← Luxembourg

En bref

Cette loi vise à encadrer la valorisation des données dans un environnement de confiance, en régulant le traitement et l'échange de données par les entités publiques, ainsi que l'accès et la réutilisation de certaines catégories de données. Elle met en œuvre des principes européens relatifs à la gouvernance des données et à la protection des données personnelles.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
Projet de loi relatif à la valorisation des données dans un environnement de confiance 1 Projet de loi 1) relatif à la valorisation des données dans un environnement de confiance ; 2) relatif à la mise en œuvre du principe « once only » ; 3) relatif à la mise en application de certaines dispositions du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ; 4) relatif à la mise en application de certaines dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). TITRE Ier – Dispositions préliminaires Art. 1. Objet (1) La présente loi vise : 1° le traitement de données à caractère personnel par les entités publiques dans le cadre de l’exécution des missions d’intérêt public ou relevant de l’exercice de l’autorité publique dont elles sont investies, agissant en leur qualité de responsable du traitement ; 2° l’échange d’informations et de données à caractère personnel obtenues par une entité publique auprès d'une autre entité publique dans le cadre du traitement d’une demande ou d’une déclaration d’un administré, ou pour informer l’administré sur ses droits au bénéfice éventuel d'une prestation ou d'un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir lui attribuer éventuellement lesdits prestations ou avantages ; 3° le traitement ultérieur de données à caractère personnel par les entités publiques pour les finalités déterminées dans la présente loi ; 4° l’accès et la réutilisation de certaines catégories de données collectées par les organismes du secteur public, en application du chapitre II du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), désigné ci-après par le terme « règlement (UE) 2022/868 » ; 5° la fourniture de services d’intermédiation de données, en application du chapitre III du règlement (UE) 2022/868 ; et 6° la mise à disposition de données à des fins altruistes, en application du chapitre IV du règlement (UE) 2022/868. (2) Les dispositions de la présente loi s’appliquent sans préjudice des dispositions plus spécifiques relatives au traitement de données à caractère personnel. Art. 2. Définitions (1) Sauf dispositions particulières contraires au paragraphe 2 du présent article, les termes et expressions utilisés dans la présente loi ont la signification que leur donnent le règlement (UE) 2022/868 et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère 2 personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après désigné par le terme « règlement (UE) 2016/679 ». (2) Aux fins de la présente loi, on entend par : 1° « anonymisation » : le processus consistant à rendre anonymes des données à caractère personnel de telle sorte que la personne concernée à laquelle celles-ci se rapportent ne soit pas ou plus identifiée ou identifiable, compte tenu de l'ensemble des moyens raisonnablement susceptibles d'être utilisés pour identifier la personne physique directement ou indirectement ; 2° « entité publique » : un Ministère, y compris ses services, une administration ou une commune luxembourgeoise, ainsi que les établissements publics luxembourgeois, les groupements d’intérêt économique et les personnes morales d’utilité publique listés expressément par règlement grand-ducal aux fins d’application des dispositions des titres IV et V. Toutefois, ne sont pas considérées comme entité publique aux fins d’application de la présente loi : a) les autorités compétentes visées par l’article 2, point 7° de loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale lorsqu’elles effectuent un traitement de données à caractère personnel relevant du champ d’application de la loi du 1er août 2018 ; b) les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif, lorsqu’elles effectuent un traitement de données à caractère personnel dans l’exercice de leurs fonctions juridictionnelles ; 3° « tiers de confiance » : toute entité fonctionnellement indépendante des entités publiques visées au titre V, des organismes du secteur public détenant les données et du réutilisateur de données visés au titre VI, qui remplit les conditions prévues à l’article 6. TITRE II – Traitement de données à caractère personnel par les entités publiques nécessaire à l’exécution de la mission d’intérêt public ou relevant de l’exercice de l’autorité publique Art. 3. Licéité du traitement de données à caractère personnel par les entités publiques nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique Les entités publiques sont habilitées à traiter les données à caractère personnel nécessaires aux fins relevant de l’exécution de leurs missions d’intérêt public ou relevant de l’exercice de l’autorité publique dont elles sont investies par une disposition de droit de l’Union européenne ou de droit national applicable. TITRE III – Acteurs compétents en matière de traitement ultérieur de données à caractère personnel et d’accès et de réutilisation de données Art. 4. Autorité des données (1) Le Commissariat du Gouvernement à la protection des données auprès de l'État est chargé des missions attribuées à l’Autorité des données par la présente loi. Dans l’exercice de ces missions, le Commissariat du Gouvernement à la protection des données auprès de l'État est désigné ciaprès par le terme « Autorité des données ». 3 (2) L’Autorité des données est désignée organisme compétent, conformément à l’article 7, paragraphe 1er, du règlement (UE) 2022/868, habilité, conformément à l’article 7, paragraphe 2, du même règlement, à octroyer ou refuser l’accès aux fins de réutilisation des données conformément aux dispositions des titres VI et VII. (3) L’Autorité des données est habilitée à autoriser ou refuser le traitement ultérieur de données à caractère personnel par les entités publiques conformément aux dispositions des titres V et VII. (4) L’Autorité des données a pour missions : a) de mettre en œuvre les missions lui conférées par la présente loi ; b) de collaborer étroitement avec le Centre des technologies de l’information de l’État, dénommé ci-après par le terme « Centre », le tiers de confiance mandaté par le Centre et le groupement d’intérêt économique PNED G.I.E. - Plateforme nationale d’échange de données, désigné ci-après par le terme « LNDS » ; c) de fonctionner comme organe de réflexion et d’impulsion dans le domaine du traitement ultérieur de données à caractère personnel et de l’accès et de la réutilisation de données et de formuler des avis et des propositions en la matière au ministre ayant la digitalisation dans ses attributions ; d) de proposer au ministre ayant la digitalisation dans ses attributions des mesures en matière de politique de traitement ultérieur de données à caractère personnel et d’accès et de réutilisation de données ; e) de conseiller, sur demande, le ministre ayant la digitalisation dans ses attributions sur les mesures en matière de traitement ultérieur de données à caractère personnel ; f) de promouvoir les bonnes pratiques à travers