📄 Texte de loi
Projet de loi relatif à la valorisation des données dans un
environnement de confiance
1
Projet de loi
1) relatif à la valorisation des données dans un environnement de confiance ;
2) relatif à la mise en œuvre du principe « once only » ;
3) relatif à la mise en application de certaines dispositions du règlement (UE) 2022/868 du Parlement
européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et
modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ;
4) relatif à la mise en application de certaines dispositions du règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la
directive 95/46/CE (règlement général sur la protection des données).
TITRE Ier – Dispositions préliminaires
Art. 1. Objet
(1) La présente loi vise :
1° le traitement de données à caractère personnel par les entités publiques dans le cadre de
l’exécution des missions d’intérêt public ou relevant de l’exercice de l’autorité publique dont
elles sont investies, agissant en leur qualité de responsable du traitement ;
2° l’échange d’informations et de données à caractère personnel obtenues par une entité
publique auprès d'une autre entité publique dans le cadre du traitement d’une demande ou
d’une déclaration d’un administré, ou pour informer l’administré sur ses droits au bénéfice
éventuel d'une prestation ou d'un avantage prévus par des dispositions législatives ou
réglementaires et pour pouvoir lui attribuer éventuellement lesdits prestations ou avantages ;
3° le traitement ultérieur de données à caractère personnel par les entités publiques pour les
finalités déterminées dans la présente loi ;
4° l’accès et la réutilisation de certaines catégories de données collectées par les organismes du
secteur public, en application du chapitre II du règlement (UE) 2022/868 du Parlement
européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données
et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données),
désigné ci-après par le terme « règlement (UE) 2022/868 » ;
5° la fourniture de services d’intermédiation de données, en application du chapitre III du
règlement (UE) 2022/868 ; et
6° la mise à disposition de données à des fins altruistes, en application du chapitre IV du
règlement (UE) 2022/868.
(2) Les dispositions de la présente loi s’appliquent sans préjudice des dispositions plus spécifiques
relatives au traitement de données à caractère personnel.
Art. 2. Définitions
(1) Sauf dispositions particulières contraires au paragraphe 2 du présent article, les termes et
expressions utilisés dans la présente loi ont la signification que leur donnent le règlement (UE)
2022/868 et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
2
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données), ci-après désigné par le terme « règlement (UE)
2016/679 ».
(2) Aux fins de la présente loi, on entend par :
1° « anonymisation » : le processus consistant à rendre anonymes des données à caractère
personnel de telle sorte que la personne concernée à laquelle celles-ci se rapportent ne soit
pas ou plus identifiée ou identifiable, compte tenu de l'ensemble des moyens
raisonnablement susceptibles d'être utilisés pour identifier la personne physique directement
ou indirectement ;
2° « entité publique » : un Ministère, y compris ses services, une administration ou une
commune luxembourgeoise, ainsi que les établissements publics luxembourgeois, les
groupements d’intérêt économique et les personnes morales d’utilité publique listés
expressément par règlement grand-ducal aux fins d’application des dispositions des titres IV
et V. Toutefois, ne sont pas considérées comme entité publique aux fins d’application de la
présente loi :
a) les autorités compétentes visées par l’article 2, point 7° de loi du 1er août 2018 relative
à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale
lorsqu’elles effectuent un traitement de données à caractère personnel relevant du
champ d’application de la loi du 1er août 2018 ;
b) les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre
administratif, lorsqu’elles effectuent un traitement de données à caractère personnel
dans l’exercice de leurs fonctions juridictionnelles ;
3° « tiers de confiance » : toute entité fonctionnellement indépendante des entités publiques
visées au titre V, des organismes du secteur public détenant les données et du réutilisateur
de données visés au titre VI, qui remplit les conditions prévues à l’article 6.
TITRE II – Traitement de données à caractère personnel par les entités publiques nécessaire à
l’exécution de la mission d’intérêt public ou relevant de l’exercice de l’autorité publique
Art. 3. Licéité du traitement de données à caractère personnel par les entités publiques nécessaire
à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
Les entités publiques sont habilitées à traiter les données à caractère personnel nécessaires aux fins
relevant de l’exécution de leurs missions d’intérêt public ou relevant de l’exercice de l’autorité
publique dont elles sont investies par une disposition de droit de l’Union européenne ou de droit
national applicable.
TITRE III – Acteurs compétents en matière de traitement ultérieur de données à caractère
personnel et d’accès et de réutilisation de données
Art. 4. Autorité des données
(1) Le Commissariat du Gouvernement à la protection des données auprès de l'État est chargé des
missions attribuées à l’Autorité des données par la présente loi. Dans l’exercice de ces missions,
le Commissariat du Gouvernement à la protection des données auprès de l'État est désigné ciaprès par le terme « Autorité des données ».
3
(2) L’Autorité des données est désignée organisme compétent, conformément à l’article 7,
paragraphe 1er, du règlement (UE) 2022/868, habilité, conformément à l’article 7, paragraphe 2,
du même règlement, à octroyer ou refuser l’accès aux fins de réutilisation des données
conformément aux dispositions des titres VI et VII.
(3) L’Autorité des données est habilitée à autoriser ou refuser le traitement ultérieur de données à
caractère personnel par les entités publiques conformément aux dispositions des titres V et VII.
