Data protection

Processing of personal data by the Police

Dans l’exécution de ses missions, la Police grand-ducale est amenée à procéder à des traitements de données à caractère personnel, tout en veillant au respect du cadre légal. Vous trouverez ci-après des informations relatives à la protection de vos données

Définitions :

« données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable.
« personne physique identifiable » : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Base légale des traitements de données à caractère personnel effectuées par la Police :

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD, entré en vigueur le 25 mai 2018, n’est pas le seul texte légal qui s’applique aux traitements des données à caractère personnel au sein de la Police.

Les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces sont régis par la loi du 1^er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale transposant en droit national la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, ci-après la loi du 1^er août 2018.

La loi du 1^er août 2018 couvre donc les traitements des données à caractère personnel effectués par la Police en rapport avec l’exécution de ses missions.

Les traitements effectués par la Police sont encore encadrés par les dispositions légales suivantes :

· la loi modifiée du 18 juillet 2018 sur la Police grand-ducale ;

· le Code de procédure pénale ;

· le Code pénal ;

· d’autres lois et règlements attribuant des missions particulières à la Police.

Les finalités du traitement

La Police traite les données à caractère personnel pour les finalités suivantes :

1. Prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

2. Vérification des antécédents d’une personne dans le cadre d’une mission de police judiciaire, de police administrative ou dans le cadre d’une autre mission légale de la Police ;

3. L’appui aux enquêtes judiciaires par le biais d’analyses criminelles opérationnelles à la demande d’une autorité judiciaire ;

4. L’appui à la définition et à la réalisation de la politique de sécurité intérieure par le biais d’analyses criminelles stratégiques ;

5. L’exploitation des informations à des fins de recherches statistiques ;

6. L’identification des membres de la Police en charge du dossier.

Les données à caractère personnel peuvent encore être traitées pour d’autres finalités, conformément à l’article 8 de la loi du 1^er août 2018.

Les destinataires

Outre la Police grand-ducale, il s’agit notamment des autorités judiciaires, tel que prévu dans le Code de procédure pénale, ainsi que le cas échéant toute autre autorité conformément aux lois, règlements grand-ducaux et dispositions législatives européennes en vigueur.

Le responsable du traitement :

La Police grand-ducale représentée par son Directeur Général.

secgen@police.etat.lu

Le délégué à la protection des données:

dpo@police.etat.lu

Missions :

informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations leur incombant en vertu des dispositions de droit national et européen ;
contrôler le respect du cadre légal interne et européen en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
coopérer avec l’autorité de contrôle ;
faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Principes régissant le traitement de données à caractère personnel :

Les données à caractère personnel doivent être :

traitées de manière licite, loyale et transparente au regard de la personne concernée ;
collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
exactes et, si nécessaire, tenues à jour ;
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

La durée de conservation

La durée de conservation des données à caractère personnel dans le Fichier central est définie à l’article 43quinquies §9 et suivants de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale pour ce qui est du Fichier central.

Concernant les fichiers particuliers, la durée de conservation est fixée par le responsable du traitement en l’absence d’une disposition législative spécifique. Cette durée doit néanmoins respecter l’article 43quater §4 de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale qui dispose ce qui suit : « (…) Les données qui relèvent des missions de police administrative ou de toute autre mission dont la Police est investie par la loi sont supprimées au plus tard au moment de la suppression des mêmes données dans la partie active du fichier central, sauf si une disposition légale spécifique prévoit une durée plus longue. Les données qui relèvent des missions de police judiciaire sont supprimées au plus tard au moment du transfert des mêmes données dans la partie passive du fichier central, sauf si une disposition légale spécifique prévoit une durée plus longue. »

Sécurité des données à caractère personnel :

Les données à caractère personnel sont traitées de façon à leur garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Bien évidemment, le personnel de la Police grand-ducale est soumis au secret professionnel et plus particulièrement au secret de l’enquête voire du secret de l’instruction et chaque membre du personnel n’a accès qu’aux seules données dont il a besoin pour l’accomplissement de sa tâche respective.