les entités publiques, en matière de traitement ultérieur de données à caractère personnel, et à travers les organismes de droit public en matière d’accès et de réutilisation de données ; g) de sensibiliser les entités publiques, les organismes de droit public et le public en matière de traitement ultérieur de données à caractère personnel et en matière d’accès et de réutilisation de données. (5) L’Autorité des données dispose des ressources nécessaires pour exercer ses missions. Elle peut recourir aux services d’experts. (6) L’Autorité des données veille à ce que son personnel chargé des missions prévues aux paragraphes 2 et 3 ne soit pas impliqué dans la préparation des demandes visées à la section II du titre VII dans l’exercice de ses missions prévues aux articles 57 et 58 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données. Art. 5. Assistance technique (1) Le Centre et le LNDS, sont désignés organismes compétents au sens de l’article 7, paragraphe 1er, du règlement (UE) 2022/868 pour aider l’Autorité des données dans l’exercice de ses missions conformément aux dispositions de la présente loi. 4 (2) Le Centre a pour missions : a) de mettre en œuvre les missions lui conférées par la présente loi ; b) de mettre à disposition l’environnement de traitement sécurisé prévu à l’article 36 ; c) de fournir des orientations et une assistance technique sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles ; d) de s’assurer de la mise en œuvre des mesures d’anonymisation et de pseudonymisation des données à caractère personnel et/ou à de modification, d’agrégation, de suppression et de traitement des informations et données selon toute autre méthode de contrôle de la divulgation des données conformément au plan de confidentialité, préalablement à la mise à disposition des données dans l’environnement de traitement sécurisé ; e) de collaborer étroitement avec l’Autorité des données, le tiers de confiance mandaté par le Centre, et le LNDS ; f) de proposer, sur décision du ministre ayant le Centre dans ses attributions, des services au LNDS relatifs à la mise en œuvre des dispositions de la présente loi. (3) Le LNDS a pour missions : a) de mettre en œuvre les missions lui conférées par la présente loi ; b) d’aider les organismes du secteur public, le cas échéant, à fournir une assistance aux réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou l’autorisation des détenteurs de données conformément à leurs décisions spécifiques, y compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les organismes du secteur public à mettre en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’autorisation des réutilisateurs, lorsque cela est réalisable en pratique ; c) de fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer l’adéquation des engagements contractuels pris par un réutilisateur en vertu de l’article 5, paragraphe 10 du règlement (UE) 2022/868 ; d) de collaborer étroitement avec l’Autorité des données, le Centre et le tiers de confiance mandaté par le Centre ; e) de fournir, sur demande, une assistance aux entités publiques et aux réutilisateurs de données dans le cadre de la préparation des demandes visées aux articles 27 et 28 et du plan de confidentialité visé à l’article 35. (4) Le Centre et le LNDS : a) veillent à ce que le personnel chargé des missions conférées par la présente loi soit fonctionnellement indépendant des entités publiques visées au titre V, des organismes du secteur public détenant les données et des réutilisateurs de données visés au titre VI ; b) ne divulguent aucune information à un tiers permettant l’identification des personnes concernées, des personnes physiques ou morales, des entités publiques, des organismes du secteur public détenant les données et des réutilisateurs de données ou permettant la divulgation de données qui sont protégées pour des motifs de protection des données à caractère personnel, de confidentialité commerciale, y compris le secret d’affaire, le secret professionnel, et le secret d’entreprise, de secrets statistique ou de protection de droits de 5 propriété intellectuelle de tiers. Cette interdiction ne vise pas les autorités, administrations, services, institutions ou organismes habilités, par ou en vertu de la loi, à obtenir de telles informations et ce pour les informations sur lesquelles porte cette habilitation ; c) désignent le personnel chargé des missions qui leurs sont conférées par la présente loi. Le personnel est désigné sur la base des qualités professionnelles et, en particulier, des connaissances spécialisées en matière d’anonymisation et de pseudonymisation de données à caractère personnel et de modification, d’agrégation, de suppression et de traitement selon toute autre méthode de contrôle de la divulgation des données ; d) veillent à ce que le personnel chargé des missions qui leurs sont conférées par la présente loi ne soit pas chargé ou impliqué, de manière directe ou indirecte, dans le traitement ultérieur de données à caractère personnel ainsi que dans l’accès et la réutilisation de données visés par la présente loi ; e) veillent à ce que le personnel chargé des missions qui leurs sont conférées par la présente loi n’exerce aucune activité qui ne se concilie pas avec l’accomplissement consciencieux et intégral des devoirs qui leurs sont conférés par la présente loi ou s’il y a incompatibilité, de fait ou de droit, avec l’exercice des tâches qui leurs sont conférées en application de la présente loi. (5) Il est interdit au personnel du Centre et du LNDS chargé de l’exécution des missions qui leurs sont conférées par la présente loi d’avoir un intérêt quelconque, par lui-même ou par personne interposée, et sous quelque forme juridique que ce soit, dans une entité publique, dans un organisme du secteur public détenant les données ou dans un réutilisateur de données visées aux titres V et VI. (6) Sans préjudice de l’article 23 du Code de procédure pénale, le personnel du Centre, du LNDS et du tiers de confiance chargé de l’exécution des missions conférées à ce dernier au sens de la présente loi est tenu au secret professionnel et passible des peines prévues à l’article 458 du Code pénal. Art. 6. Tiers de confiance (1) Le tiers de confiance a pour missions : a) de mettre en œuvre les missions lui conférées par la présente loi ; b) d’effectuer des opérations de sécurité d'authentification, de transmission et de stockage d’informations permettant la réidentification, y compris, le cas échéant, l’anonymisation, la pseudonymisation et l’agrégation des données, ainsi que la gestion des clés d’anonymisation, de pseudonymisation et d’agrégation des données ; c) de collaborer étroitement avec l’Autorité des données, le Centre et le LNDS. (2) Le tiers de confiance : a) dispose de ressources humaines et techniques suffisantes et de l’expertise adéquate pour s’acquitter efficacement des missions dont il est chargé conformément à la présente loi ; b) ne divulgue aucune information à un tiers permettant l’identification des personnes concernées, des personnes physiques ou morales, des entités publiques, des organismes du secteur public détenant les données et des réutilisateurs de données, ou susceptible de porter 6 préjudice aux droits à la protection des données, à la propriété intellectuelle, à