Loi modifiée du 30 mai 2005
- relative aux dispositions spécifiques de protection de la personne à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques et
- portant modification des articles 88-2 et 88-4 du Code d’instruction criminelle - TEXTE COORDONNE.

Adapter la taille du texte :

Texte coordonné de la loi modifiée du 30 mai 2005

- relative aux dispositions spécifiques de protection de la personne à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques et
- portant modification des articles 88-2 et 88-4 du Code d’instruction criminelle,

(Mém. A - 73 du 7 juin 2005, p. 1168, doc. parl. 5181; Dir. 2002/58/CE)

modifiée par

la loi du 2 août 2002

(Mém. A - 91 du 13 août 2002, p. 1836; doc. parl. 4735; Dir. 1995/46/CE;

(Texte coordonné du 8 août 2007: Mem. A - 131 du 8 août 2007, p. 2339)

telle que modifiée par la loi du 27 juillet 2007

(Mém. A - 131 du 8 août 2007, p. 2330; doc. parl. 5554; Dir. 1995/46/CE)

la loi du 24 juillet 2010

(Mém. A - 122 du 29 juillet 2010, p. 2060; doc. parl. 6113; Dir. 2006/24/CE)

la loi du 28 juillet 2011.

(Mém. A - 172 du 10 août 2011, p. 2938; doc. parl. 6243; Dir. 2009/136/CE)

Texte coordonné au 10 août 2011

Version applicable à partir du 1er septembre 2011

Art. 1er. Champ d’application

Sous réserve des dispositions générales concernant la protection des personnes à l’égard du traitement des données à caractère personnel ou régissant les réseaux et services de communications électroniques, les dispositions suivantes s’appliquent spécifiquement au traitement de ces données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics, (Loi du 28 juillet 2011) «y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d’identification.»

Art. 2. Définitions

Aux fins de la présente loi on entend par:

(a) «abonné»: une personne physique ou morale partie à un contrat avec une entreprise offrant des services de communications électroniques accessibles au public, pour la fourniture de tels services;
(b) (…)1;
(b)2

«consentement»: toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement;

(c)2

«communication»: toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public à l’exception des informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques sauf si et dans la mesure où un lien peut être établi entre l’information et l’abonné ou l’utilisateur identifiable qui la reçoit;

(d)2

«courrier électronique»: tout message sous forme de texte, de voix, de son ou d’image envoyé par un réseau de communications public qui peut être stocké dans le réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère;

(e)2

«données relatives au trafic»: toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation;

(f)2

«données de localisation»: toutes les données traitées dans un réseau de communications électroniques «ou par un service de communications électroniques»3 indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public;

(g)2

«Institut»: l’Institut Luxembourgeois de Régulation;

(h)2

«réseau de communications électroniques»: les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage et les autres ressources qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuits ou de paquets, y compris l’Internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise;

(i)2

«réseau de communications public»: un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public. Le fournisseur du réseau de communications public est dénommé ci-après «opérateur»;

(j)2

«service de communications électroniques»: un service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur les réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur des réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus; il ne comprend pas les services de la société de l’information qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques. Le fournisseur de services de communications électroniques est dénommé ci-après «fournisseur de services»;

(k)2

«service à valeur ajoutée»: tout service qui exige le traitement de données relatives au trafic ou à la localisation, à l’exclusion des données qui ne sont pas indispensables pour la transmission d’une communication ou sa facturation;

(l)2

«utilisateur»: une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service;

(Loi du 28 juillet 2011)

«(m) «violation de données à caractère personnel»: une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public».

Art. 3. Sécurité «du traitement»3

(1)

Le fournisseur de services prend les mesures techniques et d’organisation appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec l’opérateur en ce qui concerne la sécurité du réseau. En cas d’atteinte ou de risque d’atteinte grave à la sécurité du réseau ou des services, le fournisseur de services et le cas échéant l’opérateur prend les mesures appropriées pour y remédier, les frais étant à sa seule charge.

