Traitement des données à caractère personnel par la Police
Dans l’exécution de ses missions, la Police grand-ducale est amenée à procéder à des traitements de données à caractère personnel, tout en veillant au respect du cadre légal. Vous trouverez ci-après des informations relatives à la protection de vos données
Définitions :
- « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable.
- « personne physique identifiable » : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Base légale des traitements de données à caractère personnel effectuées par la Police :
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD, entré en vigueur le 25 mai 2018, n’est pas le seul texte légal qui s’applique aux traitements des données à caractère personnel au sein de la Police.
Les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces sont régis par la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale transposant en droit national la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, ci-après la loi du 1er août 2018.
La loi du 1er août 2018 couvre donc les traitements des données à caractère personnel effectués par la Police en rapport avec l’exécution de ses missions.
Les traitements effectués par la Police sont encore encadrés par les dispositions légales suivantes :
· la loi modifiée du 18 juillet 2018 sur la Police grand-ducale ;
· le Code de procédure pénale ;
· le Code pénal ;
· d’autres lois et règlements attribuant des missions particulières à la Police.
Les finalités du traitement
La Police traite les données à caractère personnel pour les finalités suivantes :
1. Prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
2. Vérification des antécédents d’une personne dans le cadre d’une mission de police judiciaire, de police administrative ou dans le cadre d’une autre mission légale de la Police ;
3. L’appui aux enquêtes judiciaires par le biais d’analyses criminelles opérationnelles à la demande d’une autorité judiciaire ;
4. L’appui à la définition et à la réalisation de la politique de sécurité intérieure par le biais d’analyses criminelles stratégiques ;
5. L’exploitation des informations à des fins de recherches statistiques ;
6. L’identification des membres de la Police en charge du dossier.
Les données à caractère personnel peuvent encore être traitées pour d’autres finalités, conformément à l’article 8 de la loi du 1er août 2018.
Les destinataires
Outre la Police grand-ducale, il s’agit notamment des autorités judiciaires, tel que prévu dans le Code de procédure pénale, ainsi que le cas échéant toute autre autorité conformément aux lois, règlements grand-ducaux et dispositions législatives européennes en vigueur.
Le responsable du traitement :
La Police grand-ducale représentée par son Directeur Général.
- secgen@police.etat.lu
Le délégué à la protection des données:
Missions :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations leur incombant en vertu des dispositions de droit national et européen ;
- contrôler le respect du cadre légal interne et européen en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
- coopérer avec l’autorité de contrôle ;
- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet.
Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Principes régissant le traitement de données à caractère personnel :
Les données à caractère personnel doivent être :
- traitées de manière licite, loyale et transparente au regard de la personne concernée ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- exactes et, si nécessaire, tenues à jour ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
La durée de conservation
La durée de conservation des données à caractère personnel dans le Fichier central est définie à l’article 43quinquies §9 et suivants de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale pour ce qui est du Fichier central.
Concernant les fichiers particuliers, la durée de conservation est fixée par le responsable du traitement en l’absence d’une disposition législative spécifique. Cette durée doit néanmoins respecter l’article 43quater §4 de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale qui dispose ce qui suit : « (…) Les données qui relèvent des missions de police administrative ou de toute autre mission dont la Police est investie par la loi sont supprimées au plus tard au moment de la suppression des mêmes données dans la partie active du fichier central, sauf si une disposition légale spécifique prévoit une durée plus longue. Les données qui relèvent des missions de police judiciaire sont supprimées au plus tard au moment du transfert des mêmes données dans la partie passive du fichier central, sauf si une disposition légale spécifique prévoit une durée plus longue. »
Sécurité des données à caractère personnel :
Les données à caractère personnel sont traitées de façon à leur garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Bien évidemment, le personnel de la Police grand-ducale est soumis au secret professionnel et plus particulièrement au secret de l’enquête voire du secret de l’instruction et chaque membre du personnel n’a accès qu’aux seules données dont il a besoin pour l’accomplissement de sa tâche respective.