la confidentialité commerciale, y compris le secret d’affaires, au secret professionnel, au secret d’entreprise et au secret statistique. Cette interdiction ne vise pas les autorités, administrations, services, institutions ou organismes habilités, par ou en vertu de la loi, à obtenir de telles informations et ce pour les informations sur lesquelles porte cette habilitation ; c) désigne le personnel chargé des missions qui lui sont conférées par la présente loi. Le personnel est désigné sur la base des qualités professionnelles et, en particulier, des connaissances spécialisées en matière d’anonymisation et de pseudonymisation de données à caractère personnel et de modification, d’agrégation, de suppression et de traitement selon toute autre méthode de contrôle de la divulgation des données ; d) veille à ce que le personnel chargé des missions qui lui sont conférées par la présente loi ne soit pas chargé ou impliqué, de manière directe ou indirecte, dans le traitement ultérieur de données à caractère personnel ainsi que dans l’accès et la réutilisation de données visés par la présente loi ; e) veille à ce que le personnel chargé des missions qui lui sont conférées par la présente loi n’exerce aucune activité qui ne se concilie pas avec l’accomplissement consciencieux et intégral des devoirs qui lui sont conférés par la présente loi ou s’il y a incompatibilité, de fait ou de droit, avec l’exercice des tâches qui lui sont conférées en application de la présente loi. (3) Il est interdit au personnel du tiers de confiance chargé de l’exécution des missions conférées à ce dernier par la présente loi d’avoir un intérêt quelconque, par lui-même ou par personne interposée, et sous quelque forme juridique que ce soit, dans une entité publique, dans un organisme du secteur public détenant les données ou dans un réutilisateur de données visées aux titres V et VI. (4) Sans préjudice de l’article 23 du Code de procédure pénale, le personnel du tiers de confiance chargé de l’exécution des missions conférées à ce dernier au sens de la présente loi est tenu au secret professionnel et passible des peines prévues à l’article 458 du Code pénal. Art. 7. Point d’information unique (1) Sous l’autorité du ministre ayant la digitalisation dans ses attributions est instauré un point d’information unique conformément à l’article 8 du règlement (UE) 2022/868, ci-après désigné par le terme « point d’information unique ». (2) Le point d’information unique a pour missions : a) de recevoir les demandes d’accès et de réutilisation de données visées par le titre VI, de les transmettre électroniquement, le cas échéant par des moyens automatisés, à l’Autorité des données et d’assurer les échanges et les démarches conformément aux dispositions du titre VII ; b) de rendre disponibles au public toutes les informations pertinentes concernant l’application des articles 5 et 6 du règlement (UE) 2022/868 ainsi que toute autre information dont la publication est sollicitée par l’Autorité des données ; 7 c) de mettre à disposition, conformément à l’article 8, paragraphe 2 du règlement (UE) 2022/868, par voie électronique une liste des ressources consultable contenant un aperçu de toutes les ressources en données disponibles à l’accès et à la réutilisation de données conformément au titre VI, avec des informations pertinentes décrivant les données disponibles, y compris au minimum le format et la taille des données ainsi que les conditions applicables à leur réutilisation. (3) Pour les cas visés au titre V, le point d’information unique a pour mission : a) de recevoir les demandes de traitement ultérieur de données à caractère personnel visées par le titre V, de les transmettre électroniquement, le cas échéant par des moyens automatisés, à l’Autorité des données et d’assurer les échanges et les démarches conformément aux dispositions du titre VII ; b) de mettre à disposition par voie électronique la liste de ressources consultable contenant un aperçu de toutes les ressources en données disponibles en vue de leur traitement ultérieur, visée à l’article 18, paragraphe 3 ; c) de rendre disponibles au public toutes les informations dont la publication est demandée par l’Autorité des données. Art. 8. Conseil consultatif de la valorisation des données dans un environnement de confiance (1) Il est institué, sous l’autorité du ministre ayant le Commissariat du Gouvernement à la protection des données auprès de l’État dans ses attributions, un Conseil consultatif de la valorisation des données dans un environnement de confiance, ci-après désigné par le terme « Conseil consultatif ». (2) Le Conseil consultatif a pour mission : 1° de fonctionner comme organe consultatif de l’Autorité des données ; 2° de soumettre un avis motivé dans les cas où ce dernier est sollicité conformément aux dispositions de la présente loi ; 3° de se prononcer sur toute question en matière de traitement ultérieur de données à caractère personnel et d’accès et de réutilisation de données qui lui est soumise par le ministre ayant le Commissariat du Gouvernement à la protection des données auprès de l’État dans ses attributions ; 4° de promouvoir l’accès et la réutilisation des données visés au titre VI. (3) Le Conseil consultatif est composé de représentants issus des ministères et administrations de l’État. Un règlement grand-ducal précise la composition et le mode de fonctionnement du Conseil consultatif. TITRE IV – Informations et données à caractère personnel obtenues par les entités publiques auprès d’une autre entité publique (« once only ») Art. 9. Obligation du « once only » (1) Un administré présentant une demande ou produisant une déclaration à une entité publique ne peut être tenu de produire des informations ou des données à caractère personnel que celle-ci 8 détient déjà ou qu’elle peut obtenir auprès d’une autre entité publique conformément à l’article 11. (2) Les entités publiques échangent entre elles toutes les informations ou les données à caractère personnel nécessaires pour traiter une demande présentée par l’administré ou une déclaration présentée par celui-ci en application d’une disposition législative ou réglementaire. Elles échangent entre elles les informations ou les données à caractère personnel nécessaires pour pouvoir informer les administrés sur leur droit au bénéfice éventuel d’une prestation ou d’un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur attribuer éventuellement lesdits prestations ou avantages. (3) L’obtention des informations et données à caractère personnel auprès d’une autre entité publique au sens du présent titre a pour finalités : a) d’assurer la mise à disposition d’informations et de données à caractère personnel aux entités publiques pour l’exécution de leurs obligations et de leurs missions d’intérêt public ; b) d’alléger la charge administrative des administrés dans le cadre de leurs demandes et déclarations ; c) d’éviter aux entités publiques de devoir organiser elles-mêmes la collecte d’informations et de données à caractère personnel auprès des administrés. Art. 10. Certification de l’exactitude des informations et données à caractère personnel (1) Lorsque les informations ou données à caractère personnel nécessaires pour traiter la demande présentée par l’administré ou la