«Sous réserve des dispositions générales de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, les mesures visées ci-dessus, pour le moins:

- garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,
- protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et
- assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

La Commission nationale pour la protection des données est habilitée à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.»

(2)

Sans préjudice de ce qui précède, le fournisseur de services et le cas échéant l’opérateur informe ses abonnés de tout risque imminent d’atteinte à la sécurité du réseau ou des services mettant en cause la confidentialité des communications ainsi que du moyen éventuel pour y remédier, y compris en en indiquant le coût probable.

«(3)

En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.

La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.

La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission.

Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros.

Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.

(4)

Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre à la Commission nationale pour la protection des données de vérifier le respect des dispositions du paragraphe (3). Cet inventaire comporte uniquement les informations nécessaires à cette fin.

(5)

Quiconque contrevient aux dispositions des paragraphes (1), (2) et (4) est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.»

Art. 4. Confidentialité des communications

(1)

Tout fournisseur de services ou opérateur garantit la confidentialité des communications effectuées au moyen d’un réseau de communications public et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes.

(2)

Il est interdit à toute autre personne que l’utilisateur concerné d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance sans le consentement de l’utilisateur concerné.

(3)

Le paragraphe (2):

(a) n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité;

(Loi du 28 juillet 2011)

«(b) ne s’applique pas aux autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales;»
(c) ne s’applique pas aux communications et aux données relatives au trafic y afférentes, effectuées à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut dans le seul but de permettre (a) la réécoute de messages lors de problèmes de compréhension ou d’ambiguïté entre l’appelant et l’appelé, (b) la documentation de fausses alertes, de menaces et d’appels abusifs et (c) la production de preuves lors de contestation sur le déroulement d’actions de secours. Les données relatives au trafic afférentes aux communications visées ci-dessus, y compris les données de localisation, sont à effacer une fois le secours apporté. Le contenu des communications est à effacer après un délai de 6 mois au plus;
(d) n’affecte pas l’enregistrement de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, (Loi modifiée du 2 août 2002) «afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale.

Les parties aux transactions ou à toutes autres communications commerciales» sont informées au préalable de ce que des enregistrements sont susceptibles d’être effectués, de la ou des raisons pour lesquelles les communications sont enregistrées et de la durée de conservation maximale des enregistrements. Les communications enregistrées sont à effacer dès que la finalité est atteinte, et en tout état de cause, lors de l’expiration du délai légal de recours contre la transaction;

(Loi du 28 juillet 2011)

«(e) ne s’applique pas au stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Les méthodes retenues pour fournir l’information et offrir le droit de refus devraient être les plus conviviales possibles. Lorsque cela est techniquement possible et effectif, l’accord de l’abonné ou de l’utilisateur peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application.

Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.»

(4)

Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

Art. 5. Données relatives au trafic

«(1)

(a) Pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, et dans le seul but de permettre, en tant que de besoin, la mise à disposition des autorités judiciaires d’informations, tout fournisseur de services ou opérateur qui traite ou génère dans le cadre de la fourniture de services des données relatives au trafic est tenu de conserver ces données pendant une période de six mois à compter de la date de la communication. L’obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées et stockées (en ce qui concerne les données de la téléphonie) ou journalisées (en ce qui concerne les données de l’internet) dans le cadre de la fourniture des services de communications concernés. Un règlement grand-ducal détermine les catégories de données relatives au trafic susceptibles de pouvoir servir à la recherche, à la constatation et à la poursuite d’infractions visées ci-dessus. Ce règlement peut également déterminer les formes et les modalités suivant lesquelles les données visées sont à mettre à la disposition des autorités judiciaires.»

(b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes.