Contrôle du traitement de données à caractère personnel :

Le contrôle et la surveillance des traitements mis en œuvre par la Police grand-ducale sont exercés par des autorités de contrôle, instituées par l’article 51 du RGPD et les articles 39 et 40 de la loi du 1^er août 2018, respectivement par l’article 3 de la loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.

Les autorités de contrôle veillent, d’une part, à ce que les traitements soient effectués conformément aux dispositions légales qui les régissent afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et, d’autre part, à faciliter le libre flux des données à caractère personnel au sein de l’Union.

Pour ce faire, les autorités de contrôle peuvent obtenir accès aux données traitées. Elles peuvent procéder à des vérifications sur place et se faire communiquer tous renseignements et documents utiles à sa mission.
Elles peuvent aussi charger l’un de ses membres à procéder à des missions de contrôle spécifiques. Les autorités de contrôle font opérer les rectifications et radiations nécessaires.

Les missions des autorités de contrôle sont plus amplement détaillées dans l’article 57 du RGPD ainsi que dans l’article 42 de la loi du 1^er août 2018.

Notification à l’autorité de contrôle et communication à la personne concernée d’une violation de données à caractère personnel :

La violation de données à caractère personnel est notifiée par le responsable du traitement à l’autorité de contrôle compétente, conformément à l’article 55 du RGPD et à l’article 29 de la LOI du 1^er août 2018, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique cette violation à la personne concernée dans les meilleurs délais, à moins que cette communication n’est pas nécessaire selon l’article 34, paragraphe 3, du RGPD respectivement selon l’article 30, paragraphe 3, de la loi du 1^er août 2018.

Vos droits :

Vous disposez des droits suivants, sous réserve des conditions prévues aux articles respectifs :

droit d’accès (article 15 du RGPD ; article 13 de la loi du 1^er août 2018) : obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par la Police et, dans l’affirmative, l’accès auxdites données ainsi que d’autres informations, telles que les finalités ou les destinataires du traitement, de même qu’une copie de vos données faisant l’objet d’un traitement sous le RGPD ;
droit de rectification (article 16 du RGPD ; article 15 de la loi du 1^er août 2018) : obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes ;
droit à l’effacement (article 17 du RGPD ; article 15 de la loi du 1^er août 2018) : obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime.
droit à la limitation du traitement (article 18 du RGPD ; article 15 de la loi du 1^er août 2018) : obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues à l’article précité.
droit d’opposition (article 21 du RGPD ) : droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel fondé sur l’article 6, paragraphe 1, point e) ou f) du RGPD, y compris un profilage fondé sur ces dispositions, sauf s’il existe des motifs légitimes et impérieux pour le traitement ou pour la constatation, l’exercice ou la défense de droits en justice.

La Police grand-ducale tient à vous informer que le RGPD ne s’applique pas aux données à caractère personnel des personnes décédées (considérant 27 du RGPD) ni aux personnes morales.

Exercice de vos droits :

A ce stade, la Police grand-ducale a retenu trois possibilités afin de permettre l’exercice des droits d’accès à l’information, à savoir par :

courrier ;
courriel ;
de préférence après prise de rendez-vous avec le délégué à la protection des données à la : Direction Générale de la Police, Cité Policière Grand-Duc Henri, Complexe A, rue de Trèves, L-2632 Luxembourg.

Les personnes concernées peuvent s’adresser au délégué à la protection des données en utilisant les coordonnées reprises ci-dessous, sous condition du respect de la procédure de vérification d’identité, détaillée ci-après.

dpo@police.etat.lu

Procédure de vérification d’identité:

Conformément à l’article 12, paragraphe 6 du RGPD, et à l’article 11, paragraphe 5, de la loi du 1^er août 2018, la Police grand-ducale doit disposer des garanties suffisantes afin de pouvoir établir avec certitude l’identité du demandeur d’informations et ce afin de ne pas nuire aux droits d’autrui. Il y a donc lieu de joindre impérativement aux demandes les documents suivants :

Pour une demande d’un particulier :

- Une copie d’une pièce d’identité (carte d’identité ou passeport).

