Loi du 28 juillet 2011 portant modification

1) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques;
2) de la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel;
3) de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l'Etat;
4) du Code de la consommation.

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Notre Conseil d'Etat entendu;

De l'assentiment de la Chambre des Députés;

Vu la décision de la Chambre des Députés du 12 juillet 2011 et celle du Conseil d'Etat du 15 juillet 2011 portant qu'il n'a y pas lieu à second vote;

Avons ordonné et ordonnons:

Art. 1er.

L'article 1er (Champ d'application) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques, ci-après «la loi modifiée du 30 mai 2005», est complété à la fin par l'ajout:
«     

(…), y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d'identification
     »
.

Art. 2.

L'article 2 (Définitions) est modifié comme suit:

1. La définition de «l'appel» sous la lettre (b) est supprimée et les définitions subséquentes sont renumérotées.
2. A la définition des «données de localisation» sous la lettre (f) nouvelle il est inséré «ou par un service de communications électroniques» entre «réseau de communications électroniques» et «indiquant la position géographique (…)».
3. A la fin de l'article 2 une nouvelle définition, sous la lettre (m) nouvelle est ajoutée. Elle est libellée comme suit:
«     
(m) «violation de données à caractère personnel»: une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public
     »
.

Art. 3.

1.

Le titre de l'article 3 (Sécurité) est complété par l'ajout «du traitement».

2.

L'article 3 paragraphe (1) est complété par un nouvel ajout libellé comme suit:
«     

Sous réserve des dispositions générales de la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, les mesures visées ci-dessus, pour le moins:

garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,
protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites, et
assurent la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel.

La Commission nationale pour la protection des données est habilitée à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu'à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.
     »

3.

L'article 3 est complété par les paragraphes (3), (4) et (5) nouveaux qui ont la teneur suivante:
«     

(3)

En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard indu l'abonné ou le particulier concerné de la violation.

La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

Sans préjudice de l'obligation du fournisseur d'informer l'abonné et le particulier concerné, si le fournisseur n'a pas déjà averti l'abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu'il s'exécute.

La notification faite à l'abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.

La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission.

Lors d'un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d'ordre qui ne peut excéder 50.000 euros.

Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.

(4)

Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre à la Commission nationale pour la protection des données de vérifier le respect des dispositions du paragraphe (3). Cet inventaire comporte uniquement les informations nécessaires à cette fin.

(5)

Quiconque contrevient aux dispositions des paragraphes (1), (2) et (4) est puni d'un emprisonnement de huit jours à un an et d'une amende de 251 à 125.000 euros ou d'une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction.
     »

Art. 4.

A l'article 4 (Confidentialité des communications) paragraphe (3) la lettre (b) est remplacée par le texte suivant:
«     
(b) ne s'applique pas aux autorités judiciaires agissant au titre de l'article 67-1 du Code d'instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d'instruction criminelle pour sauvegarder la sûreté de l'Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales.
     »

La lettre (e) du paragraphe (3) est désormais libellée comme suit:
«     
(e)

ne s'applique pas au stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Les méthodes retenues pour fournir l'information et offrir le droit de refus devraient être les plus conviviales possibles. Lorsque cela est techniquement possible et effectif, l'accord de l'abonné ou de l'utilisateur peut être exprimé par l'utilisation des paramètres appropriés d'un navigateur ou d'une autre application.

Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
     »

Art. 5.

A l'article 7 (Identification de la ligne appelante et de la ligne connectée) il est inséré au paragraphe (5) les lettres (a) et (b) libellées comme suit:
«     
(a)

Tout fournisseur ou opérateur de services de téléphonie fixe ou mobile qui fournit un accès au numéro d'appel d'urgence unique européen 112 ainsi qu'aux numéros d'urgence déterminés par l'Institut luxembourgeois de régulation transmet («push») pour chaque appel à destination d'un de ces numéros d'appel d'urgence les données disponibles concernant l'appelant y compris les données de localisation.

Aux termes du présent paragraphe on entend par «données disponibles»:

les données relatives à l'identification: le numéro de téléphone, nom, prénom(s), domicile ou lieu de résidence habituel, dénomination ou raison sociale, lieu d'établissement de l'abonné et de l'utilisateur pour autant que ce dernier soit identifié ou identifiable; l'indication du caractère public ou non public des données, ainsi que
toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public (données de localisation).
(b) L'Institut luxembourgeois de régulation fixe, en cas de besoin, le format et les modalités techniques de mise à disposition des données visées au paragraphe (5).
     »

L'actuel paragraphe (5) devient la lettre (c). A la nouvelle lettre (c) les termes «et les données de localisation de l'appelant» sont insérés après «l'identification de la ligne appelante.»

Art. 6.

Le nouveau paragraphe (2) de l'article 9 (Données de localisation autres que les données relatives au trafic) est complété à la fin par l'ajout
«     

(...) visées au paragraphe (1er) (a).
     »

Art. 7.

