personnelles, sauf s’il ne démontre qu'il existe des motifs légitimes et impérieux :

  • pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée; ou
  • pour la constatation, l'exercice ou la défense de droits en justice.

Lorsque les données personnelles sont traitées à des fins de prospection commerciale, la personne concernée a le droit de s'opposer, à tout moment, au traitement des données personnelles la concernant à de telles fins, y compris au profilage lié à une telle prospection.

Dans ce cas, les données personnelles ne sont plus traitées à ces fins de prospection.

Au plus tard au moment de la première communication avec la personne concernée, ce droit d’opposition est :

  • explicitement porté à l'attention de la personne concernée; et
  • est présenté clairement et séparément de toute autre information.

Démarches préalables

Tout personne qui constate ou estime que l’un ou plusieurs de ses droits ne sont pas respectés peut introduire une demande/réclamation auprès du responsable du traitement de ses données personnelles ou du moteur de recherche concerné.

Si, au cours d'une recherche, la personne concernée constate que le résultat est erroné ou n'est plus pertinent, elle peut contacter le moteur de recherche pour demander le déréférencement du résultat trouvé. La personne concernée devra, dans ce cas, expliquer la raison pour laquelle le résultat est faux ou non-pertinent (notamment, suppression d'anciennes photos, ancien CV). (Cette suppression ne signifie pas l'effacement de l'information sur le site Internet source et le droit du public, peut, dans certains cas, faire obstacle au déréférencement).

Si cette demande n’aboutit pas, la personne concernée peut introduire une réclamation auprès de la CNPD.

Coûts

Les réclamations auprès de la CNPD sont gratuites.

Modalités pratiques

Introduction de la plainte

Le formulaire de réclamation peut être déposé :

  • en ligne sur le site de la CNPD, ce qui a l’avantage d’accélérer le traitement de la réclamation ;
  • par courrier à l’adresse suivante : Commission nationale pour la protection des données, Service des réclamations, 15, boulevard du Jazz, L-4370 Belvaux.

Pièces justificatives

Le réclamant peut joindre des éléments de preuve et préciser leur nature dans les champs dédiés du formulaire.

Il est conseillé de ne transmettre que les pièces utiles au traitement de la réclamation. 

Les preuves peuvent être :

  • les correspondances complètes avec le responsable du traitement ;
  • les documents à l’appui de la réclamation (factures, contrats, etc.) ;
  • les messages ou courriers de prospections ;
  • des photographies ;
  • des prises d’écran ("screenshots") ;
  • tout autre document utile pour le traitement de la réclamation.

Litiges

En plus de la possibilité de pouvoir introduire une réclamation auprès de la CNPD, chaque personne concernée a le droit d’agir en justice si elle considère que ses droits n'ont pas été respectés par le responsable du traitement. Elle pourra ainsi éventuellement obtenir la réparation de ses dommages moral et/ou matériel.

Services en ligne et formulaires

Services en ligne

Formulaire de réclamation devant la CNPD

Autre(s) langue(s)

Formulaires à télécharger

Note : consultez notre article d’aide sur l’utilisation des formulaires PDF.

Modèle de lettre de la CNPD

WORD

Organismes de contact

Commission nationale pour la protection des données

Démarches et liens associés

Démarches

Information des salariés et des tiers de la surveillance du lieu de travail Traitement des données à caractère personnel Le Délégué à la Protection des données

Liens

Informations complémentaires

Références légales

Votre avis nous intéresse

Donnez-nous votre avis sur le contenu de cette page. Vous pouvez nous laisser un commentaire sur ce que nous pouvons améliorer. Vous ne recevrez pas de réponse à votre commentaire. Utilisez le formulaire de contact pour toute question particulière.

Les champs marqués d’une étoile (*) sont obligatoires.

Avez-vous trouvé ce que vous cherchiez ?*
Comment évaluez-vous cette page ?*
Très mauvaise
Très bonne

Écrivez un commentaire et aidez-nous à améliorer cette page. N'indiquez pas d'informations personnelles telles que votre e-mail, nom, numéro de téléphone, etc.

0/1000

Donnez un avis sur cette page

Votre avis a été envoyé avec succès !

Nous vous remercions pour votre contribution. Si vous avez besoin d'aide ou si vous avez des questions, merci d'utiliser le formulaire de contact.

Vous souhaitez contribuer à faciliter les services publics digitaux et soumettre des suggestions ?

Rendez-vous sur le site Zesumme Vereinfachen, la plateforme de participation en ligne dédiée à la simplification administrative au Luxembourg.

Simplifions ensemble

Une erreur est survenue

Oups, une erreur a été détectée, lors de votre action.