Unité Information Passagers – Protection des données

Mention légale relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave

Dans l’exécution de ses missions, la Police Grand-Ducale traite les données PNR à caractère personnel à des fins de prévention, de recherche, de constatation et de poursuite des infractions terroristes et des formes graves de criminalité.

Définitions :

  • « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable.
  • « personne physique identifiable » : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • « traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Base légale des traitements de données à caractère personnel effectuées par l’Unité Information Passagers (UIP) :

le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD, entré en vigueur le 25 mai 2018, n’est pas le seul texte légal qui s’applique aux traitements des données à caractère personnel au sein de la Police.

La DIRECTIVE (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière,

transposés en droit national par :

La loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale s'applique aux traitements de données à caractère personnel mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-après dénommés « autorité compétente ».

La loi du 1er août 2018 relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave et portant modification de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’Etat règle spécifiquement le transfert, par les transporteurs aériens, des données des dossiers passagers et le traitement de ces données à des fins de prévention, de recherche, de constatation et de poursuite des infractions terroristes et des formes graves de criminalité.

Le responsable du traitement :

La Police Grand-Ducale représentée par son Directeur Général.

Les coordonnées de l’UIP :

Direction Générale – Direction des relations internationales – Unité Information Passagers

Les coordonnées du délégué à la protection des données :

Direction Générale – Direction des relations internationales – Cellule juridique

Missionsdu délégué à la protection des données :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations leur incombant en vertu des dispositions de droit national et européen ;
  • contrôler le respect du cadre légal interne et européen en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Principes régissant le traitement de données à caractère personnel :

Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • exactes et, si nécessaire, tenues à jour ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sécurité des données à caractère personnel :

Les données à caractère personnel sont traitées de façon à leur garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Bien évidemment, le personnel de la Police Grand-Ducale est soumis au secret professionnel et plus particulièrement au secret de l’enquête voire du secret de l’instruction et chaque membre du personnel n’a accès qu’aux seules données dont il a besoin pour l’accomplissement de sa tâche respective.

Notification à l’autorité de contrôle et communication à la personne concernée d’une violation des données à caractère personnel :

En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après en avoir pris connaissance, à moins qu’il soit peu probable que la violation en question n’engendre des risques pour les droits et libertés d’une personne physique. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elles est accompagnée des motifs du retard.

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation à la personne concernée dans les meilleurs délais, à moins que cette communication n’est pas nécessaire selon l’article 30 de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.

Droit d’introduire une réclamation auprès de l’autorité de contrôle en cas de violation de données à caractère personnel :

D’après l’article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, toute personne concernée peut introduire auprès de la Commission nationale pour la protection des données une réclamation contre des opérations de traitement de données à caractère personnel si elle considère que le traitement des données à caractère personnel la concernant constitue une violation des dispositions de la loi précitée.

La personne concernée est informée par l’autorité de contrôle de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 45.

Les coordonnées de l’autorité de contrôle :

Commission nationale pour la protection des données (CNPD)

Service des réclamations
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette

Vos droits :

Vous disposez des droits suivants, sous réserve des conditions prévues aux articles respectifs de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale :

  • Droit d’accès (article 13) : obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par la Police et, dans l’affirmative, l’accès auxdites données ainsi que d’autres informations, telles que les finalités ou les destinataires du traitement, de même qu’une copie de vos données faisant l’objet d’un traitement ;
  • Droit de rectification (article 15) : obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes ;
  • Droit à l’effacement des données (article 15) : obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime ;
  • Droit à la limitation du traitement (article 15) : obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues à l’article 15.

Pour l’exercice de vos droits contactez le délégué à la protection des données par courriel : dri.cj@police.etat.lu

Dernière mise à jour