L'article 11 (Communications non sollicitées) est modifié comme suit:

Le paragraphe (1er) de l'article 11 a désormais la teneur suivante:
«     

(1)

L'utilisation de systèmes automatisés d'appel et de communication sans intervention humaine (automates d'appel), de télécopieurs ou de courrier électronique à des fins de prospection directe n'est possible que si elle vise l'abonné ou l'utilisateur ayant donné son consentement préalable.
     »

Au paragraphe (2) 2e ligne le terme «directement» est supprimé à la demi-phrase «(…) a obtenu (…) de ses clients leurs coordonnées électroniques (…).»

Au paragraphe (3) le terme «ou l'utilisateur» est ajouté à «l'abonné».

Art. 8.

La loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel est modifiée comme suit:

1. Le paragraphe (2) de l'article 34 est modifié comme suit:
«     

(2)

La Commission nationale est composée de trois membres effectifs et de trois membres suppléants nommés et révoqués par le Grand-Duc sur proposition du Gouvernement en conseil. Le président est désigné par le Grand-Duc. Les membres sont nommés pour un terme de six ans, renouvelable.

Le Gouvernement en conseil propose au Grand-Duc comme membre effectif et suppléant chaque fois au moins un juriste et un informaticien justifiant d'une formation universitaire accomplie.

Avant d'entrer en fonction, le président de la Commission nationale prête entre les mains du Grand-Duc ou de son représentant le serment suivant: «Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l'Etat. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité.»

Avant d'entrer en fonction, les membres de la Commission nationale prêtent entre les mains du président de la Commission nationale le serment suivant: «Je jure fidélité au Grand-Duc, obéissance à la Constitution et aux lois de l'Etat. Je promets de remplir mes fonctions avec intégrité, exactitude et impartialité.»

Le président et les membres effectifs de la Commission nationale ont la qualité de fonctionnaire en ce qui concerne leur statut, leur traitement et leur régime de pension.

Le président et les membres effectifs de la Commission nationale bénéficient d'une indemnité spéciale tenant compte de l'engagement requis par les fonctions, à fixer par règlement grand-ducal sans que pour autant le total du traitement barémique et de l'indemnité spéciale ne puisse dépasser le traitement barémique du grade S1.

En cas de non-renouvellement ou de révocation d'un mandat d'un membre de la Commission nationale, celui-ci devient conseiller général auprès de la Commission nationale avec maintien de son statut et de son niveau de rémunération de base, à l'exception des indemnités spéciales attachées à sa fonction antérieure. Il peut faire l'objet d'un changement d'administration dans une administration ou dans un autre établissement public, conformément à l'article 6 de la loi modifiée du 16 avril 1979 fixant le statut général des fonctionnaires.

La démission d'un membre de la Commission nationale intervient de plein droit par l'atteinte de la limite d'âge de 65 ans.

Les membres suppléants touchent une indemnité dont le montant est fixé par règlement grand-ducal.
     »
2. L'article 41 (Dispositions spécifiques) est supprimé.

Art. 9.

La loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l'Etat est modifiée comme suit:

1. L'article 22 est modifié comme suit:
a) à la section IV, sous 8°, alinéa 1er est ajoutée la mention «le membre effectif de la Commission nationale pour la protection des données»;
b) à la section IV, sous 9° est ajoutée la mention «le président de la Commission nationale pour la protection des données»;
c) à la section VII, alinéa 10 est ajoutée la mention «membre effectif de la Commission nationale pour la protection des données»;
d) à la section VII, alinéa 11 est ajoutée la mention «président de la Commission nationale pour la protection des données».
2. Les annexes sont modifiées comme suit:
a) à l'annexe A – classification des fonctions – la rubrique I – Administration générale – est modifiée comme suit:
au grade 17 est ajoutée la mention suivante:
«     

Commission nationale pour la protection des données – Président
     »
;
au grade 16 est ajoutée la mention suivante:
«     

Commission nationale pour la protection des données – Membre effectif
     »
.
b) à l'annexe D – détermination – la rubrique I – Administration générale – est modifiée à la carrière supérieure de l'administration au grade 12 de computation de la bonification d'ancienneté comme suit:
au grade 16 est ajoutée la dénomination «membre effectif de la Commission nationale pour la protection des données»;
au grade 17 est ajoutée la dénomination «président de la Commission nationale pour la protection des données».

Art. 10.

Il est ajouté un paragraphe (4) à l'article L. 311-5 du Code de la consommation qui se lit comme suit:
«     

(4)

La Commission nationale pour la protection des données est l'autorité compétente prévue par le Règlement (CE) n° 2006/2004 pour assurer le respect des lois protégeant les intérêts des consommateurs pour toutes les questions relatives à la protection de la vie privée dans le secteur des communications électroniques visées sous le point 17 de l'annexe du Règlement 2006/2004.
     »

Art. 11.

-Entrée en vigueur

La présente loi entre en vigueur le premier jour du mois qui suit sa publication au Mémorial.

Mandons et ordonnons que la présente loi soit insérée au Mémorial pour être exécutée et observée par tous ceux que la chose concerne.

Le Ministre des Communications et des Médias,

Le Ministre de la Fonction publique et de la Réforme administrative,

François Biltgen

Le Ministre de l'Economie et du Commerce extérieur,

Jeannot Krecké

Cabasson, le 28 juillet 2011.

Henri

Doc. parl. 6243; sess. ord. 2010-2011; Dir. 2009/136/CE.