déclaration présentée par celui-ci doivent être obtenues auprès d’une autre entité publique, dans les conditions prévues aux articles 11 et 12, l’administré ou son tuteur, son curateur, son administrateur légal, son administrateur ad hoc ou son mandataire spécial certifie l’exactitude des informations et des données à caractère personnel ainsi obtenues. (2) Dans les cas où les informations et les données à caractère personnel s’avèrent inexactes, l’administré est tenu de demander leur rectification auprès de l’entité publique d’où elles proviennent et de communiquer les informations et les données à caractère personnel rectifiées à l’entité publique en charge du traitement de la demande ou de la déclaration présentée par l’administré. Art. 11. Conditions applicables au « once only » (1) L’entité publique ne sollicite pas l’échange d’informations et de données à caractère personnel auprès d’une autre entité publique s’il est manifeste qu’elle n’est pas compétente pour traiter la demande ou la déclaration présentée par l’administré ou pour l’informer sur ses droits au bénéfice éventuel d’une prestation ou d’un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir lui attribuer éventuellement lesdits prestations ou avantages. (2) L’entité publique chargée de traiter la demande ou la déclaration fait connaître à l’administré les informations ou les données à caractère personnel nécessaires au traitement de la demande ou de la déclaration qu’elle se procure auprès d’autres entités publiques. L’information contient, pour chaque catégorie d’informations et de données à caractère personnel, les coordonnées des entités publiques d’où proviennent les informations et les données à caractère personnel. 9 L’obligation prévue à l’alinéa qui précède s’applique également dans les cas où l’entité publique se procure des informations ou des données à caractère personnel auprès d’autres entités publiques pour informer les administrés sur leurs droits au bénéfice éventuel d’une prestation ou d’un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur attribuer éventuellement lesdits prestations ou avantages. (3) Les informations et les données à caractère personnel collectées et échangées en application du présent titre ne peuvent être utilisées ultérieurement à des fins de détection systématique d’une fraude. Cette interdiction ne vise pas les autorités, administrations, services, institutions ou organismes habilités, par ou en vertu de la loi, à procéder auxdites détections et ce pour les détections sur lesquelles porte cette habilitation. Pour les cas visés à l’article 9, paragraphe 2, alinéa 2, au plus tard au moment de la première communication individuelle avec l’administré, celui-ci est avisé de son droit de s’opposer à la poursuite du traitement des données à caractère personnel. En cas d’opposition exprimée par l’administré de poursuivre le traitement, les informations et les données à caractère personnel obtenues à la suite de cet échange sont détruites sans délai. (4) En cas d’impossibilité dûment motivée pour les entités publiques d’échanger les informations ou les données à caractère personnel nécessaires pour traiter la demande ou la déclaration dans les conditions prévues au présent titre : a) les entités publiques ne sont pas tenues de procéder à l’échange d’informations et de données à caractère personnel visé à l’article 9 ; et b) l’administré les communique à l’entité publique chargée du traitement de la demande ou de la déclaration. Dans les cas visés à l’alinéa qui précède, l’entité publique chargée du traitement de la demande ou de la déclaration et l’entité publique détentrice des informations et données à caractère personnel remédient dans les meilleurs délais à l’impossibilité d’échanger les informations et les données à caractère personnel en question. (5) Les entités publiques destinataires des informations et des données à caractère personnel ne peuvent se voir opposer le secret professionnel dès lors qu’elles sont, dans le cadre de leurs missions légales, habilitées à avoir connaissance des informations ou des données à caractère personnel ainsi échangées. (6) Un règlement grand-ducal détermine les informations ou données à caractère personnel, qui en raison de leur nature, ne peuvent faire l’objet de ces échanges entre entités publiques. Art. 12. Recensement des informations et des données à caractère personnel disponibles auprès d’une autre entité publique (1) Les entités publiques sont tenues d’identifier, dans les meilleurs délais, les informations et données à caractère personnel qu’elles peuvent obtenir auprès d’une autre entité publique : a) dans le cadre du traitement effectué dans l’exercice de leurs missions des demandes et déclarations présentées par un administré ; 10 b) pour informer les administrés sur leur droit au bénéfice éventuel d’une prestation ou d’un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur attribuer éventuellement lesdits prestations ou avantages. (2) Les entités publiques notifient, sans délai, les échanges d’informations et de données à caractère personnel identifiées conformément au paragraphe 1er aux entités publiques auprès desquelles les informations et données à caractère personnel pourraient être obtenues. Dans un délai d’un mois à partir de la notification visée à l’alinéa qui précède, les entités publiques notifiées : a) certifient la disponibilité des informations et des données à caractère personnel à l’entité publique demanderesse et confirment que l’échange d’informations et de données à caractère personnel n’est pas impossible ; ou b) informent l’entité publique demanderesse du fait qu’elles ne détiennent pas les informations et les données à caractère personnel sollicitées ou que l’échange d’informations et de données à caractère personnel est impossible. Une copie de l’information visée aux points a) et b) du présent paragraphe est transmise au ministre ayant la digitalisation dans ses attributions. (3) Dans les cas visés au point a) du paragraphe qui précède, les entités publiques concluent dans les meilleurs délais, et au plus tard après trois mois, le protocole visé à l’article 13. Art. 13. Protocole « once only » (1) Chaque type d’échange d’informations et de données à caractère personnel visé à l’article 9 est formalisé dans un protocole signé entre les entités publiques concernées préalablement à l’échange des informations et des données à caractère personnel. Le protocole contient, au moins, les éléments suivants : 1° les coordonnées des entités publiques d’où proviennent les informations et les données à caractère personnel et des entités publiques destinataires des informations et les données à caractère personnel ; 2° une description détaillée du contexte du traitement des informations et des données à caractère personnel ainsi que les motifs pour lesquels les informations et les données à caractère personnel sont nécessaires pour le respect des obligations prévues à l’article 9 ; 3° une description détaillée des catégories d’informations et de données à caractère personnel visées par l’échange à l’entité publique destinataire ; 4° une description détaillée des catégories de personnes concernées ; 5° une description détaillée des finalités du traitement ; 6° le cas