(2)

Tout fournisseur de services ou tout opérateur qui traite des données relatives au trafic concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires pour que de telles données soient conservées pendant la période prévue sub (1) (a) de manière telle qu’il est impossible à quiconque d’accéder à ces données dès lors qu’elles ne sont plus nécessaires à la transmission d’une communication ou aux traitements prévus par les dispositions sub (3) et (4), à l’exception des accès qui sont:

(Loi du 24 juillet 2010)

- «ordonnés par les autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales visées au paragraphe (1) (a), ou»
- demandés par les organes compétents dans le but de régler des litiges notamment en matière d’interconnexion ou de facturation.

(3)

Les données relatives au trafic qui sont nécessaires en vue d’établir les factures des abonnés et aux fins des paiements d’interconnexion peuvent être traitées. Un tel traitement n’est possible que jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement et ne peut en tout état de cause dépasser 6 mois lorsque la facture a été payée et n’a pas fait l’objet de litige ou de contestation.

(4)

Les données relatives au trafic peuvent être traitées en vue de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services pour autant que le fournisseur d’un service de communications électroniques ou l’opérateur informe préalablement l’abonné ou l’utilisateur concerné des types de données relatives au trafic traitées, de la finalité et de la durée du traitement et que celui-ci ait donné son consentement, nonobstant son droit de s’opposer à tout moment à un tel traitement.

(5)

Le traitement des données relatives au trafic effectué dans le cas des activités visées aux paragraphes (1) à (4) est restreint aux personnes agissant sous l’autorité du fournisseur de services ou de l’opérateur qui sont chargés d’assurer la facturation ou la gestion du trafic, répondre aux demandes de clientèle, détecter les fraudes, commercialiser les services de communications électroniques ou fournir un service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités.

(6)

Quiconque contrevient aux dispositions des paragraphes (1) à (5) du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

«Art. 5-1.

(1)

Les données conservées au titre des articles 5 et 9 sont soumises aux exigences prévues aux articles 22 et 23 de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

(2)

Les données sont détruites lorsque la durée de conservation prend fin, à l’exception des données auxquelles on a pu légalement accéder et qui ont été préservées.

Art. 5-2.

(1)

La Commission nationale pour la protection des données transmet annuellement à la Commission de l’Union européenne des statistiques sur la conservation de données au titre des articles 5 et 9.

A cet effet les fournisseurs de services ou opérateurs conservent et continuent à la Commission nationale, sur demande de celle-ci, les informations comprenant notamment:

- les cas dans lesquels des informations ont été transmises aux autorités compétentes conformément à la législation nationale applicable,
- le laps de temps écoulé entre la date à partir de laquelle les données ont été conservées et la date à laquelle les autorités compétentes ont demandé leur transmission,
- les cas dans lesquels des demandes de données n’ont pu être satisfaites.

(2)

Ces statistiques ne contiennent pas de données à caractère personnel.»

Art. 6. Facturation détaillée

(1)

Tout abonné a le droit de recevoir une facture non détaillée gratuite.

(2)

Les appels gratuits y compris ceux aux lignes d’assistance ne sont pas indiqués sur la facture détaillée indépendamment de son degré de détail. En outre la facture détaillée ne contient aucune indication permettant d’identifier l’appelé.

Art. 7. Identification de la ligne appelante et de la ligne connectée

(1)

Dans les cas où la présentation de l’identification de la ligne appelante est offerte, le fournisseur du service permet à l’abonné et à l’utilisateur appelant d’empêcher, par un moyen simple et gratuit, la présentation de l’identification de la ligne appelante et ce, appel par appel. L’abonné appelant dispose de cette possibilité de manière permanente pour chaque ligne.

(2)

Dans les cas où la présentation de l’identification de la ligne appelante est offerte, l’abonné appelé doit pouvoir empêcher, par un moyen simple et gratuit pour un usage raisonnable de cette fonction, la présentation de l’identification de la ligne pour les appels entrants.

(3)

Dans les cas où la présentation de l’identification de la ligne appelante est offerte et où l’identification de la ligne appelante est présentée avant l’établissement de l’appel, l’abonné appelé doit pouvoir, par un moyen simple et gratuit, refuser les appels entrants lorsque l’utilisateur ou l’abonné appelant a empêché la présentation de l’identification de la ligne appelante.