(4) L’Autorité des données a pour missions :
a) de mettre en œuvre les missions lui conférées par la présente loi ;
b) de collaborer étroitement avec le Centre des technologies de l’information de l’État,
dénommé ci-après par le terme « Centre », le tiers de confiance mandaté par le Centre et le
groupement d’intérêt économique PNED G.I.E. - Plateforme nationale d’échange de données,
désigné ci-après par le terme « LNDS » ;
c) de fonctionner comme organe de réflexion et d’impulsion dans le domaine du traitement
ultérieur de données à caractère personnel et de l’accès et de la réutilisation de données et
de formuler des avis et des propositions en la matière au ministre ayant la digitalisation dans
ses attributions ;
d) de proposer au ministre ayant la digitalisation dans ses attributions des mesures en matière
de politique de traitement ultérieur de données à caractère personnel et d’accès et de
réutilisation de données ;
e) de conseiller, sur demande, le ministre ayant la digitalisation dans ses attributions sur les
mesures en matière de traitement ultérieur de données à caractère personnel ;
f) de promouvoir les bonnes pratiques à travers les entités publiques, en matière de traitement
ultérieur de données à caractère personnel, et à travers les organismes de droit public en
matière d’accès et de réutilisation de données ;
g) de sensibiliser les entités publiques, les organismes de droit public et le public en matière de
traitement ultérieur de données à caractère personnel et en matière d’accès et de
réutilisation de données.
(5) L’Autorité des données dispose des ressources nécessaires pour exercer ses missions. Elle peut
recourir aux services d’experts.
(6) L’Autorité des données veille à ce que son personnel chargé des missions prévues aux paragraphes
2 et 3 ne soit pas impliqué dans la préparation des demandes visées à la section II du titre VII dans
l’exercice de ses missions prévues aux articles 57 et 58 de la loi du 1er août 2018 portant
organisation de la Commission nationale pour la protection des données et du régime général sur
la protection des données.
Art. 5. Assistance technique
(1) Le Centre et le LNDS, sont désignés organismes compétents au sens de l’article 7, paragraphe
1er, du règlement (UE) 2022/868 pour aider l’Autorité des données dans l’exercice de ses missions
conformément aux dispositions de la présente loi.
4
(2) Le Centre a pour missions :
a) de mettre en œuvre les missions lui conférées par la présente loi ;
b) de mettre à disposition l’environnement de traitement sécurisé prévu à l’article 36 ;
c) de fournir des orientations et une assistance technique sur la meilleure manière de structurer
et de stocker les données pour les rendre facilement accessibles ;
d) de s’assurer de la mise en œuvre des mesures d’anonymisation et de pseudonymisation des
données à caractère personnel et/ou à de modification, d’agrégation, de suppression et de
traitement des informations et données selon toute autre méthode de contrôle de la
divulgation des données conformément au plan de confidentialité, préalablement à la mise à
disposition des données dans l’environnement de traitement sécurisé ;
e) de collaborer étroitement avec l’Autorité des données, le tiers de confiance mandaté par le
Centre, et le LNDS ;
f) de proposer, sur décision du ministre ayant le Centre dans ses attributions, des services au
LNDS relatifs à la mise en œuvre des dispositions de la présente loi.
(3) Le LNDS a pour missions :
a) de mettre en œuvre les missions lui conférées par la présente loi ;
b) d’aider les organismes du secteur public, le cas échéant, à fournir une assistance aux
réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou
l’autorisation des détenteurs de données conformément à leurs décisions spécifiques, y
compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les
organismes du secteur public à mettre en place des mécanismes techniques permettant la
transmission des demandes de consentement ou d’autorisation des réutilisateurs, lorsque
cela est réalisable en pratique ;
c) de fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer
l’adéquation des engagements contractuels pris par un réutilisateur en vertu de l’article 5,
paragraphe 10 du règlement (UE) 2022/868 ;
d) de collaborer étroitement avec l’Autorité des données, le Centre et le tiers de confiance
mandaté par le Centre ;
e) de fournir, sur demande, une assistance aux entités publiques et aux réutilisateurs de données
dans le cadre de la préparation des demandes visées aux articles 27 et 28 et du plan de
confidentialité visé à l’article 35.
(4) Le Centre et le LNDS :
a) veillent à ce que le personnel chargé des missions conférées par la présente loi soit
fonctionnellement indépendant des entités publiques visées au titre V, des organismes du
secteur public détenant les données et des réutilisateurs de données visés au titre VI ;
b) ne divulguent aucune information à un tiers permettant l’identification des personnes
concernées, des personnes physiques ou morales, des entités publiques, des organismes du
secteur public détenant les données et des réutilisateurs de données ou permettant la
divulgation de données qui sont protégées pour des motifs de protection des données à
caractère personnel, de confidentialité commerciale, y compris le secret d’affaire, le secret
professionnel, et le secret d’entreprise, de secrets statistique ou de protection de droits de
5
propriété intellectuelle de tiers. Cette interdiction ne vise pas les autorités, administrations,
services, institutions ou organismes habilités, par ou en vertu de la loi, à obtenir de telles
informations et ce pour les informations sur lesquelles porte cette habilitation ;
c) désignent le personnel chargé des missions qui leurs sont conférées par la présente loi. Le
personnel est désigné sur la base des qualités professionnelles et, en particulier, des
connaissances spécialisées en matière d’anonymisation et de pseudonymisation de données
à caractère personnel et de modification, d’agrégation, de suppression et de traitement selon
toute autre méthode de contrôle de la divulgation des données ;
d) veillent à ce que le personnel chargé des missions qui leurs sont conférées par la présente loi
ne soit pas chargé ou impliqué, de manière directe ou indirecte, dans le traitement ultérieur
de données à caractère personnel ainsi que dans l’accès et la réutilisation de données visés
par la présente loi ;
e) veillent à ce que le personnel chargé des missions qui leurs sont conférées par la présente loi
n’exerce aucune activité qui ne se concilie pas avec l’accomplissement consciencieux et
intégral des devoirs qui leurs sont conférés par la présente loi ou s’il y a incompatibilité, de
fait ou de droit, avec l’exercice des tâches qui leurs sont conférées en application de la
présente loi.
(5) Il est interdit au personnel du Centre et du LNDS chargé de l’exécution des missions qui leurs sont
conférées par la présente loi d’avoir un intérêt quelconque, par lui-même ou par personne
interposée, et sous quelque forme juridique que ce soit, dans une entité publique, dans un
organisme du secteur public détenant les données ou dans un réutilisateur de données visées aux
titres V et VI.