échéant, l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers et les pays tiers à destination desquels des transferts de données à caractère personnel sont envisagés ainsi que l’existence ou l’absence de garanties appropriées conformément au chapitre V du règlement (UE) 2016/679 ; 7° les motifs pour lesquels les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies. 11 (2) Tout changement des éléments liés à l’obtention des informations et des données à caractère personnel auprès d’une entité publique doit être formalisé par avenant du protocole visé au paragraphe qui précède. (3) Le protocole ainsi que tout avenant sont transmis sans délai à l’Autorité des données qui les publie par voie électronique. L’Autorité des données n’est pas responsable du contenu du protocole. Les entités publiques informent sans délai l’Autorité des données lorsqu’un protocole n’est plus applicable. L’Autorité des données maintient la publication des protocoles pendant une durée de deux ans à partir de la réception de l’information visée au présent alinéa. Pendant cette période, elle indique que le protocole n’est plus applicable. Art. 14. Identification des sources authentiques d’informations et de données à caractère personnel (1) L’Autorité des données tient un registre de tous les protocoles qui lui sont transmis pour publication conformément à l’article 13, paragraphe 3. (2) En vue d’identifier des sources authentiques d’informations et de données à caractère personnel disponibles au sein des entités publiques, le ministre ayant la digitalisation dans ses attributions dispose d’un accès direct au registre des protocoles visés au paragraphe qui précède. TITRE V – Traitement ultérieur de données à caractère personnel par les entités publiques Section I – Dispositions générales Art. 15. Finalités du traitement ultérieur autorisées et licéité du traitement (1) Le traitement ultérieur de données à caractère personnel par des entités publiques est autorisé si : 1° les conditions énoncées au présent titre sont remplies ; et 2° que le traitement des données à caractère personnel est effectué exclusivement pour une ou plusieurs des finalités suivantes : a) l’analyse statistique ; b) les activités d’éducation ou d’enseignement, y compris au niveau de l’enseignement professionnel ou supérieur ; c) la recherche scientifique dans l’intérêt public ou dans l’intérêt général ; d) l’évaluation et la planification des politiques envisagées ou planifiées par le Gouvernement et approuvées par décision du Gouvernement en conseil, ou en ce qui concerne les communes, envisagées ou planifiées par le Conseil communal ; e) lorsque la mise en œuvre d’un accord international requiert la communication d’informations ou lorsque le traitement ultérieur des données à caractère personnel permet de répondre aux demandes d’informations officielles provenant de gouvernements étrangers ou d’organisations internationales approuvées par décision du Gouvernement en conseil ; f) les activités de développement, d’évaluation, de démonstration, de sécurité et d’innovation de dispositifs ou de services ; g) la formation, le test et l’évaluation d’algorithmes, y compris dans les dispositifs, les systèmes d’intelligence artificielle et les applications numériques. 12 (2) Le traitement ultérieur des données à caractère personnel, y compris leur partage et leur mise à disposition, par les entités publiques conformément au présent titre, est licite au sens de l’article 6, paragraphe 1er, lettre e) et, si applicable, de l’article 9, paragraphe 2, lettre g) ou j) du règlement (UE) 2016/679. Art. 16. Conditions d’anonymisation et de pseudonymisation des données à caractère personnel (1) Les données à caractère personnel détenues par des entités publiques doivent être anonymisées préalablement à leur traitement ultérieur aux fins énoncées à l’article 15, paragraphe 1er point 2°. (2) Lorsque le traitement de données anonymisées ne permet pas d’atteindre la finalité poursuivie, les données à caractère personnel doivent être pseudonymisées préalablement à leur traitement ultérieur aux fins énoncées à l’article 15, paragraphe 1er point 2°. (3) Lorsque le traitement ultérieur de données à caractère personnel pseudonymisées ne permet pas d’atteindre la finalité poursuivie, les données à caractère personnel peuvent être traitées ultérieurement aux fins énoncées à l’article 15, paragraphe 1er point 2° de manière nonpseudonymisées dans les limites du strict nécessaire. (4) Les entités publiques qui détiennent les données à caractère personnel sont tenus d’identifier les informations protégées pour des motifs de protection des données à caractère personnel. Elles renseignent les motifs pour lesquels les données doivent être protégées dans le plan de confidentialité prévu à l’article 35 et indiquent sur quelles parties des informations porte cette protection. (5) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel sont tenues d’une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts de la personne concernée qu’elles peuvent avoir acquise malgré les garanties mises en place conformément aux dispositions de la présente loi. Sans préjudice du paragraphe 3, il est interdit aux entités publiques effectuant le traitement ultérieur de données à caractère personnel de rétablir l’identité de toute personne concernée à laquelle se rapportent les données à caractère personnel. Les entités publiques prennent des mesures techniques et opérationnelles pour empêcher toute réidentification. Section II – Traitement ultérieur de données à caractère personnel par la même entité publique Art. 17. Conditions spécifiques applicables au traitement ultérieur de données à caractère personnel par la même entité publique (1) Une entité publique est autorisée à traiter ultérieurement les données à caractère personnel qu’elle détient pour les finalités énoncées à l’article 15, paragraphe 1er, point 2°, sous réserve du respect des dispositions de l’article 16. (2) Lorsque le traitement ultérieur porte sur des données à caractère personnel visées aux articles 9, paragraphe 1er et 10 du règlement (UE) 2016/679, les données à caractère personnel ne peuvent pas être traitées ultérieurement de manière non-anonymisées ou non-pseudonymisées. 