(4)

Dans le cas où la présentation de l’identification de la ligne connectée est offerte, l’abonné appelé doit pouvoir, par un moyen simple et gratuit, empêcher la présentation de l’identification de la ligne connectée à l’utilisateur appelant.

(5)

«(a) Tout fournisseur ou opérateur de services de téléphonie fixe ou mobile qui fournit un accès au numéro d’appel d’urgence unique européen 112 ainsi qu’aux numéros d’urgence déterminés par l’Institut luxembourgeois de régulation transmet («push») pour chaque appel à destination d’un de ces numéros d’appel d’urgence les données disponibles concernant l’appelant y compris les données de localisation.

Aux termes du présent paragraphe on entend par «données disponibles»:

- les données relatives à l’identification: le numéro de téléphone, nom, prénom(s), domicile ou lieu de résidence habituel, dénomination ou raison sociale, lieu d’établissement de l’abonné et de l’utilisateur pour autant que ce dernier soit identifié ou identifiable; l’indication du caractère public ou non public des données, ainsi que
- toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public (données de localisation).

(b) L’Institut luxembourgeois de régulation fixe, en cas de besoin, le format et les modalités techniques de mise à disposition des données visées au paragraphe (5).»

«(c)»2 Pour les appels effectués à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut, l’identification de la ligne appelante «et les données de localisation de l’appelant»4 sont toujours présentées même lorsque l’appelant les a empêchées.

(6)

Les dispositions du paragraphe (1) s’appliquent également aux appels provenant de l’Union européenne à destination de pays tiers. Les dispositions des paragraphes (2), (3) et (4) s’appliquent également aux appels entrants provenant de pays tiers.

(7)

Le fournisseur du service informe le public, par des moyens appropriés et au plus tard lors de la conclusion d’un contrat des possibilités sus énoncées.

(8)

L’abonné appelé prétendant être victime d’appels à contenu malveillant ou dérangeant peut demander l’identification de la ligne appelante ou connectée, des appels répétés ou intempestifs, déclarés comme étant malveillants ou dérangeants, lesquels ont été effectués ou repérés sur base d’un même numéro d’appel ou d’un même raccordement. Un règlement grand-ducal fixera les modalités à respecter par le fournisseur du service ou l’opérateur ainsi que par les abonnés prétendant être victime d’appels à contenu malveillant ou dérangeant. Il précisera également les caractéristiques d’un appel à contenu malveillant ou dérangeant et déterminera l’utilisation de l’identification de la ligne appelante même si sa présentation est empêchée.

(9)

Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

Art. 8. Renvoi automatique d’appels

Dans le cas où le renvoi automatique d’appels (ou déviation) est offert, le fournisseur du service confère à tout abonné la possibilité de mettre fin, par un moyen simple et gratuit, au renvoi automatique d’appels par un tiers vers son appareil terminal lorsque le fournisseur du service peut identifier l’origine des appels renvoyés. Le cas échéant, cette identification se fait en collaboration avec d’autres fournisseurs de services concernés.

Art. 9. Données de localisation autres que les données relatives au trafic

«(1)

(a) Pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, et dans le seul but de permettre, en tant que de besoin, la mise à disposition des autorités judiciaires d’informations, tout fournisseur de services ou opérateur qui traite ou génère dans le cadre de la fourniture de services des données de localisation autres que des données relatives au trafic est tenu de conserver ces données pendant une période de six mois à compter de la date de la communication. L’obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées et stockées (en ce qui concerne les données de la téléphonie) ou journalisées (en ce qui concerne les données de l’internet) dans le cadre de la fourniture des services de communications concernés. Pour l’application du présent paragraphe, une seule information de localisation est requise par communication ou appel. Un règlement grand-ducal détermine les catégories de données de localisation autres que les données relatives au trafic susceptibles de pouvoir servir à la recherche, à la constatation et à la poursuite d’infractions visées ci-dessus. Ce règlement peut également déterminer les formes et les modalités suivant lesquelles les données visées sont à mettre à la disposition des autorités judiciaires.»