Contrôle du traitement de données à caractère personnel :
Le contrôle et la surveillance des traitements mis en œuvre par la Police grand-ducale sont exercés par des autorités de contrôle, instituées par l’article 51 du RGPD et les articles 39 et 40 de la loi du 1er août 2018, respectivement par l’article 3 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
Les autorités de contrôle veillent, d’une part, à ce que les traitements soient effectués conformément aux dispositions légales qui les régissent afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et, d’autre part, à faciliter le libre flux des données à caractère personnel au sein de l’Union.
Pour ce faire, les autorités de contrôle peuvent obtenir accès aux données traitées. Elles peuvent procéder à des vérifications sur place et se faire communiquer tous renseignements et documents utiles à sa mission.
Elles peuvent aussi charger l’un de ses membres à procéder à des missions de contrôle spécifiques. Les autorités de contrôle font opérer les rectifications et radiations nécessaires.
Les missions des autorités de contrôle sont plus amplement détaillées dans l’article 57 du RGPD ainsi que dans l’article 42 de la loi du 1er août 2018.
Notification à l’autorité de contrôle et communication à la personne concernée d’une violation de données à caractère personnel :
La violation de données à caractère personnel est notifiée par le responsable du traitement à l’autorité de contrôle compétente, conformément à l’article 55 du RGPD et à l’article 29 de la LOI du 1er août 2018, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique cette violation à la personne concernée dans les meilleurs délais, à moins que cette communication n’est pas nécessaire selon l’article 34, paragraphe 3, du RGPD respectivement selon l’article 30, paragraphe 3, de la loi du 1er août 2018.
Vos droits :
Vous disposez des droits suivants, sous réserve des conditions prévues aux articles respectifs :
- droit d’accès (article 15 du RGPD ; article 13 de la loi du 1er août 2018) : obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par la Police et, dans l’affirmative, l’accès auxdites données ainsi que d’autres informations, telles que les finalités ou les destinataires du traitement, de même qu’une copie de vos données faisant l’objet d’un traitement sous le RGPD ;
- droit de rectification (article 16 du RGPD ; article 15 de la loi du 1er août 2018) : obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes ;
- droit à l’effacement (article 17 du RGPD ; article 15 de la loi du 1er août 2018) : obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime.
- droit à la limitation du traitement (article 18 du RGPD ; article 15 de la loi du 1er août 2018) : obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues à l’article précité.
- droit d’opposition (article 21 du RGPD ) : droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel fondé sur l’article 6, paragraphe 1, point e) ou f) du RGPD, y compris un profilage fondé sur ces dispositions, sauf s’il existe des motifs légitimes et impérieux pour le traitement ou pour la constatation, l’exercice ou la défense de droits en justice.
La Police grand-ducale tient à vous informer que le RGPD ne s’applique pas aux données à caractère personnel des personnes décédées (considérant 27 du RGPD) ni aux personnes morales.
Exercice de vos droits :
A ce stade, la Police grand-ducale a retenu trois possibilités afin de permettre l’exercice des droits d’accès à l’information, à savoir par :
- courrier ;
- courriel ;
- de préférence après prise de rendez-vous avec le délégué à la protection des données à la : Direction Générale de la Police, Cité Policière Grand-Duc Henri, Complexe A, rue de Trèves, L-2632 Luxembourg.
Les personnes concernées peuvent s’adresser au délégué à la protection des données en utilisant les coordonnées reprises ci-dessous, sous condition du respect de la procédure de vérification d’identité, détaillée ci-après.
Procédure de vérification d’identité:
Conformément à l’article 12, paragraphe 6 du RGPD, et à l’article 11, paragraphe 5, de la loi du 1er août 2018, la Police grand-ducale doit disposer des garanties suffisantes afin de pouvoir établir avec certitude l’identité du demandeur d’informations et ce afin de ne pas nuire aux droits d’autrui. Il y a donc lieu de joindre impérativement aux demandes les documents suivants :
Pour une demande d’un particulier :
- Une copie d’une pièce d’identité (carte d’identité ou passeport).