(6) Sans préjudice de l’article 23 du Code de procédure pénale, le personnel du Centre, du LNDS et
du tiers de confiance chargé de l’exécution des missions conférées à ce dernier au sens de la
présente loi est tenu au secret professionnel et passible des peines prévues à l’article 458 du Code
pénal.
Art. 6. Tiers de confiance
(1) Le tiers de confiance a pour missions :
a) de mettre en œuvre les missions lui conférées par la présente loi ;
b) d’effectuer des opérations de sécurité d'authentification, de transmission et de stockage
d’informations permettant la réidentification, y compris, le cas échéant, l’anonymisation, la
pseudonymisation et l’agrégation des données, ainsi que la gestion des clés d’anonymisation,
de pseudonymisation et d’agrégation des données ;
c) de collaborer étroitement avec l’Autorité des données, le Centre et le LNDS.
(2) Le tiers de confiance :
a) dispose de ressources humaines et techniques suffisantes et de l’expertise adéquate pour
s’acquitter efficacement des missions dont il est chargé conformément à la présente loi ;
b) ne divulgue aucune information à un tiers permettant l’identification des personnes
concernées, des personnes physiques ou morales, des entités publiques, des organismes du
secteur public détenant les données et des réutilisateurs de données, ou susceptible de porter
6
préjudice aux droits à la protection des données, à la propriété intellectuelle, à la
confidentialité commerciale, y compris le secret d’affaires, au secret professionnel, au secret
d’entreprise et au secret statistique. Cette interdiction ne vise pas les autorités,
administrations, services, institutions ou organismes habilités, par ou en vertu de la loi, à
obtenir de telles informations et ce pour les informations sur lesquelles porte cette
habilitation ;
c) désigne le personnel chargé des missions qui lui sont conférées par la présente loi. Le
personnel est désigné sur la base des qualités professionnelles et, en particulier, des
connaissances spécialisées en matière d’anonymisation et de pseudonymisation de données
à caractère personnel et de modification, d’agrégation, de suppression et de traitement selon
toute autre méthode de contrôle de la divulgation des données ;
d) veille à ce que le personnel chargé des missions qui lui sont conférées par la présente loi ne
soit pas chargé ou impliqué, de manière directe ou indirecte, dans le traitement ultérieur de
données à caractère personnel ainsi que dans l’accès et la réutilisation de données visés par
la présente loi ;
e) veille à ce que le personnel chargé des missions qui lui sont conférées par la présente loi
n’exerce aucune activité qui ne se concilie pas avec l’accomplissement consciencieux et
intégral des devoirs qui lui sont conférés par la présente loi ou s’il y a incompatibilité, de fait
ou de droit, avec l’exercice des tâches qui lui sont conférées en application de la présente loi.
(3) Il est interdit au personnel du tiers de confiance chargé de l’exécution des missions conférées à ce
dernier par la présente loi d’avoir un intérêt quelconque, par lui-même ou par personne
interposée, et sous quelque forme juridique que ce soit, dans une entité publique, dans un
organisme du secteur public détenant les données ou dans un réutilisateur de données visées aux
titres V et VI.
(4) Sans préjudice de l’article 23 du Code de procédure pénale, le personnel du tiers de confiance
chargé de l’exécution des missions conférées à ce dernier au sens de la présente loi est tenu au
secret professionnel et passible des peines prévues à l’article 458 du Code pénal.
Art. 7. Point d’information unique
(1) Sous l’autorité du ministre ayant la digitalisation dans ses attributions est instauré un point
d’information unique conformément à l’article 8 du règlement (UE) 2022/868, ci-après désigné
par le terme « point d’information unique ».
(2) Le point d’information unique a pour missions :
a) de recevoir les demandes d’accès et de réutilisation de données visées par le titre VI, de les
transmettre électroniquement, le cas échéant par des moyens automatisés, à l’Autorité des
données et d’assurer les échanges et les démarches conformément aux dispositions du titre
VII ;
b) de rendre disponibles au public toutes les informations pertinentes concernant l’application
des articles 5 et 6 du règlement (UE) 2022/868 ainsi que toute autre information dont la
publication est sollicitée par l’Autorité des données ;
7
c) de mettre à disposition, conformément à l’article 8, paragraphe 2 du règlement (UE)
2022/868, par voie électronique une liste des ressources consultable contenant un aperçu de
toutes les ressources en données disponibles à l’accès et à la réutilisation de données
conformément au titre VI, avec des informations pertinentes décrivant les données
disponibles, y compris au minimum le format et la taille des données ainsi que les conditions
applicables à leur réutilisation.
(3) Pour les cas visés au titre V, le point d’information unique a pour mission :
a) de recevoir les demandes de traitement ultérieur de données à caractère personnel visées par
le titre V, de les transmettre électroniquement, le cas échéant par des moyens automatisés,
à l’Autorité des données et d’assurer les échanges et les démarches conformément aux
dispositions du titre VII ;
b) de mettre à disposition par voie électronique la liste de ressources consultable contenant un
aperçu de toutes les ressources en données disponibles en vue de leur traitement ultérieur,
visée à l’article 18, paragraphe 3 ;
c) de rendre disponibles au public toutes les informations dont la publication est demandée
par l’Autorité des données.
Art. 8. Conseil consultatif de la valorisation des données dans un environnement de confiance
(1) Il est institué, sous l’autorité du ministre ayant le Commissariat du Gouvernement à la protection
des données auprès de l’État dans ses attributions, un Conseil consultatif de la valorisation des
données dans un environnement de confiance, ci-après désigné par le terme « Conseil
consultatif ».
(2) Le Conseil consultatif a pour mission :
1° de fonctionner comme organe consultatif de l’Autorité des données ;
2° de soumettre un avis motivé dans les cas où ce dernier est sollicité conformément aux
dispositions de la présente loi ;
3° de se prononcer sur toute question en matière de traitement ultérieur de données à caractère
personnel et d’accès et de réutilisation de données qui lui est soumise par le ministre ayant le
Commissariat du Gouvernement à la protection des données auprès de l’État dans ses
attributions ;
4° de promouvoir l’accès et la réutilisation des données visés au titre VI.