Il y a lieu de noter que lorsque la personne réside à l’étranger, elle doit également joindre un certificat de résidence récent étant donné que la réponse sera envoyée par la voie postale.

Pour le compte d’un tiers :

- Une copie d’une pièce d’identité de la personne concernée,

- Une copie d’une pièce d’identité du tiers,

- Une procuration autorisant le tiers à effectuer la demande.

Pour une demande d’un avocat :

- Un mandat dûment signé par le mandant ainsi que de l’avocat,

- Une copie d’une pièce d’identité du mandant,

- Une copie d’une pièce d’identité de l’avocat.

La réponse sera adressée à l’adresse officielle à laquelle le demandeur est déclaré, avec possibilité de demander l’envoi de la réponse à une adresse du choix du demandeur.

Au cas où la réponse fournie par la Police grand-ducale ne satisfait pas le demandeur, celui-ci a le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données, conformément à l’article 44 de la loi du 1^er août 2018 en utilisant les coordonnées reprises ci-dessous :

Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, boulevard du Jazz,
L-4370 Belvaux

Security measures to protect the processing of personal data

1) Legal framework:

The security measures that the controller must implement to protect the processing of personal data carried out under its responsibility are described in Article 28 of the Act of 1 August 2018 on the protection of individuals with regard to the processing of personal data in criminal and national security matters, and Article 32 of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

2) Performance of risk analysis:

The Grand-Ducal Police carried out a risk assessment, as required by the legal framework, and took the necessary measures to minimise the risks.

Risk analysis is a key element of information security and is carried out as part of the management of the entity's information security management system. Risk analysis enables:

identify information security risks;
assess and evaluate the identified risks;
identify and mitigate undesirable information security impacts;
define and plan the actions to be taken to manage the risks;
implement the planned actions;
accept the residual risk;
determine and apply a continuous improvement approach to information security.

As the risk analysis contains the detailed technical measures implemented, it cannot be made public, as knowledge of the techniques used to protect the processing of personal data is obviously the first piece of information that a malicious person would need in order to gain unauthorised access to the processing.

The risk analysis conducted by the Police Technology Directorate (PGD-DCRC-DTP), version 1.0. final of 28 October 2018, hereinafter referred to as the risk analysis v.1.0 constitutes the first formalised risk analysis of the entity's information security. It has been carried out with the objective of taking stock of the entity's current information security situation. Each risk was carefully assessed using the information known and received from the agents involved in the different departments and the impact values of criteria C (confidentiality), I (integrity) and D (availability), the likelihood (probability) of a threat and the qualification (probability) of a vulnerability.

2.1.) Methodology:

The Grand-Ducal Police has adopted the risk analysis approach recommended by ANSSI, i.e. a risk analysis method based on information as the central element of reflection (data-centric model). To carry out its risk analysis, the entity uses the MONARC risk analysis tool developed by CASES, hosted on the GovCloud platform implemented by the CTIE as part of an agreement with ANSSI to host the Monarc tool, and made available by ANSSI. The advantage of this choice is the immediate availability of all the elements needed to create the entity model on which the risk analysis is based, with the library objects (assets and risk scenarios) already pre-designed and structured according to the approach described above, thus allowing a rapid start and efficient completion of the analysis.

The risk analysis v.1.0 summarises the methodology and presents the results of the risk analysis carried out with MONARC in the entity's environment. MONARC is influenced by the international standard ISO/IEC 27005:2011.

References

[1] ISO/IEC 27005 :2011, Information security risk management. The ISO/IEC 27005 explains in detail how to carry out risk assessment and management in the context of information security.

2.2.) Description of the "Optimised Risk Analysis Method CASES" (MONARC):

MONARC is based on a library of risk models that provide objects consisting of risk scenarios for each asset or group of assets. This approach facilitates the management of the most common risks and provides greater objectivity and efficiency. As MONARC is fully iterative, the results can be refined and adapted to the maturity of each entity by increasing the granularity of the risk scenarios.

Setting the context

The aim of this first stage is to take stock of the context, issues and priorities specific to the entity wishing to analyse its risks.