Il y a lieu de noter que lorsque la personne réside à l’étranger, elle doit également joindre un certificat de résidence récent étant donné que la réponse sera envoyée par la voie postale.
Pour le compte d’un tiers :
- Une copie d’une pièce d’identité de la personne concernée,
- Une copie d’une pièce d’identité du tiers,
- Une procuration autorisant le tiers à effectuer la demande.
Pour une demande d’un avocat :
- Un mandat dûment signé par le mandant ainsi que de l’avocat,
- Une copie d’une pièce d’identité du mandant,
- Une copie d’une pièce d’identité de l’avocat.
La réponse sera adressée à l’adresse officielle à laquelle le demandeur est déclaré, avec possibilité de demander l’envoi de la réponse à une adresse du choix du demandeur.
Au cas où la réponse fournie par la Police grand-ducale ne satisfait pas le demandeur, celui-ci a le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données, conformément à l’article 44 de la loi du 1er août 2018 en utilisant les coordonnées reprises ci-dessous :
Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, boulevard du Jazz,
L-4370 Belvaux
Mesures de sécurité pour protéger les traitements de données à caractère personnel
1) Cadre légal :
Les mesures de sécurité que le responsable du traitement doit mettre en œuvre pour protéger les traitements de données à caractère personnel qui sont effectués sous sa responsabilité sont décrites à l’article 28 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale, ainsi qu’en matière de sécurité nationale ainsi qu’à l’article 32 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
2) Analyse des risques effectuée :
La Police Grand-Ducale a effectué une évaluation des risques telle que prévue par le cadre légal et pris les mesures nécessaires pour minimiser les risques.
L’analyse des risques constitue un élément clé de la sécurité de l’information et est exécutée dans le cadre de la gestion du système de management de la sécurité de l’information de l’entité. L’analyse des risques permet:
- d’identifier les risques liés à la sécurité de l’information ;
- d’évaluer et d’apprécier les risques identifiés ;
- de déterminer et de limiter les effets indésirables sur la sécurité de l’information ;
- de définir et planifier des actions à mettre en oeuvre pour traiter les risques ;
- d’implémenter les actions planifiées ;
- d’accepter le risque résiduel ;
- de déterminer et d’appliquer une approche d’amélioration continue de la sécurité de l’information.
Comme l’analyse des risques contient les mesures techniques détaillées mises en œuvre, elle ne peut pas être rendue publique, puisque la connaissance des techniques utilisées pour protéger les traitements de données à caractère personnel constitue bien évidemment la première information dont devrait disposer une personne malveillante afin de pouvoir se procurer un accès illicite aux traitements.
L’analyse des risques effectuée par la direction des technologies policières (PGD-DCRC-DTP), version 1.0. final du 28 octobre 2018, ci-après l’analyse des risques v.1.0 constitue la première analyse des risques formalisée de la sécurité de l’information de l’entité. Elle a été menée avec l’objectif de dresser un état des lieux de la situation actuelle de l’entité en matière de sécurité de l’information. Chaque risque a été évalué soigneusement avec les informations connues et reçues des agents sollicités des différents services et les valeurs d’impacts des critères C (confidentialité), I (intégrité) et D (disponibilité), de la vraisemblance (probabilité) d’une menace et de la qualification (probabilité) d’une vulnérabilité.
2.1.) Méthodologie :
La Police Grand-Ducale a adopté l’approche d’analyse des risques préconisée par l'ANSSI, qui est une méthode d’analyse des risques basée sur l’information comme élément central des réflexions (data-centric model). Pour la réalisation de son analyse des risques, l’entité a recours à l’outil d’analyse de risque MONARC, développé par CASES, hébergé dans la plateforme GovCloud implémentée en amont par le CTIE selon une convention avec l'ANSSI pour l’hébergement de l’outil Monarc, et mis à disposition par l'ANSSI. Cette décision apporte l’avantage que tous les éléments nécessaires à la création du modèle de l’entité comme base de l’analyse des risques sont immédiatement disponibles avec les objets de bibliothèque (actifs et scénarios de risques) déjà préconçus et structurés selon l’approche décrite ci-dessus, et en conséquence la possibilité d’un démarrage rapide de l’analyse et d’une réalisation efficace.