(3) Le Conseil consultatif est composé de représentants issus des ministères et administrations de
l’État. Un règlement grand-ducal précise la composition et le mode de fonctionnement du Conseil
consultatif.
TITRE IV – Informations et données à caractère personnel obtenues par les entités publiques
auprès d’une autre entité publique (« once only »)
Art. 9. Obligation du « once only »
(1) Un administré présentant une demande ou produisant une déclaration à une entité publique ne
peut être tenu de produire des informations ou des données à caractère personnel que celle-ci
8
détient déjà ou qu’elle peut obtenir auprès d’une autre entité publique conformément à l’article
11.
(2) Les entités publiques échangent entre elles toutes les informations ou les données à caractère
personnel nécessaires pour traiter une demande présentée par l’administré ou une déclaration
présentée par celui-ci en application d’une disposition législative ou réglementaire.
Elles échangent entre elles les informations ou les données à caractère personnel nécessaires pour
pouvoir informer les administrés sur leur droit au bénéfice éventuel d’une prestation ou d’un
avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur attribuer
éventuellement lesdits prestations ou avantages.
(3) L’obtention des informations et données à caractère personnel auprès d’une autre entité publique
au sens du présent titre a pour finalités :
a) d’assurer la mise à disposition d’informations et de données à caractère personnel aux entités
publiques pour l’exécution de leurs obligations et de leurs missions d’intérêt public ;
b) d’alléger la charge administrative des administrés dans le cadre de leurs demandes et
déclarations ;
c) d’éviter aux entités publiques de devoir organiser elles-mêmes la collecte d’informations et
de données à caractère personnel auprès des administrés.
Art. 10. Certification de l’exactitude des informations et données à caractère personnel
(1) Lorsque les informations ou données à caractère personnel nécessaires pour traiter la demande
présentée par l’administré ou la déclaration présentée par celui-ci doivent être obtenues auprès
d’une autre entité publique, dans les conditions prévues aux articles 11 et 12, l’administré ou son
tuteur, son curateur, son administrateur légal, son administrateur ad hoc ou son mandataire
spécial certifie l’exactitude des informations et des données à caractère personnel ainsi obtenues.
(2) Dans les cas où les informations et les données à caractère personnel s’avèrent inexactes,
l’administré est tenu de demander leur rectification auprès de l’entité publique d’où elles
proviennent et de communiquer les informations et les données à caractère personnel rectifiées
à l’entité publique en charge du traitement de la demande ou de la déclaration présentée par
l’administré.
Art. 11. Conditions applicables au « once only »
(1) L’entité publique ne sollicite pas l’échange d’informations et de données à caractère personnel
auprès d’une autre entité publique s’il est manifeste qu’elle n’est pas compétente pour traiter la
demande ou la déclaration présentée par l’administré ou pour l’informer sur ses droits au bénéfice
éventuel d’une prestation ou d’un avantage prévus par des dispositions législatives ou
réglementaires et pour pouvoir lui attribuer éventuellement lesdits prestations ou avantages.
(2) L’entité publique chargée de traiter la demande ou la déclaration fait connaître à l’administré les
informations ou les données à caractère personnel nécessaires au traitement de la demande ou
de la déclaration qu’elle se procure auprès d’autres entités publiques. L’information contient,
pour chaque catégorie d’informations et de données à caractère personnel, les coordonnées des
entités publiques d’où proviennent les informations et les données à caractère personnel.
9
L’obligation prévue à l’alinéa qui précède s’applique également dans les cas où l’entité publique
se procure des informations ou des données à caractère personnel auprès d’autres entités
publiques pour informer les administrés sur leurs droits au bénéfice éventuel d’une prestation ou
d’un avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur
attribuer éventuellement lesdits prestations ou avantages.
(3) Les informations et les données à caractère personnel collectées et échangées en application du
présent titre ne peuvent être utilisées ultérieurement à des fins de détection systématique d’une
fraude. Cette interdiction ne vise pas les autorités, administrations, services, institutions ou
organismes habilités, par ou en vertu de la loi, à procéder auxdites détections et ce pour les
détections sur lesquelles porte cette habilitation.
Pour les cas visés à l’article 9, paragraphe 2, alinéa 2, au plus tard au moment de la première
communication individuelle avec l’administré, celui-ci est avisé de son droit de s’opposer à la
poursuite du traitement des données à caractère personnel. En cas d’opposition exprimée par
l’administré de poursuivre le traitement, les informations et les données à caractère personnel
obtenues à la suite de cet échange sont détruites sans délai.
(4) En cas d’impossibilité dûment motivée pour les entités publiques d’échanger les informations ou
les données à caractère personnel nécessaires pour traiter la demande ou la déclaration dans les
conditions prévues au présent titre :
a) les entités publiques ne sont pas tenues de procéder à l’échange d’informations et de données
à caractère personnel visé à l’article 9 ; et
b) l’administré les communique à l’entité publique chargée du traitement de la demande ou de
la déclaration.
Dans les cas visés à l’alinéa qui précède, l’entité publique chargée du traitement de la demande
ou de la déclaration et l’entité publique détentrice des informations et données à caractère
personnel remédient dans les meilleurs délais à l’impossibilité d’échanger les informations et les
données à caractère personnel en question.
(5) Les entités publiques destinataires des informations et des données à caractère personnel ne
peuvent se voir opposer le secret professionnel dès lors qu’elles sont, dans le cadre de leurs
missions légales, habilitées à avoir connaissance des informations ou des données à caractère
personnel ainsi échangées.
(6) Un règlement grand-ducal détermine les informations ou données à caractère personnel, qui en
raison de leur nature, ne peuvent faire l’objet de ces échanges entre entités publiques.