(b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données de localisation autres que les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes.

«(2)

Tout fournisseur de services ou opérateur qui traite des données de localisation, autres que les données relatives au trafic, concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires à ce que de telles données soient conservées pendant la période prévue au paragraphe (1) (a) de manière telle qu’il est impossible à quiconque d’accéder à ces données, à l’exception des accès qui sont ordonnés par les autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales «visées au paragraphe (1) (a)» 4».

(3)

Tout fournisseur de services ou opérateur ne peut traiter des données de localisation autres que les données relatives au trafic et concernant les abonnés ou les utilisateurs que si celles-ci ont été rendues anonymes ou moyennant le consentement de l’abonné ou de l’utilisateur, dans la mesure et pour la durée nécessaires à la fourniture d’un service à valeur ajoutée et sous réserve des dispositions des paragraphes (2), (4) et (5).

(4)

Le fournisseur du service et le cas échéant l’opérateur informe préalablement l’abonné ou l’utilisateur sur les types de données de localisation traitées, autres que les données relatives au trafic, sur la ou les finalité(s) et la durée de ce traitement ainsi que sur la transmission de ces données à des tiers en vue de la fourniture du service à valeur ajoutée. L’abonné ou l’utilisateur a la possibilité de retirer à tout moment son consentement pour le traitement des données de localisation autres que les données relatives au trafic. Lorsque l’abonné ou l’utilisateur a donné son consentement au traitement des données de localisation autres que les données relatives au trafic, il doit garder la possibilité d’interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication.

(5)

Le traitement effectué des données de localisation, autres que les données relatives au trafic, dans le cas des activités visées aux paragraphes (1) à (4) est restreint aux personnes agissant sous l’autorité du fournisseur de services ou de l’opérateur ou du tiers qui fournit le service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités.

(6)

Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

Art. 10. Annuaires d’abonnés

(1)

L’abonné doit être informé gratuitement et avant d’y être inscrit des fins auxquelles sont établis des annuaires d’abonnés imprimés ou électroniques accessibles au public (ci-après «les annuaires») ou consultables par l’intermédiaire de services de renseignements, dans lesquels les données le concernant peuvent figurer, ainsi que de toute autre possibilité d’utilisation reposant sur des fonctions de recherche intégrées dans les versions électroniques des annuaires.

(2)

(a) L’abonné doit avoir la possibilité d’indiquer clairement, lors de la souscription de l’abonnement ou à tout autre moment lors de nouvelles éditions de mises à jour ou d’annuaires, si les données à caractère personnel le concernant, et lesquelles de ces données, doivent figurer dans un annuaire public, dans la mesure où ces données sont pertinentes par rapport à la fonction de l’annuaire en question telle qu’elle a été établie par le fournisseur de l’annuaire.

(b) L’abonné doit pouvoir vérifier, corriger ou supprimer ces données. La non-inscription dans un annuaire public d’abonnés, la vérification, la correction ou la suppression de données à caractère personnel dans un tel annuaire est gratuite.

(3)

Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

Art. 11. Communications non sollicitées

«(1)

L’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe n’est possible que si elle vise l’abonné ou l’utilisateur ayant donné son consentement préalable.»

(2)

Nonobstant le paragraphe (1), le fournisseur qui, dans le cadre d’une vente d’un produit ou d’un service, a obtenu (...) 1 de ses clients leurs coordonnées électroniques en vue d’un courrier électronique, peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues que lui-même fournit pour autant que lesdits clients se voient donner clairement et expressément le droit de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques lorsqu’elles sont recueillies et lors de chaque message, au cas où ils n’auraient pas refusé d’emblée une telle exploitation.