L’analyse des risques v.1.0 résume la méthode et expose les résultats de l'analyse des risques menée avec MONARC dans l’environnement de l’entité. MONARC est influencée par la norme internationale ISO/IEC 27005:2011.
Références
[1] ISO/IEC 27005 :2011, Gestion des risques liés à la sécurité de l'information. La norme ISO/IEC 27005 explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information
2.2.) Description de la « Méthode Optimisée d’Analyse des Risques CASES » (MONARC) :
MONARC s’appuie sur une bibliothèque de modèles de risques proposant des objets composés de scénarios de risques par actifs ou groupes d’actifs. Cette approche facilite la gestion des risques les plus courants et permet de gagner en objectivité ainsi qu’en efficacité. MONARC étant complètement itérative, ces résultats peuvent être approfondis et ajustés à la maturité de chaque entité en augmentant la granularité des scénarios de risques.
Établissement du contexte
Cette première étape vise à faire le point sur le contexte, les enjeux et les priorités propres à l’entité qui désire analyser ses risques.
Il s’agit d’identifier notamment les activités essentielles et les processus critiques de l’entité, afin d’orienter l’analyse des risques vers les éléments les plus importants. Pour ce faire, un kick-off meeting est organisé avec les membres du management et les personnes clés. L’objectif est de savoir ce qui fait vivre l’entité et ce qui pourrait la détruire, d’identifier les processus-clés, les menaces internes et externes, les vulnérabilités organisationnelles, techniques et humaines.
Modélisation du contexte
Cette phase comprend la modélisation des arbres d’objets. Les actifs ont été définis dans la phase précédente. Ils doivent maintenant être détaillés et formalisés dans un schéma qui représente leurs interdépendances.
Les impacts sont définis au niveau des actifs primaires (informations ou services). Les actifs secondaires héritent de l’impact de l’actif primaire auquel ils sont rattachés (arbre d’objets).
Il est possible de modifier manuellement les impacts au niveau des actifs secondaires.
Évaluation et traitement des risques
L’évaluation consiste à chiffrer les menaces, les vulnérabilités et les impacts pour calculer les risques.
Pour ce faire, il est nécessaire d’avoir des informations de qualité sur la vraisemblance exacte des menaces, l’aisance d’exploitation des vulnérabilités et les impacts potentiels… D’où l’intérêt de se fier à des métriques qui ont été validées par des experts.
Lorsque l’évaluation des risques identifie un risque supérieur au niveau acceptable (grille d’acceptation des risques), des mesures de traitement de ce risque doivent être mises en place pour réduire le risque à un niveau acceptable.
Implémentation et surveillance
Lorsque le premier traitement des risques a été réalisé, il faut entrer dans une phase de gestion continue de la sécurité avec un suivi et un contrôle récurrent des mesures de sécurité, afin de pouvoir améliorer celles-ci de façon durable.
Cette quatrième phase permet aussi d’optimiser continuellement la sécurité en augmentant la granularité des objets utilisés respectivement en élargissant l’étendue de l’analyse des risques.
3) Appréciation des consultants :
3.1.) Points forts :
- L’engagement de la direction DCRC de réaliser une analyse des risques pour le service DTP, de confier sa prise en charge à des agents de la DTP et d’acquérir des connaissances et compétences propres internes en matière de sécurité de l’information.
- L’attribution d’une mission d’étude et de prise en charge de la gestion des accès logiques à un agent du service DTP.
- La désignation d’un DPO au niveau de l’entité.
3.2.) Points faibles :
- La durée de réalisation de l’analyse des risques. L’analyse des risques est à considérer comme une photo de la situation de l’entité à un moment précis, et un espace assez étendu entre le début et le résultat de l’analyse risque de compromettre celui-ci par des modifications apparues entretemps. Évidemment, la durée de réalisation est aussi tributaire de la disponibilité du personnel en charge de l’analyse des risques.