Art. 12. Recensement des informations et des données à caractère personnel disponibles auprès
d’une autre entité publique
(1) Les entités publiques sont tenues d’identifier, dans les meilleurs délais, les informations et
données à caractère personnel qu’elles peuvent obtenir auprès d’une autre entité publique :
a) dans le cadre du traitement effectué dans l’exercice de leurs missions des demandes et
déclarations présentées par un administré ;
10
b) pour informer les administrés sur leur droit au bénéfice éventuel d’une prestation ou d’un
avantage prévus par des dispositions législatives ou réglementaires et pour pouvoir leur
attribuer éventuellement lesdits prestations ou avantages.
(2) Les entités publiques notifient, sans délai, les échanges d’informations et de données à caractère
personnel identifiées conformément au paragraphe 1er aux entités publiques auprès desquelles
les informations et données à caractère personnel pourraient être obtenues.
Dans un délai d’un mois à partir de la notification visée à l’alinéa qui précède, les entités publiques
notifiées :
a) certifient la disponibilité des informations et des données à caractère personnel à l’entité
publique demanderesse et confirment que l’échange d’informations et de données à
caractère personnel n’est pas impossible ; ou
b) informent l’entité publique demanderesse du fait qu’elles ne détiennent pas les informations
et les données à caractère personnel sollicitées ou que l’échange d’informations et de
données à caractère personnel est impossible.
Une copie de l’information visée aux points a) et b) du présent paragraphe est transmise au
ministre ayant la digitalisation dans ses attributions.
(3) Dans les cas visés au point a) du paragraphe qui précède, les entités publiques concluent dans les
meilleurs délais, et au plus tard après trois mois, le protocole visé à l’article 13.
Art. 13. Protocole « once only »
(1) Chaque type d’échange d’informations et de données à caractère personnel visé à l’article 9 est
formalisé dans un protocole signé entre les entités publiques concernées préalablement à
l’échange des informations et des données à caractère personnel.
Le protocole contient, au moins, les éléments suivants :
1° les coordonnées des entités publiques d’où proviennent les informations et les données à
caractère personnel et des entités publiques destinataires des informations et les données à
caractère personnel ;
2° une description détaillée du contexte du traitement des informations et des données à
caractère personnel ainsi que les motifs pour lesquels les informations et les données à
caractère personnel sont nécessaires pour le respect des obligations prévues à l’article 9 ;
3° une description détaillée des catégories d’informations et de données à caractère personnel
visées par l’échange à l’entité publique destinataire ;
4° une description détaillée des catégories de personnes concernées ;
5° une description détaillée des finalités du traitement ;
6° le cas échéant, l’intention d’effectuer un transfert de données à caractère personnel vers un
pays tiers et les pays tiers à destination desquels des transferts de données à caractère
personnel sont envisagés ainsi que l’existence ou l’absence de garanties appropriées
conformément au chapitre V du règlement (UE) 2016/679 ;
7° les motifs pour lesquels les données à caractère personnel sont adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités poursuivies.
11
(2) Tout changement des éléments liés à l’obtention des informations et des données à caractère
personnel auprès d’une entité publique doit être formalisé par avenant du protocole visé au
paragraphe qui précède.
(3) Le protocole ainsi que tout avenant sont transmis sans délai à l’Autorité des données qui les publie
par voie électronique. L’Autorité des données n’est pas responsable du contenu du protocole.
Les entités publiques informent sans délai l’Autorité des données lorsqu’un protocole n’est plus
applicable. L’Autorité des données maintient la publication des protocoles pendant une durée de
deux ans à partir de la réception de l’information visée au présent alinéa. Pendant cette période,
elle indique que le protocole n’est plus applicable.
Art. 14. Identification des sources authentiques d’informations et de données à caractère personnel
(1) L’Autorité des données tient un registre de tous les protocoles qui lui sont transmis pour
publication conformément à l’article 13, paragraphe 3.
(2) En vue d’identifier des sources authentiques d’informations et de données à caractère personnel
disponibles au sein des entités publiques, le ministre ayant la digitalisation dans ses attributions
dispose d’un accès direct au registre des protocoles visés au paragraphe qui précède.
TITRE V – Traitement ultérieur de données à caractère personnel par les entités publiques
Section I – Dispositions générales
Art. 15. Finalités du traitement ultérieur autorisées et licéité du traitement
(1) Le traitement ultérieur de données à caractère personnel par des entités publiques est autorisé
si :
1° les conditions énoncées au présent titre sont remplies ; et
2° que le traitement des données à caractère personnel est effectué exclusivement pour une ou
plusieurs des finalités suivantes :
a) l’analyse statistique ;
b) les activités d’éducation ou d’enseignement, y compris au niveau de l’enseignement
professionnel ou supérieur ;
c) la recherche scientifique dans l’intérêt public ou dans l’intérêt général ;
d) l’évaluation et la planification des politiques envisagées ou planifiées par le
Gouvernement et approuvées par décision du Gouvernement en conseil, ou en ce qui
concerne les communes, envisagées ou planifiées par le Conseil communal ;
e) lorsque la mise en œuvre d’un accord international requiert la communication
d’informations ou lorsque le traitement ultérieur des données à caractère personnel
permet de répondre aux demandes d’informations officielles provenant de
gouvernements étrangers ou d’organisations internationales approuvées par décision
du Gouvernement en conseil ;
f) les activités de développement, d’évaluation, de démonstration, de sécurité et
d’innovation de dispositifs ou de services ;
g) la formation, le test et l’évaluation d’algorithmes, y compris dans les dispositifs, les
systèmes d’intelligence artificielle et les applications numériques.
12
(2) Le traitement ultérieur des données à caractère personnel, y compris leur partage et leur mise à
disposition, par les entités publiques conformément au présent titre, est licite au sens de l’article
6, paragraphe 1er, lettre e) et, si applicable, de l’article 9, paragraphe 2, lettre g) ou j) du règlement
(UE) 2016/679.