13 Section III – Traitement ultérieur de données à caractère personnel par une autre entité publique ou par plusieurs entités publiques Art. 18. Conditions spécifiques applicables au traitement ultérieur de données à caractère personnel par une autre entité publique ou par plusieurs entités publiques (1) Une entité publique est autorisée à traiter ultérieurement les données à caractère personnel détenues par une autre entité publique pour les finalités énoncées à l’article 15, paragraphe 1er, point 2°, aux conditions suivantes : 1° l’entité publique qui détient les données à caractère personnel : a) a marqué son accord de principe au traitement ultérieur, y compris le partage et la mise à disposition en inscrivant les données à caractère personnel disponibles sur la liste des ressources consultables tenues par le point d’information unique, conformément au paragraphe 3 ; ou b) a marqué son accord spécifique au traitement ultérieur, y compris le partage et la mise à disposition, en contresignant la demande visée à l’article 27 ; 2° le traitement ultérieur de données à caractère personnel ne porte pas une atteinte disproportionnée aux droits et libertés de la personne concernée au regard des finalités poursuivies ; 3° les données à caractère personnel sont anonymisées préalablement au traitement ultérieur des données à caractère personnel, ou lorsque le traitement de données anonymisées ne permet pas d’atteindre la finalité poursuivie, si : a) l’Autorité des données autorise le traitement ultérieur de données à caractère personnel conformément à l’article 31 ; b) les données à caractère personnel sont pseudonymisées préalablement à leur traitement ultérieur ; c) le traitement ultérieur de données à caractère personnel est effectué dans l’environnement de traitement sécurisé prévu à l’article 36. (2) L’entité publique sollicitant le traitement ultérieur de données à caractère personnel détenues par une autre entité publique qui se voit opposer un refus de partage par l’entité publique détenant les données à caractère personnel sollicitées peut saisir pour avis le Conseil consultatif. Le Conseil consultatif émet un avis quant à la demande de partage dans un délai de trois semaines. L’avis du Conseil consultatif est communiqué à l’entité publique qui sollicite le partage ainsi qu’à l’entité publique détenant les données à caractère personnel, qui est appelée à considérer à nouveau la demande de partage. L’entité publique détenant les données à caractère personnel sollicitées acte sa décision finale par écrit dans un délai de trois semaines. Elle transmet une copie de sa décision finale sans délai à l’entité publique qui sollicite le partage et au Conseil consultatif. L’absence de décision finale de l’entité publique détenant les données à caractère personnel sollicitées dans le délai imparti vaut refus. En cas d’accord, l’entité publique détentrice des données à caractère personnel contresigne la demande visée à l’article 27. 14 (3) Le point d’information unique met à disposition par voie électronique une liste de ressources consultable contenant un aperçu de toutes les ressources en données disponibles en vue de leur traitement ultérieur conformément au présent titre, avec des informations pertinentes décrivant les données à caractère personnel disponibles, y compris au minimum le format et la taille des données ainsi que les conditions applicables à leur traitement ultérieur. TITRE VI – Accès et réutilisation des données détenues par des organismes du secteur public par des réutilisateurs de données Section I – Dispositions générales Art. 19. Catégories de données protégées disponibles à l’accès et à la réutilisation (1) Le présent titre s’applique à l’accès et à la réutilisation, par un réutilisateur de données, des données détenues par des organismes du secteur public, conformément au règlement (UE) 2022/868, qui sont protégées pour des motifs : 1° de confidentialité commerciale, y compris le secret d’affaires, le secret professionnel et le secret d’entreprise ; 2° de secret statistique ; 3° de protection des droits de propriété intellectuelle de tiers ; ou 4° de protection des données à caractère personnel, dans la mesure où de telles données ne relèvent pas du champ d’application de la loi du 29 novembre 2021 sur les données ouvertes et la réutilisation des informations du secteur public. (2) Le présent titre ne s’applique pas : 1° aux données énoncées à l’article 3, paragraphe 2, du règlement (UE) 2022/868 ; 2° aux cas visés par les autres titres de la présente loi. Art. 20. Finalités d’accès et réutilisation des données autorisées L’accès et la réutilisation des données par des réutilisateurs de données sont autorisés si : 1° les conditions énoncées à la section II du présent titre sont remplies ; et 2° l’accès et la réutilisation des données est effectué exclusivement pour une ou plusieurs des finalités suivantes : a) l’analyse statistique ; b) les activités d’éducation, de formation ou d’enseignement, y compris au niveau de l’enseignement professionnel ou supérieur ; c) la recherche scientifique dans l’intérêt public ou dans l’intérêt général ; d) le développement, l’évaluation, la démonstration, la sécurité et l’innovation de technologies ; e) le développement, l’évaluation, la démonstration, la sécurité et l’innovation de produits ; f) l’évaluation des politiques publiques luxembourgeoises ou européennes. 15 Art. 21. Conditions d’anonymisation, de pseudonymisation et de méthodes de contrôle de divulgation des données (1) Les données à caractère personnel détenues par des organismes du secteur public doivent être anonymisées préalablement à l’accès et à la réutilisation par le réutilisateur de données. (2) Lorsque l’accès et la réutilisation de données à caractère personnel anonymisées ne permet pas d’atteindre la finalité poursuivie, les données à caractère personnel doivent être pseudonymisées préalablement à l’accès et à la réutilisation par le réutilisateur de données. (3) Les accès et réutilisations effectués conformément au présent titre, par des réutilisateurs de données, de données à caractère personnel détenues par les organismes du secteur public, sous une forme non anonymisée ou non pseudonymisée, sont interdits. (4) Les données détenues par des organismes du secteur public doivent être modifiées, agrégées, supprimées ou traitées selon toute autre méthode de contrôle de la divulgation préalablement à l’accès et à la réutilisation par le réutilisateur de données, pour éviter toute atteinte disproportionnée aux droits de propriété intellectuelle, à la confidentialité commerciale, y compris le secret d’affaires, au secret professionnel, au secret d’entreprise et au secret statistique. (5) Les organismes du secteur public qui détiennent les données à caractère personnel et les données à caractère non personnel sont tenus d’identifier les données protégées pour les motifs visés à l’article 19, paragraphe 1er. Ils renseignent les motifs pour lesquels les données doivent être protégées dans le plan de confidentialité prévu à l’article 35 et indiquent sur quelles parties des informations porte cette protection. (6) Les réutilisateurs de données sont tenus d’une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts protégés par la présente loi qu’ils peuvent avoir acquis malgré les garanties mises en place conformément aux dispositions de la présente loi. Il est interdit aux réutilisateurs de données de rétablir l’identité de toute personne concernée à laquelle se rapportent les données. Les réutilisateurs de données prennent les mesures techniques et opérationnelles nécessaires pour empêcher toute réidentification. Section II – Conditions applicables à la réutilisation de données à caractère personnel Art. 22. L’accès et la réutilisation de données à caractère personnel par des réutilisateurs de données (1) Un réutilisateur de données peut accéder et réutiliser les données à caractère personnel détenues par un organisme du secteur public pour les finalités énoncées à l’article 20, paragraphe 1er, point 2° aux conditions cumulatives suivantes : 1° l’Autorité des données autorise l’accès et la réutilisation conformément à l’article 31 ; 2° l’organisme du secteur public qui détient les données : a) a marqué son accord de principe à la mise à disposition des données à caractère personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en inscrivant les données disponibles sur la liste des ressources consultable tenue par le 16 point d’information unique conformément à l’article 8, paragraphe 2 du règlement (UE) 2022/868 ; ou b) a marqué son accord spécifique à la mise à disposition des données à caractère personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en contresignant la demande visée à l’article 28 ; 3° l’accès et la réutilisation ne portent pas une atteinte disproportionnée aux droits et libertés de la personne concernée au regard de la finalité poursuivie ; 4° les données à caractère personnel sont anonymisées ou pseudonymisées préalablement à leur accès et à leur réutilisation ; 5° l’accès et la réutilisation des données à caractère personnel se font dans l’environnement de traitement sécurisé visé à l’article 36. (2) Le traitement de données à caractère personnel, y compris leur partage et leur mise à disposition, par les organismes du secteur public conformément au présent titre, est licite au sens de l’article 6, paragraphe 1er, lettre e) et, si applicable, de l’article 9, paragraphe 2, lettre g) ou j) du règlement (UE) 2016/679. (3) Le réutilisateur de données qui se voit opposer un refus d’accès de réutilisation des données par l’organisme du secteur public détenant les données sollicitées peut saisir le Conseil consultatif, qui émet un avis quant à la demande d’accès et de réutilisation dans un délai de trois semaines. L’avis du Conseil consultatif est communiqué au réutilisateur de données et à l’organisme du secteur public détenant les données, qui est appelé à considérer à nouveau la demande d’accès et de réutilisation. L’organisme du secteur public détenant les données sollicitées acte sa décision finale par écrit dans un délai de trois semaines. Il transmet une copie de sa décision finale sans délai au réutilisateur de données et au Conseil consultatif. L’absence de décision finale de l’organisme du secteur public détenant les données sollicitées dans les délais impartis vaut refus. En cas d’accord, l’organisme du secteur public détenant les données contresigne la demande visée à l’article 28. Section III – Conditions applicables à la réutilisation de données à caractère non personnel Art. 23. L’accès et la réutilisation de données à caractère non personnel détenues par les organismes du secteur public (1) Un réutilisateur de données peut accéder et réutiliser les données à caractère non personnel détenues par un autre organisme du secteur public et protégées pour les motifs visés à l’article 19, paragraphe 1er, points 1° à 3° aux conditions cumulatives suivantes : 1° l’Autorité des données autorise l’accès et la réutilisation conformément à l’article 31 ; 2° l’organisme du secteur public qui détient les données : a) a marqué son accord de principe à la mise à disposition des données à caractère non personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en inscrivant les données disponibles sur la liste des ressources consultables tenue par le 17 point d’information unique conformément à l’article 8, paragraphe 2 du règlement (UE) 2022/868 ; ou b) a marqué son accord spécifique à la mise à disposition des données à caractère non personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en contresignant la demande visée à l’article 28 ; 3° l’accès et la réutilisation ne portent pas une atteinte disproportionnée aux droits protégés pour les motifs visés à l’article 19, paragraphe 1er, points 1° à 3°; 4° les données à caractère non personnel sont modifiées, agrégées, supprimées ou traitées selon toute autre méthode de contrôle de la divulgation préalablement à leurs accès et à leur réutilisation ; 5° l’accès et la réutilisation des données à caractère non personnel se font dans l’environnement de traitement sécurisé visé à l’article 36. (2) Le réutilisateur de données sollicitant l’accès et la réutilisation de données détenues par un organisme du secteur public qui se voit opposer un refus d’accès de réutilisation des données par les organismes du secteur public détenant les données sollicitées peut saisir le Conseil consultatif, qui émet un avis quant à la demande d’accès et de réutilisation dans un délai de trois semaines. L’avis du Conseil consultatif est communiqué au réutilisateur de données et à l’organisme du secteur public détenant les données, qui est appelé à considérer à nouveau la demande d’accès et de réutilisation. L’organisme du secteur public détenant les données sollicitées acte sa décision finale par écrit dans un délai de trois semaines. Il transmet une copie de sa décision finale sans délai au réutilisateur de données et au Conseil consultatif. L’absence de décision finale de l’organisme du secteur public détenant les données sollicitées dans les délais impartis vaut refus. En cas d’accord, l’organisme du secteur public détenant les données contresigne la demande visée à l’article 28. Section IV – Conditions applicables à la réutilisation d’ensembles contenant des données à caractère personnel et des données à caractère non personnel Art. 24. Conditions applicables à la réutilisation d’ensembles mixtes de données détenus par les organismes du secteur public Lorsque l’accès et la réutilisation portent sur un ensemble de données détenu par un organisme du secteur public qui contient des données à caractère personnel et des données à caractère non personnel, l’accès et la réutilisation sont soumis aux conditions énoncées aux articles 19 à 23. 18 TITRE VII – Modalités applicables au traitement ultérieur des données à caractère personnel par les entités publiques et à l’accès et à la réutilisation de données par des réutilisateurs de données Section I – Dispositions générales Art. 25. Champ d’application Les dispositions du présent titre s’appliquent aux traitements ultérieurs de données à caractère personnel visés au titre V et aux accès et réutilisation de données prévus au titre VI, qui sont soumis à autorisation de l’Autorité des données. Section II – Demande de traitement ultérieur ou d’accès et de réutilisation des données Art. 26. Forme de la demande de traitement ultérieur ou d’accès et de réutilisation des données (1) Les demandes de traitement ultérieur de données à caractère personnel visées au titre V ainsi que les demandes d’accès et de réutilisation visées au titre VI à présenter à l’Autorité des données doivent être formulées de façon précise et revêtir une forme écrite. (2) Toute modification substantielle de la demande intervenant au cours de l’instruction de la demande par l’Autorité des données qui affecte les informations et pièces visées aux articles 27 et 28 nécessite le dépôt d’une nouvelle demande conformément à l’article 29. Art. 27. Contenu de la demande de traitement ultérieur de données à caractère personnel (1) Dans les cas visés au titre V, la demande à présenter par les entités publiques effectuant le traitement ultérieur des données à caractère personnel doit contenir les informations suivantes : 1° les coordonnées des entités publiques effectuant le traitement ultérieur des données à caractère personnel ; 2° les coordonnées des entités publiques détentrices des données à caractère personnel ; 3° une description détaillée du contexte du traitement de données à caractère personnel