Le responsable du traitement peut être tout organisme :

• privé ou public ;
• quel que soit sa taille et son activité ;
• qui traite des données personnelles d’une personne concernée pour son compte ou non, dès lors :
  • qu’il est établi sur le territoire de l’UE; ou
  • que son activité cible directement des personnes qui se trouvent sur le territoire de l’UE, même si l’organisme est établi en dehors de l’UE.

Par exemple, sont soumis au RGPD : une société établie au Luxembourg, qui exporte l’ensemble de ses produits en dehors de l’UE ou une société établie en dehors de l’UE, proposant un site de e-commerce en français, allemand, luxembourgeois et livrant des produits au Luxembourg.

Les personnes concernées sont les différents individus concernés par un traitement de leurs données personnelles.

Traitements de données visés

Le responsable du traitement/sous-traitant doit :

• traiter les données personnelles de manière licite, loyale et transparente au regard de la personne concernée ;
• limiter la quantité des données collectées à ce qui est strictement nécessaire à la finalité du traitement et ne pas les traiter ultérieurement d'une manière incompatible avec cette finalité ;
• s’assurer que les données personnelles traitées soient exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données personnelles inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées/rectifiées sans tarder ;
• conserver les données personnelles sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
• traiter les données personnelles de façon à garantir leur sécurité, intégrité et confidentialité. Il doit également garantir la protection des données personnelles, par des mesures organisationnelles appropriées, contre :
  • le traitement non autorisé ou illicite et ;
  • la perte, la destruction ou les dégâts d'origine accidentelle.

Le responsable du traitement/sous-traitant doit s’assurer que le traitement est licite. Le traitement doit dès lors être :

• nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (contrat de travail, contrat de vente, etc.) ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou ;
• nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (obligation de l’employeur de procéder à la retenue d’impôt sur le revenu du salarié, etc.), ou ;
• fondé sur le consentement libre, spécifique, éclairé et univoque de la personne concernée (données personnelles librement fournies par un client à un commerçant, etc.) ;
• nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
• nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
• nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données personnelles, notamment lorsque la personne concernée est un enfant.

Remarque : les données personnelles peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins :

• archivistiques dans l'intérêt public ;
• de recherche scientifique ou historique ;
• statistiques.

Dans ce cas, le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés de la personne concernée.

Consentement des personnes concernées

Le responsable du traitement/sous-traitant doit au moment de la collecte de données personnelles obtenir le consentement de la personne concernée par le traitement, si le consentement constitue la base de légitimité tel qu’expliqué ci-dessus. Si le traitement se base par exemple sur l’exécution d’un contrat ou sur le respect d’une obligation légale, le recueil du consentement n’est pas requis.

Le consentement doit être donné expressément. Il n’y a pas de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Information des personnes concernées

Le responsable du traitement/sous-traitant doit également, lors de la collecte de données, informer  la personne concernée des conditions du traitement qu’il compte effectuer sur ces données, indépendamment de la base de légitimité utilisée tel qu’expliqué ci-dessus. Il doit notamment préciser :

• l'identité et les coordonnées du responsable du traitement et, le cas échéant, les coordonnées du délégué à la protection des données ;
• les catégories de données concernées ;
• les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;
• le but du traitement ;
• le fondement légal ;
• la durée de conservation des données ;
• l’existence éventuelle de transferts de données hors de l’UE ;
• les droits dont dispose la personne concernée (droit d’accès, droit de rectification, droit à la limitation, droit d’opposition, droit à l’oubli et droit à la portabilité des données et le droit d'introduire une réclamation auprès de la CNPD).

Pour tout traitement de données personnelles, l'entreprise doit ainsi en informer :

• les salariés concernés ;
• les personnes externes à l'entreprise qui sont également concernées (clients, fournisseurs, visiteurs) ;
• en cas de surveillance sur le lieu de travail les représentants des salariés (le comité mixte jusqu'aux prochaines élections sociales, ou, à défaut, la délégation du personnel, ou à défaut, l'ITM).

En pratique, l'information se fait le plus souvent par un document contresigné par la personne (note interne, contrat de travail, avenant, document de collecte des données, etc.).

Dans le cas d'une vidéosurveillance, l'information peut se faire par le biais d'un pictogramme affiché de manière bien visible dès que la personne concernée accède au site surveillé. Les informations mentionnées ci-dessus lui sont communiquées sur demande.

Sécuriser le traitement des données

Le responsable du traitement/sous-traitant doit prendre les précautions nécessaires tout au long du cycle de la gestion des données qu’il traite (depuis la collecte jusqu’à la destruction) afin de garantir la sécurité des données.

Il doit notamment mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, à savoir notamment par :

• la pseudonymisation et le chiffrement des données personnelles;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données personnelles et l'accès à celles-ci dans les meilleurs délais en cas d'incident physique ou technique ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles.

