Si le Règlement Général sur la Protection des Données (UE) 2016/679 (le « RGPD ») est directement applicable en droit interne, son entrée en vigueur en mai 2018 rend nécessaire une loi de mise en œuvre à Luxembourg.

Le 12 septembre 2017, Monsieur Xavier BETTEL, Ministre des Communications et des Médias a déposé un Projet de loi 7184 portant création de la Commission nationale pour la protection des données et la mise en œuvre du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Le premier chapitre du projet de loi vise directement la Commission nationale pour la protection des données dont l’indépendance sera affirmée, ses pouvoirs renforcés et son champ de compétence étendu. Le collège de la CNPD va également évoluer : en parallèle du renforcement de sa composition et des qualifications professionnelles de ses membres, les missions et pouvoirs du collège seront étendus notamment en augmentant le plafond des sanctions pouvant être infligées par celui-ci conformément aux prescriptions du RGPD. Le collège pourra ainsi prononcer des sanctions administratives jusqu’à 20 millions d’euros ou, s’agissant d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Le second chapitre du projet de loi vise à approfondir les règles spécifiques dont la bonne application appartient aux Etats en application du RGPD. Sont ainsi précisés la conciliation entre le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, les garanties et dérogations applicables au traitement à des fins de recherche scientifique ou historique ou à des fins statistiques ainsi que le traitement de catégories particulières de données à caractère personnel par les services de la santé.

Pour consulter le projet de loi en langue française et les avancées concernant son adoption, cliquez ici.