envisagé ; 4° une description détaillée des catégories de données à caractère personnel et des catégories de personnes concernées ; 5° la base de licéité du traitement ainsi qu’une description détaillée des finalités du traitement ; 6° une description détaillée des mesures appropriées qui permettent d’apprécier le respect des exigences en matière d’anonymisation et de pseudonymisation des données à caractère personnel, en particulier la justification du respect des conditions visées à l’article 16 ; 7° la durée du traitement de données à caractère personnel envisagée dans l’environnement de traitement sécurisé visé à l’article 36 et, le cas échéant, la durée de conservation des données dans le système d’archivage intermédiaire du Centre, ainsi que la justification pour laquelle ces durées sont limitées à ce qui est nécessaire ; 8° les destinataires de données à caractère personnel et, le cas échéant, l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers et les pays tiers à destination desquels des transferts de données sont envisagés ainsi que l’existence ou l’absence de garanties appropriées conformément au chapitre V du règlement (UE) 2016/679 ; 9° les motifs pour lesquels le traitement ultérieur des données à caractère personnel ne porte pas une atteinte disproportionnée aux droits et libertés de la personne concernée au regard de la finalité poursuivie ; 19 10° les motifs pour lesquels les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies ; 11° le cas échéant, une description détaillée des données à caractère personnel provenant de sources autres que les entités publiques effectuant le traitement ultérieur de données à caractère personnel et les entités publiques détenant les données à caractère personnel, dont l’introduction dans l’environnement de traitement sécurisé est sollicitée ; 12° les obligations respectives des responsables du traitement aux fins d’assurer le respect des exigences du règlement (UE) 2016/679, notamment en ce qui concerne l’exercice des droits de la personne concernée ; 13° la signature de la demande par toutes les entités publiques visées au point 1° du présent paragraphe ; 14° pour les cas visés à l’article 18, paragraphe 1er, point 1°, lettre a), la preuve de l’inscription des données à caractère personnel sur la liste de ressources consultable tenue par le point d’information unique conformément à l’article 18, paragraphe 3 ; 15° pour les cas visés à l’article 18, paragraphe 1, point 1°, lettre b), la signature de la demande par toutes les entités publiques visées au point 2° du présent paragraphe. (2) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel, en leur qualité de responsables du traitement, joignent les documents suivants à leur demande : 1° si applicable, l’analyse d’impact relative à la protection des données à caractère personnel visée par l’article 35 du règlement (UE) 2016/679 ; 2° l’information à destination des personnes concernées visée aux articles 12 à 14 du règlement (UE) 2016/679 ; 3° le plan de confidentialité signé par toutes les parties visées à l’article 35, paragraphe 2 ; 4° l’attestation de faisabilité visée à l’article 35, paragraphe 3 émise par le Centre ; 5° si applicable, une copie de l’avis du Conseil consultatif visé à l’article 18, paragraphe 2. (3) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel : a) certifient l’exactitude des informations contenues dans la demande et les pièces jointes visées au présent article ; b) certifient que le plan de confidentialité correspond aux informations contenues dans la demande présentée à l’Autorité des données ; c) s’engagent formellement à respecter les termes de l’autorisation de l’Autorité des données et du plan de confidentialité. Art. 28. Contenu de la demande d’accès et de réutilisation de données (1) Dans les cas visés au titre VI, la demande à présenter par les réutilisateurs des données doit contenir les informations suivantes : 1° les coordonnées des réutilisateurs des données ; 2° les coordonnées des organismes du secteur public détenant les données ; 3° une description détaillée du contexte de l’accès et de la réutilisation des données ; 4° une description détaillée des données et des catégories de personnes visées par la demande ; 5° une description détaillée des mesures appropriées qui permettent d’apprécier le respect des exigences en matière d’anonymisation, de pseudonymisation et d’agrégation des données 20 visées à l’article 21, en particulier la justification du respect des conditions visées à l’article 21 ; 6° les motifs pour lesquels les données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies ; 7° les motifs pour lesquels l’accès et la réutilisation des données ne portent pas une atteinte disproportionnée aux droits protégés pour les motifs visés à l’article 19, paragraphe 1er ; 8° les destinataires de données ; 9° le cas échéant, une description détaillée des données provenant des réutilisateurs de données et/ou de détenteurs de données autres que les organismes du secteur public, dont l’introduction dans l’environnement de traitement sécurisé est sollicitée par le réutilisateur de données ; 10° la durée d’accès et de réutilisation des données dans l’environnement de traitement sécurisé visé à l’article 36 et, le cas échéant, la durée de conservation des données dans le système d’archivage intermédiaire du Centre, ainsi que la justification pour laquelle ces durées sont limitées à ce qui est nécessaire ; 11° le cas échéant, l’intention d’effectuer un transfert de données vers un pays tiers et les pays tiers à destination desquels des transferts de données sont envisagés ; 12° la signature de la demande par tous les réutilisateurs des données visés au point 1° du présent paragraphe ; 13° pour les cas visés à l’article 22, paragraphe 2, point 2°, lettre a) et à l’article 23, paragraphe (2) point 2°, lettre a), la preuve de l’inscription des données à caractère personnel sur la liste de ressources consultable tenue par le point d’information unique conformément à l’article 8, paragraphe 2 du règlement (UE) 2022/868 ; 14° pour les cas visés à l’article 22, paragraphe 2, point 2°, lettre b) et à l’article 23, paragraphe 2 point 2°, lettre b), la signature de la demande par tous les organismes du secteur public visés au point 2° du présent paragraphe. (2) Lorsque la demande porte sur des données à caractère personnel, elle contient également les informations suivantes : 1° la base de licéité du traitement de données à caractère personnel ainsi qu’une description détaillée des finalités du traitement de données à caractère personnel ; 2° les motifs pour lesquels l’accès et la réutilisation des données ne portent pas une atteinte disproportionnée aux droits et libertés de la personne concernée au regard de la finalité poursuivie ; 3° les obligations respectives des responsables du traitement aux fins d’assurer le respect des exigences du règlement (UE) 2016/679, notamment en ce qui concerne l’exercice des droits de la personne concernée ; 4° le cas échéant, l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence de garanties appropriées conformément au chapitre V du règlement (UE) 2016/679. (3) La demande doit être accompagnée du plan de confidentialité signé par …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.