Lors de l'évaluation du niveau de sécurité approprié, le responsable du traitement doit en particulier tenir compte des risques que présente le traitement, résultant notamment :

• de la destruction des données personnelles ;
• de leur perte ;
• de leur altération ;
• de la divulgation non autorisée aux données transmises, conservées ou traitées d'une autre manière ;
• de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

L’entreprise doit également prendre des mesures afin de garantir que ses salariés, ou toute autre personne physique agissant sous son autorité et qui ont accès à des données personnelles, ne les traitent que sur instruction de sa part.

Tenue d’un registre des traitements

Chaque responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité.

La tenue d’un registre n’est pas nécessaire si l’entreprise ou l’organisation concernée compte moins de 250 salariés, à moins que le traitement qu'elles effectuent :

• soit susceptible de comporter un risque pour les droits et des libertés des personnes concernées ;
• s'il n'est pas occasionnel ou ;
• s'il porte notamment sur des données dites « sensibles » ou sur des données personnelles relatives à des condamnations pénales et à des infractions.

En cas de doute, il est recommandé d’établir un tel registre.

De même, chaque sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Le registre doit contenir :

• le nom et les coordonnées du responsable du traitement ou de son représentant légal et, s’il a été désigné, du DPO ;
• les responsables des services opérationnels traitant les données au sein de l’entreprise ;
• la liste des sous-traitants,
• les catégories de données traitées ;
• les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple : les données relatives à la santé ou les infractions) ;
• la ou les finalités pour lesquelles les données sont collectées ou traitées (par exemple : gestion de la relation commerciale, gestion des ressources humaines) ;
• le lieu où les données sont hébergées ;
• les destinataires et les pays vers lesquels les données sont transférées ;
• pour chaque catégorie de données, la durée pendant laquelle les données seront conservées ;
• les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et d’impact sur la vie privée des personnes concernées.

Le registre doit, sur demande, être mis à la disposition de la CNPD.

• Il est également possible pour le responsable du traitement/sous-traitant de créer un registre des traitements dans le « GDPR Compliance Support Tool » développé par la CNPD.

Analyse d’impact relative à la protection des données

Le responsable du traitement/sous-traitant doit mener une analyse d’impact relative à la protection des données (AIPD) :

• avant le traitement de ces données ;
• pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques et ce, notamment en raison au recours à de nouvelles technologies et compte tenu :
  • de la nature du traitement ;
  • de sa portée ;
  • du contexte ;
  • de ses finalités.

Une AIPD peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

 L’AIPD permet :

• d'élaborer un traitement de données personnelles ou un produit respectueux de la vie privée ;
• d’apprécier les impacts sur la vie privée des personnes concernées ;
• de démontrer que les principes fondamentaux du RGPD sont respectés.

Le responsable du traitement/sous-traitant a l’obligation de réaliser une AIPD si le traitement présente un risque élevé dans les cas où il :

• effectue une évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé (y compris le profilage);
• procède à un traitement à grande échelle de catégories particulières de données (en matière de santé, pénales) ou ;
• effectue une surveillance systématique à grande échelle d’une zone accessible au public (traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris les données collectées à partir d'une surveillance systématique des lieux accessibles au public).

Lorsque le responsable du traitement/sous-traitant effectue une AIPD, il demande conseil à son Délégué à la Protection des Données (DPO), s’il a été désigné.

L’AIPD contient :

• une description du traitement et de ses finalités, y compris, le cas échéant, l’intérêt légitime poursuivi par l’entreprise ;
• une évaluation de la nécessité et de la proportionnalité du traitement au regard de ses finalités ;
• une appréciation des risques pour les droits et libertés des personnes concernées ;
• les mesures envisagées pour traiter ces risques ( les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données personnelles)
• la preuve du respect au RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées par le traitement.

Exemple : Une société doit mener une AIPD lorsqu’elle surveille l’usage de l’outil informatique (Internet, courriels, ordinateurs, logiciels, etc.).

Consultation préalable au traitement à la CNPD

Si, dans l’analyse de risques sur les droits et libertés des personnes concernées, il en résulte un ou plusieurs risques résiduels élevés non traités, le responsable du traitement/sous-traitant doit consulter la CNPD.

Cette consultation doit être faite suite à l’AIPD et avant la mise en œuvre du traitement envisagé.

La CNPD donne un avis sur le traitement envisagé et sa gestion des risques. Le traitement ne peut pas être mis en œuvre avant :

• la réception de l’avis de la CNPD, et ;
• la mise en œuvre des recommandations éventuelles de la CNPD.

La demande de consultation préalable doit être transmise à la CNPD avec le formulaire (Word, 46 Ko) de soumission d’une AIPD. Le formulaire dûment rempli et signé doit être renvoyé par courriel à l’adresse email aipd@cnpd.lu.