3.3.) Synthèse :
Les consultants ont rencontré des interlocuteurs motivés et apprécient la détermination de la direction de poursuivre les efforts d’amélioration de la sécurité de l’information au sein de leur champ d’application.
Système d’information Schengen (SIS)
La protection des personnes à l’égard du traitement de données à caractère personnel dans le cadre du Système d’information Schengen (SIS)
Présentation du Système d’information Schengen
Le Système d’information Schengen (SIS) a été instauré par la Convention d’application des accords de Schengen du 19 juin 1990 comme un système de recherche de personnes et d’objets afin de compenser la suppression des contrôles aux frontières intérieures et le SIS entend actuellement assurer un niveau élevé de sécurité dans l’espace de liberté, de sécurité et de justice de l’Union européenne. Le SIS se base sur le
- Règlement (UE) 2018/1860 du Parlement européen et du Conseil relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier,
- Règlement (UE) 2018/1861 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières,
- Règlement (UE) 2018/1862 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale.
Ainsi, le système reprend les signalements
De personnes :
- aux fins de confirmation de « retour »
- aux fins de non-admission ou d’interdiction de séjour,
- recherchées en vue d’une arrestation aux fins de remise ou d’extradition,
- disparues,
- recherchées dans le but de rendre possible leur concours dans le cadre d’une procédure judiciaire,
- aux fins de contrôle discret, contrôle d’investigation ou contrôle spécifique,
- recherchées inconnues à des fins d’identification conformément au droit national,
Et d’objets :
- aux fins de contrôle discret, contrôle d’investigation ou contrôle spécifique ,
- aux fins d’une saisie ou de la preuve dans une procédure pénale.
Le traitement des données personnelles :
Le traitement des données à caractère personnel est effectué par les autorités nationales compétentes conformément à la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale, transposant la directive 2016/680 en droit national, respectivement le règlement européen 2016/679 (règlement général sur la protection des données, RGPD).
Le responsable du traitement
La Police Grand-Ducale représentée par son Directeur Général.
Le délégué à la protection des données:
Les finalités du traitement
Les finalités sont les suivantes :
- Prévention et détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces,
- Contrôle aux frontières extérieures de l’espace Schengen,
- Contrôle en matière d’immigration.
Les destinataires ou catégories de destinataires
Ont accès au SIS et peuvent donc être considérées comme destinataires les autorités nationales des Etats membres de l’espace Schengen reprises à l’article 34 du Règlement 2018/1861 et aux articles 44 à 47 du Règlement 2018/1862.
Outre les autorités nationales susmentionnées, les agences européennes Europol, Frontex et Eurojust ont accès au SIS conformément aux articles 35 et 36 du Règlement 2018/1861 et aux articles 48 à 50 du Règlement 2018/1862.
La durée de conservation
Les signalements de personnes et d’objets ne sont conservés que le temps nécessaire à la réalisation des finalités pour lesquelles ils ont été introduits.
Les règlements susmentionnés prévoient plusieurs délais de réexamen avec possibilité de renouvellement des signalements.
Les signalements de personnes soumises à des contrôles discrets, d’investigation ou spécifiques ainsi que concernant certaines catégories de personnes disparues sont en principe à réexaminer au plus tard après un an.
Les signalements de personnes aux fins d’une décision de retour, aux fins de non-admission ou d’interdiction de séjour, aux fins de rendre possible leur concours dans le cadre d’une procédure judiciaire ainsi qu’à des fins d’identification sont en principe à réexaminer au plus tard après trois ans.
Les signalements en vue d’une arrestation et les signalements concernant certaines catégories de personnes disparues sont en principe à réexaminer au plus tard après cinq ans.
Les signalements d’objets sont en principe à réexaminer au plus tard après dix ans.
