Protection des données à caractère personnel

Dans l’exécution de ses missions, la Police Grand-Ducale est amenée à procéder à des traitements de données à caractère personnel, tout en veillant au respect du cadre légal.

Vous trouverez ci-après des informations relatives à la protection de vos données.

Définitions :

  • « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable.
  • « personne physique identifiable » : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • « traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Base légale des traitements de données à caractère personnel effectuées par la Police :

le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD, entré en vigueur le 25 mai 2018, n’est pas le seul texte légal qui s’applique aux traitements des données à caractère personnel au sein de la Police.

Les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces sont régis par la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale transposant la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, ci-après la LOI du 1er août 2018.

La loi du 1er août 2018 couvre donc les traitements des données à caractère personnel effectués par la Police en rapport avec l’exécution de ses missions.

Le responsable du traitement :

La Police Grand-Ducale représentée par son Directeur Général.

Le délégué à la protection des données:

Missions :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations leur incombant en vertu des dispositions de droit national et européen ;
  • contrôler le respect du cadre légal interne et européen en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.

Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Principes régissant le traitement de données à caractère personnel :

Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • exactes et, si nécessaire, tenues à jour ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sécurité des données à caractère personnel :

Les données à caractère personnel sont traitées de façon à leur garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Bien évidemment, le personnel de la Police Grand-Ducale est soumis au secret professionnel et plus particulièrement au secret de l’enquête voire du secret de l’instruction et chaque membre du personnel n’a accès qu’aux seules données dont il a besoin pour l’accomplissement de sa tâche respective.

Contrôle du traitement de données à caractère personnel :

Le contrôle et la surveillance des traitements mis en œuvre par la Police Grand-Ducale sont exercés par des autorités de contrôle, instituées par l’article 51 du RGPD et les articles 39 et 40 de la loi du 1er août 2018, respectivement par l’article 3 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.

Les autorités de contrôle veillent, d’une part, à ce que les traitements soient effectués conformément aux dispositions légales qui les régissent afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et, d’autre part, à faciliter le libre flux des données à caractère personnel au sein de l’Union.

Pour ce faire, les autorités de contrôle ont un accès direct aux données traitées. Elles peuvent procéder à des vérifications sur place et se faire communiquer tous renseignements et documents utiles à sa mission.
Elles peuvent aussi charger l’un de ses membres à procéder à des missions de contrôle spécifiques. Les autorités de contrôle font opérer les rectifications et radiations nécessaires.

Les missions des l’autorités de contrôle sont plus amplement détaillées dans l’article 57 du RGPD ainsi que dans l’article 42 de la LOI du 1er août 2018.

Notification à l’autorité de contrôle et communication à la personne concernée d’une violation de données à caractère personnel :

La violation de données à caractère personnel est notifiée par le responsable du traitement à l’autorité de contrôle compétente, conformément à l’article 55 du RGPD et à l’article 29 de la LOI du 1er août 2018, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique cette violation à la personne concernée dans les meilleurs délais, à moins que cette communication n’est pas nécessaire selon l’article 34, paragraphe 3, du RGPD respectivement selon l’article 30, paragraphe 3, de la LOI du 1er août 2018.

Vos droits :

Vous disposez des droits suivants, sous réserve des conditions prévues aux articles respectifs :

  • droit d’accès (article 15 du RGPD ; article 13 de la LOI du 1er août 2018) : obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par la Police et, dans l’affirmative, l’accès auxdites données ainsi que d’autres informations, telles que les finalités ou les destinataires du traitement, de même qu’une copie de vos données faisant l’objet d’un traitement ;
  • droit de rectification (article 16 du RGPD ; article 15 de la LOI du 1er août 2018) : obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes ;
  • droit à l’effacement (article 17 du RGPD ; article 15 de la LOI du 1er août 2018) : obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime.
  • droit à la limitation du traitement (article 18 du RGPD ; article 15 de la loi du 1er août 2018) : obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues à l’article précité.
  • droit d’opposition (article 21 du RGPD ) : droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel fondé sur l’article 6, paragraphe 1, point e) ou f) du RGPD, y compris un profilage fondé sur ces dispositions, sauf s’il existe des motifs légitimes et impérieux pour le traitement ou pour la constatation, l’exercice ou la défense de droits en justice.

La Police Grand-Ducale tient à vous informer que le RGPD ne s’applique pas aux données à caractère personnel des personnes décédées (considérant 27 du RGPD).

Exercice de vos droits :

Les personnes concernées peuvent s’adresser au délégué à la protection des données en utilisant les coordonnées reprises ci-dessous, sous condition du respect de la procédure de vérification d’identité, détaillée ci-après.

Procédure de vérification d’identité:

Conformément à l’article 12, paragraphe 6 du RGPD, et à l’article 11, paragraphe 5, de la LOI du 1er août 2018, la Police Grand-Ducale doit disposer des garanties suffisantes afin de pouvoir établir avec certitude l’identité du demandeur d’informations.

A ce stade, la Police Grand-Ducale a retenu quatre possibilités afin de permettre l’exercice des droits d’accès à l’information, à savoir par :

  • lettre accompagnée d’une copie d’une pièce d’identité (carte d’identité ou passeport). La réponse sera adressée exclusivement à l’adresse officielle à laquelle le demandeur est déclaré ;
  • courriel accompagné d’une copie d’une pièce d’identité (carte d’identité ou passeport). La réponse sera adressée exclusivement à l’adresse officielle à laquelle le demandeur est déclaré ;
  • demande électronique utilisant un identifiant unique (LUXTRUST ou autre), qui est en train d’être mis en place et qui sera accessible via le site www.police.lu;
  • demande orale en se présentant en personne, durant les heures d’ouverture et de préférence après prise de rendez-vous avec le délégué à la protection des données, et muni d’une carte d’identité, à la :
    Direction Générale de la Police, Cité Policière Grand-Duc Henri,Complexe A, rue de Trèves, L-2632 Luxembourg,

avec possibilité de demander l’envoi de la réponse à une adresse du choix du demandeur.

Si la réponse fournie à votre demande dans le cadre du champ matériel du RGPD ne vous satisfait pas, vous avez le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données, en utilisant les coordonnées reprises ci-dessous :

Commission nationale pour la protection des données (CNPD)

Service des réclamations
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette

Dernière mise à jour