This involves identifying the entity's key activities and critical processes, in order to focus the risk analysis on the most important elements. To do this, a kick-off meeting is organised with members of management and key people. The aim is to find out what sustains the business and what could destroy it, to identify key processes, internal and external threats, and organisational, technical and human vulnerabilities.

Context modelling

This phase involves modelling the object trees. The assets have been defined in the previous phase. They now need to be detailed and formalised in a diagram showing their interdependencies.

Impacts are defined at the level of primary assets (information or services). Secondary assets inherit the impact of the primary asset to which they are attached (object tree).

Impacts on secondary assets can be modified manually.

Risk assessment and management

Assessment involves quantifying the threats, vulnerabilities and impacts in order to calculate the risks.

To do this, you need high-quality information about the exact likelihood of a threat, the ease with which a vulnerability can be exploited, and the potential impact. Hence the importance of relying on metrics that have been validated by experts.

If the risk assessment identifies a risk that is higher than the acceptable level (risk acceptance grid), measures must be taken to deal with this risk in order to reduce the risk to an acceptable level.

Implementation and monitoring

Once the initial risk treatment has been carried out, we need to move on to a phase of continuous safety management, with recurrent monitoring and control of safety measures, so that we can make lasting improvements.

This fourth phase also allows security to be continuously optimised by increasing the granularity of the objects used and extending the scope of risk analysis.

3) Assessment of consultants:

3.1.) Strengths:

A commitment from the DCRC to carry out a risk analysis for the DTP department, to entrust it to DTP staff and to acquire in-house knowledge and skills in information security.
The assignment of a member of the DTP department to investigate and manage logical access.
The appointment of a DPO at entity level.

3.2.) Weaknesses:

The time taken to complete the risk analysis. The risk analysis should be seen as a snapshot of the entity's situation at a given point in time, and if too much time elapses between the start of the analysis and the result, there is a risk that the result will be affected by changes that have occurred in the meantime. Obviously, the length of time will also depend on the availability of the staff carrying out the risk analysis.

3.3.) Summary:

The consultants met with motivated people and appreciate management's determination to pursue efforts to improve information security within their field of application.

Schengen Information System (SIS)

Protection of individuals with regard to the processing of personal data in the Schengen Information System (SIS)

Presentation of the Schengen Information System

The Schengen Information System (SIS) was designed as a search system for persons and objects by the Convention implementing the Schengen Agreement of 19June 1990. The SIS was implemented as a compensatory measure to the lifting of internal border controls with the aim of ensuring a high level of security in the European Union’s area of freedom, security and justice is laid down in three regulations:

Regulation (UE) 2018/1860 on the use of the Schengen Information System for the return of illegally staying third-country nationals,
Regulation (UE) 2018/1861 on the establishment, operation and use of the Schengen Information System (SIS) border checks,
Regulation (UE) 2018/1862 on the establishment, operation and use of the Schengen Information System (SIS) in the field of police cooperation and judicial cooperation in criminal matters.

Thus, the system includes the following alerts:

On persons:

subject to a return decision for the purpose of verifying that the obligation to return has been complied with and of supporting the enforcement of the return decisions
for a refusal of entry or stay;
wanted for arrest for surrender or extradition purposes;
who are missing;
sought for assistance with a judicial procedure;
for discreet checks, inquiry checks or specific checks;
who are wanted and unknown for the purposes of identification under national law.

On objects:

for discreet checks, inquiry checks or specific checks;
for seizure or use as evidence in criminal proceedings.

The processing of personal data:

The processing of personal data by the national competent authorities is done in accordance with the law of the 1^st of August 2018 on the protection of individuals with regard to the processing of personal data by law enforcement authorities, transposing the Directive 2016/680 into national law, respectively in accordance with the European Regulation 2016/679 (the General Data Protection Regulation, GDPR).

Data controller

The Grand Ducal Police, represented by its General Director.

secgen@police.etat.lu

Data protection officer

dpo@police.etat.lu

Purposes of processing

The purposes of the processing for which the personal data are intended are the following:

Prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security,
External border control,
Immigration control.