Art. 16. Conditions d’anonymisation et de pseudonymisation des données à caractère personnel
(1) Les données à caractère personnel détenues par des entités publiques doivent être anonymisées
préalablement à leur traitement ultérieur aux fins énoncées à l’article 15, paragraphe 1er point 2°.
(2) Lorsque le traitement de données anonymisées ne permet pas d’atteindre la finalité poursuivie,
les données à caractère personnel doivent être pseudonymisées préalablement à leur traitement
ultérieur aux fins énoncées à l’article 15, paragraphe 1er point 2°.
(3) Lorsque le traitement ultérieur de données à caractère personnel pseudonymisées ne permet pas
d’atteindre la finalité poursuivie, les données à caractère personnel peuvent être traitées
ultérieurement aux fins énoncées à l’article 15, paragraphe 1er point 2° de manière nonpseudonymisées dans les limites du strict nécessaire.
(4) Les entités publiques qui détiennent les données à caractère personnel sont tenus d’identifier les
informations protégées pour des motifs de protection des données à caractère personnel.
Elles renseignent les motifs pour lesquels les données doivent être protégées dans le plan de
confidentialité prévu à l’article 35 et indiquent sur quelles parties des informations porte cette
protection.
(5) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel sont
tenues d’une obligation de confidentialité interdisant la divulgation de toute information
compromettant les droits et intérêts de la personne concernée qu’elles peuvent avoir acquise
malgré les garanties mises en place conformément aux dispositions de la présente loi.
Sans préjudice du paragraphe 3, il est interdit aux entités publiques effectuant le traitement
ultérieur de données à caractère personnel de rétablir l’identité de toute personne concernée à
laquelle se rapportent les données à caractère personnel. Les entités publiques prennent des
mesures techniques et opérationnelles pour empêcher toute réidentification.
Section II – Traitement ultérieur de données à caractère personnel par la même entité publique
Art. 17. Conditions spécifiques applicables au traitement ultérieur de données à caractère personnel
par la même entité publique
(1) Une entité publique est autorisée à traiter ultérieurement les données à caractère personnel
qu’elle détient pour les finalités énoncées à l’article 15, paragraphe 1er, point 2°, sous réserve du
respect des dispositions de l’article 16.
(2) Lorsque le traitement ultérieur porte sur des données à caractère personnel visées aux articles 9,
paragraphe 1er et 10 du règlement (UE) 2016/679, les données à caractère personnel ne peuvent
pas être traitées ultérieurement de manière non-anonymisées ou non-pseudonymisées.
13
Section III – Traitement ultérieur de données à caractère personnel par une autre entité publique
ou par plusieurs entités publiques
Art. 18. Conditions spécifiques applicables au traitement ultérieur de données à caractère personnel
par une autre entité publique ou par plusieurs entités publiques
(1) Une entité publique est autorisée à traiter ultérieurement les données à caractère personnel
détenues par une autre entité publique pour les finalités énoncées à l’article 15, paragraphe 1er,
point 2°, aux conditions suivantes :
1° l’entité publique qui détient les données à caractère personnel :
a) a marqué son accord de principe au traitement ultérieur, y compris le partage et la
mise à disposition en inscrivant les données à caractère personnel disponibles sur
la liste des ressources consultables tenues par le point d’information unique,
conformément au paragraphe 3 ; ou
b) a marqué son accord spécifique au traitement ultérieur, y compris le partage et la
mise à disposition, en contresignant la demande visée à l’article 27 ;
2° le traitement ultérieur de données à caractère personnel ne porte pas une atteinte
disproportionnée aux droits et libertés de la personne concernée au regard des finalités
poursuivies ;
3° les données à caractère personnel sont anonymisées préalablement au traitement ultérieur
des données à caractère personnel, ou lorsque le traitement de données anonymisées ne
permet pas d’atteindre la finalité poursuivie, si :
a) l’Autorité des données autorise le traitement ultérieur de données à caractère
personnel conformément à l’article 31 ;
b) les données à caractère personnel sont pseudonymisées préalablement à leur
traitement ultérieur ;
c) le traitement ultérieur de données à caractère personnel est effectué dans
l’environnement de traitement sécurisé prévu à l’article 36.
(2) L’entité publique sollicitant le traitement ultérieur de données à caractère personnel détenues
par une autre entité publique qui se voit opposer un refus de partage par l’entité publique
détenant les données à caractère personnel sollicitées peut saisir pour avis le Conseil consultatif.
Le Conseil consultatif émet un avis quant à la demande de partage dans un délai de trois semaines.
L’avis du Conseil consultatif est communiqué à l’entité publique qui sollicite le partage ainsi qu’à
l’entité publique détenant les données à caractère personnel, qui est appelée à considérer à
nouveau la demande de partage.
L’entité publique détenant les données à caractère personnel sollicitées acte sa décision finale par
écrit dans un délai de trois semaines. Elle transmet une copie de sa décision finale sans délai à
l’entité publique qui sollicite le partage et au Conseil consultatif. L’absence de décision finale de
l’entité publique détenant les données à caractère personnel sollicitées dans le délai imparti vaut
refus.
En cas d’accord, l’entité publique détentrice des données à caractère personnel contresigne la
demande visée à l’article 27.
14
(3) Le point d’information unique met à disposition par voie électronique une liste de ressources
consultable contenant un aperçu de toutes les ressources en données disponibles en vue de leur
traitement ultérieur conformément au présent titre, avec des informations pertinentes décrivant
les données à caractère personnel disponibles, y compris au minimum le format et la taille des
données ainsi que les conditions applicables à leur traitement ultérieur.