Remarque : il ne s’agit pas d’une consultation préalable "générale", mais uniquement :

• dans le contexte de l’AIPD et ;
• si le traitement présente un risque élevé au cas où le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

L’entreprise peut également utiliser la clé de chiffrement fournie par la CNPD afin de garantir la confidentialité des documents lors du transfert.

En cas de demande incomplète, son traitement sera suspendu jusqu’à ce que la CNPD obtienne les informations nécessaires pour les besoins de la consultation.

La CNPD peut demander des informations à l’entreprise pour aviser l’AIPD.

La CNPD dispose d’un délai maximum de 8 semaines à compter de la réception de la demande de consultation pour fournir un avis écrit au responsable de traitement/sous-traitant. Ce délai peut être prolongé de 6 semaines, en fonction de la complexité du traitement envisagé.

La CNPD informe le responsable du traitement/sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Les délais peuvent être suspendus jusqu'à ce que la CNPD obtienne les informations demandées.

Violation de données à caractère personnel

En cas de violation de données à caractère personnel, le responsable du traitement doit le documenter dans un registre interne en indiquant :

• les faits concernant la violation ;
• ses effets ;
• les mesures prises pour y remédier, même celles qui ne sont pas à notifier à la CNPD.

La CNPD peut demander l’accès à ce registre pour vérifier le respect des obligations par le responsable du traitement ou le sous-traitant liées à la gestion des violations de données.

Si la violation de données présente un risque pour les droits et libertés des personnes, l’entreprise doit en faire une notification à la CNPD dans un délai de 72 heures après en avoir pris connaissance.

Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement/sous-traitant doit informer les personnes concernées de cette violation de données personnelles dans les meilleurs délais.

Le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

La notification est faite sur base d’un formulaire (Word, 67 Ko) proposé par la CNPD.

La notification peut être adressée par courriel à l’adresse email databreach@cnpd.lu. Pour sécuriser la transmission des informations en les chiffrant, l’entreprise peut utiliser la clé publique gpg téléchargeable sur le site internet de la CNPD.

La notification doit :

• décrire la nature de la violation de données personnelles y compris, si possible :
  • les catégories et le nombre approximatif de personnes concernées par la violation et ;
  • les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
• communiquer le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• décrire les conséquences probables de la violation de données personnelles ;
• décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation des données personnelles, y compris, les mesures pour en atténuer les éventuelles conséquences négatives. 

Dès réception de la notification, la CNPD :

• envoie un accusé de réception électronique au responsable du traitement ;
• vérifie la notification et contacte éventuellement le responsable de traitement pour vérifier l’authenticité de la notification ;
• en fonction des circonstances, demande des informations complémentaires et répond aux éventuelles questions notamment sur la nécessité ou non de contacter les personnes concernées.

La communication à la personne concernée doit décrire, en des termes clairs et simples, la nature de la violation de données personnelles et contient au moins :

• le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• une description des conséquences probables de la violation ;
• une description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation, y compris, les mesures pour en atténuer les éventuelles conséquences négatives.

La communication à la personne concernée peut se faire par tous moyens. Le responsable du traitement doit s’assurer que la personne concernée reçoive avec une forte probabilité les informations communiquées. Une communication publique peut, si nécessaire, être requise.

Documentations

Toute personne dispose des droits d’information, d’accès, de rectification, à l’oubli, à la limitation, à la portabilité et d’opposition en ce qui concerne ses données personnelles.

Le responsable du traitement/sous-traitant doit pouvoir, à tout moment, justifier à la CNPD le respect de ses obligations en matière de protection des données personnelles et notamment, le respect des droits des personnes concernées.

Il doit pour cela constituer un dossier et regrouper puis actualiser la documentation nécessaire.

Le dossier doit notamment comporter :

• la documentation sur les traitements de données personnelles, à savoir :
  • le registre des traitements pour les responsable du traitement ou des catégories d’activités de traitements pour les sous-traitants ;
  • les AIPD pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes ;
  • l’encadrement des transferts de données hors de l’Union Européenne (clauses contractuelles types, certifications, etc.) ;
  • le registre des violations des données personnelles ;
• l’information des personnes, à savoir :
  • les mentions d’information ;
  • les modèles de recueil du consentement des personnes concernées ;
  • les procédures mises en place pour l’exercice des droits des personnes concernées ;
• les contrats qui définissent les rôles et les responsabilités des acteurs, à savoir :
  • les contrats avec les sous-traitants ;
  • les procédures internes en cas de violation de données ;
  • la preuve que les personnes concernées ont donné leur consentement lorsque le traitement des données repose sur cette base juridique.

Sanctions

Le responsable du traitement qui ne respecte pas ses obligations en matière de protection des données personnelles peut s'exposer à des mesures correctrices comme l’interdiction d’un traitement ou à des amendes d'un montant maximal de 20 millions d'euros ou correspondant à 4 % de leur chiffre d'affaires annuel mondial. Ces amendes doivent être effectives, proportionnées, dissuasives et adaptées aux circonstances précises.

Démarches

Liens