Recipients or categories of recipients

National competent authorities of the Schengen Member States that can access the SIS and are thus to be considered as recipients are listed in article 34 of Regulation 2018/1861 and articles 44 to 47 of Regulation 2018/1862.

In addition to these national competent authorities, SIS can also be accessed by Europol, Frontex and Eurojust in accordance with articles 35 and 36 of Regulation 2018/1861 and articles 48 to 50 of Regulation 2018/1862.

Storage period

Alerts on persons and on objects shall be kept only for the time required to achieve the purposes for which they were entered.

The above-mentioned regulations foresee several time limits for a periodic review of the need for the storage of personal data with the possibility to renew alerts.

Alerts on persons subject to a discrete, inquiry or specific check as well as certain categories of missing persons have in principle to be re-examined at the latest after one year.

Alerts on persons subject to a return decision, subject to a refusal of entry and stay, sought to assist with a judicial procedure as well as unknown wanted persons for the purpose of identification have in principle to be re-examined at the latest after three years.

Alerts on persons wanted for arrest for surrender or extradition purposes as well as certain categories of missing persons are in principle to be re-examined at the latest after five years.

Alerts on objects are in principle to be re-examined at the latest after ten years.

Data subjects’ rights

In order to ensure the protection of individuals with regard to the processing of personal data, the European legal instruments, in particular article 53 of Regulation (UE) 2018/1861 for the reporting of persons for return decisions and for the purposes of non-admission or prohibition of residence, and article 67 of Regulation (UE) 2018/1862 for other categories of alerts, grant individuals the right of access to personal data relating to them, as well as the rights to obtain rectification of inaccurate data and deletion of illegally stored data in accordance with articles 15, 16 and 17 of the GDPR and articles 13 and 15 of the previously mentioned Law of the 1^st August 2018. .

In the Grand Duchy of Luxembourg, each data subject may assert their right of access, to rectification and deletion directly to the Grand Ducal Police.

In accordance with article 12(6) of the GDPR and article 11, paragraph 5 of the previously mentioned Law of 1^st August 2018, the Grand-Ducal Police must have sufficient guarantees to establish with certainty the identity of the person requesting information, so as not to prejudice the rights of others. The following documents have therefore to be enclosed to the requests:

For a request from an individual:

either a written request via letter to the controller accompanied by a copy of their ID document (identity card or passport), to the following address:
Cité Policière Grand-Duc Henri
Complexe A, rue de Trèves
L-2957 Luxembourg
or an email accompanied by a copy of their ID document (identity card or passport) as well as a copy of a signed letter to the following address: dpo@police.etat.lu

For a request from an individual on behalf of another individual:

a power of attorney signed by both parties,
a letter signed by the represented party,
a copy of an identity document of the represented party (identity card or passport),
a copy of an identity document of the representing party (identity card or passport).

For a request from an attorney:

a power of attorney signed by the client and the attorney,
a copy of an ID document of the client (identity card or passport),
a copy of an ID document of the attorney (identity card or passport),
a copy of an attorney card or equivalent.

A request where one of these documents is missing is considered incomplete and will not be processed.

It goes without saying that the transmission of a copy of an identity card or passport via the Internet may present a certain risk in the event of possible abuse by a third party (for example, interception).

Right to lodge a complaint or to seek judicial remedy

In case the reply which is provided by the Grand Ducal Police does not satisfy the requestor, the latter has the right to file a complaint with the national supervisory authority, namely the « Commission nationale pour la protection des données », in accordance with article 77 of the GDPR, respectively in accordance with article 44 of the previously mentioned Law of 1^st August 2018. The national supervisory authority may be contacted under the following contact details:

Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, Boulevard du Jazz
L-4370 Belvaux
Luxembourg.

Furthermore, the requestor also has the right to seek judicial remedy within three months after the receipt of the final reply at the Administrative Court of Luxembourg (Tribunal administratif) with the assistance of an attorney.