TITRE VI – Accès et réutilisation des données détenues par des organismes du secteur public par
des réutilisateurs de données
Section I – Dispositions générales
Art. 19. Catégories de données protégées disponibles à l’accès et à la réutilisation
(1) Le présent titre s’applique à l’accès et à la réutilisation, par un réutilisateur de données, des
données détenues par des organismes du secteur public, conformément au règlement (UE)
2022/868, qui sont protégées pour des motifs :
1° de confidentialité commerciale, y compris le secret d’affaires, le secret professionnel et le
secret d’entreprise ;
2° de secret statistique ;
3° de protection des droits de propriété intellectuelle de tiers ; ou
4° de protection des données à caractère personnel, dans la mesure où de telles données ne
relèvent pas du champ d’application de la loi du 29 novembre 2021 sur les données ouvertes
et la réutilisation des informations du secteur public.
(2) Le présent titre ne s’applique pas :
1° aux données énoncées à l’article 3, paragraphe 2, du règlement (UE) 2022/868 ;
2° aux cas visés par les autres titres de la présente loi.
Art. 20. Finalités d’accès et réutilisation des données autorisées
L’accès et la réutilisation des données par des réutilisateurs de données sont autorisés si :
1° les conditions énoncées à la section II du présent titre sont remplies ; et
2° l’accès et la réutilisation des données est effectué exclusivement pour une ou plusieurs des
finalités suivantes :
a) l’analyse statistique ;
b) les activités d’éducation, de formation ou d’enseignement, y compris au niveau de
l’enseignement professionnel ou supérieur ;
c) la recherche scientifique dans l’intérêt public ou dans l’intérêt général ;
d) le développement, l’évaluation, la démonstration, la sécurité et l’innovation de
technologies ;
e) le développement, l’évaluation, la démonstration, la sécurité et l’innovation de
produits ;
f) l’évaluation des politiques publiques luxembourgeoises ou européennes.
15
Art. 21. Conditions d’anonymisation, de pseudonymisation et de méthodes de contrôle de
divulgation des données
(1) Les données à caractère personnel détenues par des organismes du secteur public doivent être
anonymisées préalablement à l’accès et à la réutilisation par le réutilisateur de données.
(2) Lorsque l’accès et la réutilisation de données à caractère personnel anonymisées ne permet pas
d’atteindre la finalité poursuivie, les données à caractère personnel doivent être pseudonymisées
préalablement à l’accès et à la réutilisation par le réutilisateur de données.
(3) Les accès et réutilisations effectués conformément au présent titre, par des réutilisateurs de
données, de données à caractère personnel détenues par les organismes du secteur public, sous
une forme non anonymisée ou non pseudonymisée, sont interdits.
(4) Les données détenues par des organismes du secteur public doivent être modifiées, agrégées,
supprimées ou traitées selon toute autre méthode de contrôle de la divulgation préalablement à
l’accès et à la réutilisation par le réutilisateur de données, pour éviter toute atteinte
disproportionnée aux droits de propriété intellectuelle, à la confidentialité commerciale, y
compris le secret d’affaires, au secret professionnel, au secret d’entreprise et au secret statistique.
(5) Les organismes du secteur public qui détiennent les données à caractère personnel et les données
à caractère non personnel sont tenus d’identifier les données protégées pour les motifs visés à
l’article 19, paragraphe 1er.
Ils renseignent les motifs pour lesquels les données doivent être protégées dans le plan de
confidentialité prévu à l’article 35 et indiquent sur quelles parties des informations porte cette
protection.
(6) Les réutilisateurs de données sont tenus d’une obligation de confidentialité interdisant la
divulgation de toute information compromettant les droits et intérêts protégés par la présente loi
qu’ils peuvent avoir acquis malgré les garanties mises en place conformément aux dispositions de
la présente loi.
Il est interdit aux réutilisateurs de données de rétablir l’identité de toute personne concernée à
laquelle se rapportent les données. Les réutilisateurs de données prennent les mesures
techniques et opérationnelles nécessaires pour empêcher toute réidentification.
Section II – Conditions applicables à la réutilisation de données à caractère personnel
Art. 22. L’accès et la réutilisation de données à caractère personnel par des réutilisateurs de données
(1) Un réutilisateur de données peut accéder et réutiliser les données à caractère personnel
détenues par un organisme du secteur public pour les finalités énoncées à l’article 20, paragraphe
1er, point 2° aux conditions cumulatives suivantes :
1° l’Autorité des données autorise l’accès et la réutilisation conformément à l’article 31 ;
2° l’organisme du secteur public qui détient les données :
a) a marqué son accord de principe à la mise à disposition des données à caractère
personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en
inscrivant les données disponibles sur la liste des ressources consultable tenue par le
16
point d’information unique conformément à l’article 8, paragraphe 2 du règlement
(UE) 2022/868 ; ou
b) a marqué son accord spécifique à la mise à disposition des données à caractère
personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en
contresignant la demande visée à l’article 28 ;
3° l’accès et la réutilisation ne portent pas une atteinte disproportionnée aux droits et libertés
de la personne concernée au regard de la finalité poursuivie ;
4° les données à caractère personnel sont anonymisées ou pseudonymisées préalablement à
leur accès et à leur réutilisation ;
5° l’accès et la réutilisation des données à caractère personnel se font dans l’environnement de
traitement sécurisé visé à l’article 36.
(2) Le traitement de données à caractère personnel, y compris leur partage et leur mise à disposition,
par les organismes du secteur public conformément au présent titre, est licite au sens de l’article
6, paragraphe 1er, lettre e) et, si applicable, de l’article 9, paragraphe 2, lettre g) ou j) du règlement
(UE) 2016/679.
(3) Le réutilisateur de données qui se voit opposer un refus d’accès de réutilisation des données par
l’organisme du secteur public détenant les données sollicitées peut saisir le Conseil consultatif,
qui émet un avis quant à la demande d’accès et de réutilisation dans un délai de trois semaines.
L’avis du Conseil consultatif est communiqué au réutilisateur de données et à l’organisme du
secteur public détenant les données, qui est appelé à considérer à nouveau la demande d’accès
et de réutilisation.
L’organisme du secteur public détenant les données sollicitées acte sa décision finale par écrit
dans un délai de trois semaines. Il transmet une copie de sa décision finale sans délai au
réutilisateur de données et au Conseil consultatif. L’absence de décision finale de l’organisme du
secteur public détenant les données sollicitées dans les délais impartis vaut refus.