(3)

L’envoi de communications non sollicitées à des fins de prospection directe par d’autres moyens que ceux visés aux paragraphes (1) et (2) n’est possible que si l’abonné «ou l’utilisateur» 3 concerné a donné son consentement préalable.

(4)

Il est interdit d’émettre des messages électroniques à des fins de prospection directe en déguisant, dissimulant ou en dénaturant l’identité de l’émetteur au nom duquel la communication est faite, ou sans indication d’adresse valable à laquelle le destinataire peut transmettre une demande de faire cesser ces communications.

(5)

Les paragraphes (1) et (3) s’appliquent à l’abonné qui est une personne physique.

(6)

Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.

Art. 12. Commission nationale pour la protection des données

La Commission nationale pour la protection des données instituée par l’article 32 de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel est chargée d’assurer l’application des dispositions de la présente loi et de ses règlements d’exécution (Loi modifiée du 2 août 2002) «sans préjudice de l’application de l’article 8 de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.»

Art.13. Disposition transitoire

Le fournisseur offrant un annuaire public au sens de l’article 10 avant l’entrée en vigueur de la présente loi informe l’abonné sans délai et conformément à l’article 10 paragraphe (1) de la finalité du traitement de ses données.

Art. 14. Dispositions modificatives

Les articles suivants du Code d’instruction criminelle sont modifiés comme suit:

(a) Art. 88-2: Les alinéas 1, 2, 3 et 5 de l’article 88-2 du Code d’instruction criminelle sont modifiés comme suit:
al 1: Les décisions par lesquelles le juge d’instruction ou le président de la chambre du conseil de la Cour d’appel auront ordonné la surveillance et le contrôle de télécommunications ainsi que de correspondances confiées à la poste seront notifiées aux opérateurs des postes ou télécommunications qui feront sans retard procéder à leur exécution.
al 2: Ces décisions et les suites qui leur auront été données seront inscrites sur un registre spécial tenu par chaque opérateur des postes ou télécommunications.
al 3: Les télécommunications enregistrées et les correspondances ainsi que les données ou renseignements obtenus par d’autres moyens techniques de surveillance et de contrôle sur la base de l’article 88-1 seront remis sous scellés et contre récépissé au juge d’instruction qui dressera procès-verbal de leur remise. Il fera copier les correspondances pouvant servir à conviction ou à décharge et versera ces copies, les enregistrements ainsi que tous autres données et renseignements reçus au dossier. Il renverra les écrits qu’il ne juge pas nécessaire de saisir aux opérateurs des postes qui les remettront sans délai au destinataire.
al 5: Les communications avec des personnes liées par le secret professionnel au sens de l’article 458 du Code pénal et non suspectes d’avoir elles-mêmes commis l’infraction ou d’y avoir participé ne pourront être utilisées. Leur enregistrement et leur transcription seront immédiatement détruits par le juge d’instruction.
(b) Art. 88-4: Les alinéas 1 et 4 de l’article 88-4 du Code d’instruction criminelle sont modifiés comme suit:
al 1: Les décisions par lesquelles le Président du Gouvernement aura ordonné la surveillance et le contrôle de télécommunications ainsi que de correspondances seront notifiées aux opérateurs des postes ou télécommunications qui feront procéder sans retard à leur exécution.
al 4: Les correspondances seront remises sous scellés et contre récépissé au service de renseignements. Le chef du service fera photocopier les correspondances pouvant servir à charge ou à décharge et renverra les écrits qu’il ne juge pas nécessaire de retenir aux opérateurs des postes qui les feront remettre au destinataire.

Art. 15. Disposition diverse

La référence à la présente loi se fait sous une forme abrégée en recourant à l’intitulé suivant: «Loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques».

Art. 16. Entrée en vigueur

La présente loi entre en vigueur le premier jour du mois qui suit sa publication au Mémorial.

Mandons et ordonnons que la présente loi soit insérée au Mémorial pour être exécutée et observée par tous ceux que la chose concerne.


Retour
haut de page