Lastly, it should be noted that if the data controller limits the exercise of the rights of a data subject in accordance with articles 14 or 15, paragraph 4 of the previously mentioned Law of 1^st August 2018, respectively article 53(3) of the Regulation 2018/1961 and article 67(3) of the Regulation 2018/1862, the data subject may exercise his right indirectly via the « Commission nationale pour la protection des données » as provided for in article 16 of the aforementioned law.

Documents :

Learn more :

Publications

Additional information

Schengen Information System What is the Schengen Information System?
Commission nationale pour la protection des données (CNPD) (Nouvelle fenêtre)
EUR-Lex - Access to European Union law - Règlement (UE) 2018/1860 du Parlement européen et du Conseil relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier
EUR-Lex - Access to European Union law - Règlement (UE) 2018/1861 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières
EUR-Lex - Access to European Union law - Règlement (UE) 2018/1862 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale
Loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (New window)
Loi du 1^er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale (New window)

Passenger Information Unit

Legal notice on the processing of Passenger Name Record (PNR) data for the purpose of preventing and combating terrorism and serious crime

Legal basis for the processing of personal data by the Passenger Information Unit (PIU):

DIRECTIVE (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of Passenger Name Record (PNR) data for the prevention, investigation, detection and prosecution of terrorist offences and serious crime,

transposed into national law by :

Act of 1 August 2018 on the processing of passenger name record data.

Legal basis for data protection:

Act of 1 August 2018 on the protection of individuals with regard to the processing of personal data in criminal and national security matters.

The data controller:

The Grand-Ducal Police, represented by its Director General.

secgen@police.etat.lu

The data protection officer:

Contact details for the Data Protection Officer:

Directorate General - Data Protection Officer
dpo@police.etat.lu

Purpose of processing

In the performance of its duties, the Grand-Ducal Police processes personal PNR data for the purpose of preventing, investigating, detecting and prosecuting terrorist offences and serious crime.

Your rights:

You have the following rights, subject to the conditions set out in the respective articles of the Act of 1 August 2018 on the protection of individuals with regard to the processing of personal data in criminal and national security matters:

Right of access (article 13): obtain confirmation as to whether or not personal data relating to you is being processed by the Police and, if so, access to such data and other information, such as the purposes or recipients of the processing, as well as a copy of your data being processed ;
Right to rectification (article 15): have inaccurate personal data corrected or incomplete data completed ;
Right to erasure of personal data (article 15): obtain the deletion of your personal data if their retention is no longer justified by a legitimate reason ;
Right to restriction of processing (article 15) : obtain a restriction on the processing of your personal data, subject to the conditions set out in Article 15.

To exercise your rights, please contact the Data Protection Officer by e-mail: dpo@police.etat.lu

Right to lodge a complaint with the supervisory authority:

D’après l’article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, toute personne concernée peut introduire auprès de la Commission nationale pour la protection des données une réclamation contre des opérations de traitement de données à caractère personnel si elle considère que le traitement des données à caractère personnel la concernant constitue une violation des dispositions de la loi précitée.

De même, la personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle lorsqu’elle n’est pas satisfaite de la réponse du responsable du traitement à sa demande d’accès/de rectification/d’effacement/de limitation-

Contact details for the supervisory authority:

Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, boulevard du Jazz,
L-4370 Belvaux

More information:

Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime
Act of 1 August 2018 on the protection of individuals with regard to the processing of personal data in criminal and national security matters (Mémorial A n°689 du 16 août 2018)
Act of 1 August 2018 on the processing of passenger name record data in the context of the prevention and repression of terrorism and serious crime and amending the Act of 5 July 2016 on the reorganisation of the State Intelligence Service (Mémorial A n°690 du 16 août 2018)

Description of the processing of personal data carried out by the Grand-Ducal Police as part of the management of "Einsatzleitsystem" (ELS) interventions

The Grand Ducal Police operates a database of personal data and general police information known as the "Einsatzleitsystem" (ELS). You can consult the document < here >

Download "Fiche d'informations - vidéosurveillance de la Police grand-ducale"

FICHE D’INFORMATIONS – VIDEOSURVEILLANCE DE LA POLICE GRAND-DUCALE (PDF)