Les droits des particuliers
Afin d’assurer la protection des personnes à l’égard du traitement des données à caractère personnel, les instruments juridiques européens, notamment dans l’article 53 du Règlement (UE) 2018/1861 pour les signalements de retour et de personnes aux fins de non-admission ou d’interdiction de séjour, et dans l’article 67 du Règlement (UE) 2018/1862 pour les autres catégories de signalements, accordent aux particuliers un droit d’accès aux données personnelles les concernant, de rectification des données inexactes et d’effacement de données stockées illégalement conformément aux articles 15, 16 et 17 du RGPD et aux articles 13 et 15 de la loi du 1er août 2018 susmentionnée.
Au Grand-Duché de Luxembourg, chaque personne concernée peut faire valoir son droit d’accès, de rectification ou d’effacement auprès du responsable du traitement, à savoir la Police Grand-Ducale.
Conformément à l’article 12(6) du RGPD, et à l’article 11, paragraphe 5 de la loi du 1er août 2018 précitée, la Police grand-ducale doit disposer des garanties suffisantes afin de pouvoir établir avec certitude l’identité du demandeur d’informations et ce afin de ne pas nuire aux droits d’autrui. Il y a donc lieu de joindre impérativement aux demandes les documents suivants :
Pour une demande d’un particulier :
- Adresser une demande écrite dûment signée via courrier, accompagnée d’une copie de sa pièce d’identité (carte d’identité ou passeport) au responsable de traitement:
Direction générale – Délégué à la protection des données
Cité Policière Grand-Duc Henri
Complexe A, rue de Trèves
L-2957 Luxembourg
- Adresser une demande via courriel au dpo@police.etat.lu , accompagnée d’une copie de sa pièce d’identité (carte d’identité ou passeport) ainsi que d’une copie d’une lettre signée, au responsable de traitement.
Pour une demande d’un particulier effectuée pour le compte d’un autre particulier :
- Une procuration dûment signée par le mandant et le mandataire,
- Une lettre dûment signée par le mandant,
- Une copie d’une pièce d’identité du mandant (carte d’identité ou passeport),
- Une copie de la pièce d’identité du mandataire (carte d’identité ou passeport).
Pour une demande d’un avocat :
- un mandat dûment signé par le mandant ainsi que de l’avocat,
- une copie d’une pièce d’identité du mandant,
- une copie de la pièce d’identité de l’avocat (carte d’identité ou passeport),
- une copie de la carte d’avocat ou équivalent (carte d’identité ou passeport).
Sans ces documents, une demande d’accès, de rectification ou de suppression est considérée comme incomplète et ne sera pas traitée.
Il va sans dire qu’une transmission via internet d’une copie d’une carte d’identité ou d’un passeport peut présenter un certain risque en cas d’abus éventuel par un tiers (par exemple interception).
Droit de réclamation et/ou de recours juridictionnel
Au cas où la réponse fournie par la Police grand-ducale ne satisfait pas le demandeur, celui-ci a le droit d’introduire une réclamation auprès de l’autorité de contrôle, à savoir la Commission nationale pour la protection des données, conformément à l’article 77 du RGPD, respectivement conformément à l’article 44 de la loi du 1er août 2018 susmentionnée en utilisant les coordonnées suivantes :
Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, Boulevard du Jazz
L-4370 Belvaux
En outre, le demandeur a également la possibilité d’introduire un recours auprès du Tribunal administratif par ministère d’avocat à la Cour dans un délai de trois mois à partir de la réception de la réponse finale.
En dernier lieu, il faut indiquer qu’en cas de limitation de ses droits par le responsable du traitement sur base des articles 14 ou 15, paragraphe 4 de la loi du 1er août 2018 susmentionnée, respectivement l’article 53(3) du Règlement 2018/1861 et l’article 67(3) du Règlement 2018/1862, le particulier peut exercer ses droits par l’intermédiaire de la Commission nationale pour la protection des données, conformément à l’article 16 de la loi précitée.
Documents :
- Lettre modèle de demande d'accès (FR)
- Model Letter for requesting access (EN)
- Lettre modèle Demande rectification-effacement SIS (FR)
- Model letter for requesting deletion or rectification (EN)
- Flyer - Information particuliers SIS(FR)
- Flyer - Information to data subjects on SIS (EN)
Pour en savoir plus :
Publications
- SIS II - Système d’information Schengen II (FR)
- SIS II - Schengen Information System II (EN)
- SIS II - Schengen Informationssystem II (DE)
- SIS II - Sistema de Informação de Schengen II (PT)
Informations complémentaires
- Schengen Information System What is the Schengen Information System?
- Commission nationale pour la protection des données (CNPD) (Nouvelle fenêtre)
- EUR-Lex - Access to European Union law - Règlement (UE) 2018/1860 du Parlement européen et du Conseil relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier
- EUR-Lex - Access to European Union law - Règlement (UE) 2018/1861 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières
- EUR-Lex - Access to European Union law - Règlement (UE) 2018/1862 du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale
- Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (Nouvelle fenêtre)
- Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale (Nouvelle fenêtre)
Unité Information Passagers
Mention légale relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave
Base légale des traitements de données à caractère personnel effectuées par l’Unité Information Passagers (UIP) :
La DIRECTIVE (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière,
transposée en droit national par :
Loi du 1er août 2018 relative au traitement des données des dossiers passagers.
Base légale en matière de protection des données :
Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale.
Le responsable du traitement :
La Police Grand-Ducale représentée par son Directeur Général.
Le Délégué à la protection des données :
Les coordonnées du délégué à la protection des données :
- Direction générale – Délégué à la protection des données.
dpo@police.etat.lu
Finalité de traitement
Dans l’exécution de ses missions, la Police Grand-Ducale traite les données PNR à caractère personnel à des fins de prévention, de recherche, de constatation et de poursuite des infractions terroristes et des formes graves de criminalité.
Vos droits :
Vous disposez des droits suivants, sous réserve des conditions prévues aux articles respectifs de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale :
- Droit d’accès (article 13) : obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par la Police et, dans l’affirmative, l’accès auxdites données ainsi que d’autres informations, telles que les finalités ou les destinataires du traitement, de même qu’une copie de vos données faisant l’objet d’un traitement ;
- Droit de rectification (article 15) : obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes ;
- Droit à l’effacement des données (article 15) : obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime ;
- Droit à la limitation du traitement (article 15) : obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues à l’article 15.
Pour l’exercice de vos droits contactez le délégué à la protection des données par courriel : dpo@police.etat.lu
Droit d’introduire une réclamation auprès de l’autorité de contrôle :
D’après l’article 44 de la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale, toute personne concernée peut introduire auprès de la Commission nationale pour la protection des données une réclamation contre des opérations de traitement de données à caractère personnel si elle considère que le traitement des données à caractère personnel la concernant constitue une violation des dispositions de la loi précitée.
De même, la personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle lorsqu’elle n’est pas satisfaite de la réponse du responsable du traitement à sa demande d’accès/de rectification/d’effacement/de limitation-
Les coordonnées de l’autorité de contrôle :
Commission nationale pour la protection des données (CNPD)
Service des réclamations
15, boulevard du Jazz,
L-4370 Belvaux
Pour en savoir plus :
- Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L0681&qid=1696313020412 )
- Loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale (Mémorial A n°689 du 16 août 2018) (https://legilux.public.lu/eli/etat/leg/loi/2018/08/01/a689/jo )
- Loi du 1er août 2018 relative au traitement des données des dossiers passagers dans le cadre de la prévention et de la répression du terrorisme et de la criminalité grave et portant modification de la loi du 5 juillet 2016 portant réorganisation du Service de renseignement de l’Etat (Mémorial A n°690 du 16 août 2018). (https://legilux.public.lu/eli/etat/leg/loi/2018/08/01/a690/jo )
Description des traitements de données à caractère personnel effectués par la Police Grand-Ducale dans le cadre de la gestion des interventions « Einsatzleitsystem » en abrégé « ELS ».
La police grand-ducale exploite une banque de données à caractère personnel et d’informations de police générale dénommée « Einsatzleitsystem », en abrégé « ELS ». <<< Consultez le document y relatif >>>