En cas d’accord, l’organisme du secteur public détenant les données contresigne la demande visée
à l’article 28.
Section III – Conditions applicables à la réutilisation de données à caractère non personnel
Art. 23. L’accès et la réutilisation de données à caractère non personnel détenues par les organismes
du secteur public
(1) Un réutilisateur de données peut accéder et réutiliser les données à caractère non personnel
détenues par un autre organisme du secteur public et protégées pour les motifs visés à l’article
19, paragraphe 1er, points 1° à 3° aux conditions cumulatives suivantes :
1° l’Autorité des données autorise l’accès et la réutilisation conformément à l’article 31 ;
2° l’organisme du secteur public qui détient les données :
a) a marqué son accord de principe à la mise à disposition des données à caractère non
personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en
inscrivant les données disponibles sur la liste des ressources consultables tenue par le
17
point d’information unique conformément à l’article 8, paragraphe 2 du règlement
(UE) 2022/868 ; ou
b) a marqué son accord spécifique à la mise à disposition des données à caractère non
personnel aux fins d’accès et de réutilisation par les réutilisateurs de données en
contresignant la demande visée à l’article 28 ;
3° l’accès et la réutilisation ne portent pas une atteinte disproportionnée aux droits protégés
pour les motifs visés à l’article 19, paragraphe 1er, points 1° à 3°;
4° les données à caractère non personnel sont modifiées, agrégées, supprimées ou traitées selon
toute autre méthode de contrôle de la divulgation préalablement à leurs accès et à leur
réutilisation ;
5° l’accès et la réutilisation des données à caractère non personnel se font dans l’environnement
de traitement sécurisé visé à l’article 36.
(2) Le réutilisateur de données sollicitant l’accès et la réutilisation de données détenues par un
organisme du secteur public qui se voit opposer un refus d’accès de réutilisation des données par
les organismes du secteur public détenant les données sollicitées peut saisir le Conseil consultatif,
qui émet un avis quant à la demande d’accès et de réutilisation dans un délai de trois semaines.
L’avis du Conseil consultatif est communiqué au réutilisateur de données et à l’organisme du
secteur public détenant les données, qui est appelé à considérer à nouveau la demande d’accès
et de réutilisation.
L’organisme du secteur public détenant les données sollicitées acte sa décision finale par écrit
dans un délai de trois semaines. Il transmet une copie de sa décision finale sans délai au
réutilisateur de données et au Conseil consultatif. L’absence de décision finale de l’organisme du
secteur public détenant les données sollicitées dans les délais impartis vaut refus.
En cas d’accord, l’organisme du secteur public détenant les données contresigne la demande visée
à l’article 28.
Section IV – Conditions applicables à la réutilisation d’ensembles contenant des données à
caractère personnel et des données à caractère non personnel
Art. 24. Conditions applicables à la réutilisation d’ensembles mixtes de données détenus par les
organismes du secteur public
Lorsque l’accès et la réutilisation portent sur un ensemble de données détenu par un organisme du
secteur public qui contient des données à caractère personnel et des données à caractère non
personnel, l’accès et la réutilisation sont soumis aux conditions énoncées aux articles 19 à 23.
18
TITRE VII – Modalités applicables au traitement ultérieur des données à caractère personnel par
les entités publiques et à l’accès et à la réutilisation de données par des réutilisateurs de données
Section I – Dispositions générales
Art. 25. Champ d’application
Les dispositions du présent titre s’appliquent aux traitements ultérieurs de données à caractère
personnel visés au titre V et aux accès et réutilisation de données prévus au titre VI, qui sont soumis
à autorisation de l’Autorité des données.
Section II – Demande de traitement ultérieur ou d’accès et de réutilisation des données
Art. 26. Forme de la demande de traitement ultérieur ou d’accès et de réutilisation des données
(1) Les demandes de traitement ultérieur de données à caractère personnel visées au titre V ainsi que
les demandes d’accès et de réutilisation visées au titre VI à présenter à l’Autorité des données
doivent être formulées de façon précise et revêtir une forme écrite.
(2) Toute modification substantielle de la demande intervenant au cours de l’instruction de la
demande par l’Autorité des données qui affecte les informations et pièces visées aux articles 27
et 28 nécessite le dépôt d’une nouvelle demande conformément à l’article 29.
Art. 27. Contenu de la demande de traitement ultérieur de données à caractère personnel
(1) Dans les cas visés au titre V, la demande à présenter par les entités publiques effectuant le
traitement ultérieur des données à caractère personnel doit contenir les informations suivantes :
1° les coordonnées des entités publiques effectuant le traitement ultérieur des données à
caractère personnel ;
2° les coordonnées des entités publiques détentrices des données à caractère personnel ;
3° une description détaillée du contexte du traitement de données à caractère personnel
envisagé ;
4° une description détaillée des catégories de données à caractère personnel et des catégories
de personnes concernées ;
5° la base de licéité du traitement ainsi qu’une description détaillée des finalités du traitement ;
6° une description détaillée des mesures appropriées qui permettent d’apprécier le respect des
exigences en matière d’anonymisation et de pseudonymisation des données à caractère
personnel, en particulier la justification du respect des conditions visées à l’article 16 ;
7° la durée du traitement de données à caractère personnel envisagée dans l’environnement de
traitement sécurisé visé à l’article 36 et, le cas échéant, la durée de conservation des données
dans le système d’archivage intermédiaire du Centre, ainsi que la justification pour laquelle
ces durées sont limitées à ce qui est nécessaire ;
8° les destinataires de données à caractère personnel et, le cas échéant, l’intention d’effectuer
un transfert de données à caractère personnel vers un pays tiers et les pays tiers à destination
desquels des transferts de données sont envisagés ainsi que l’existence ou l’absence de
garanties appropriées conformément au chapitre V du règlement (UE) 2016/679 ;
9° les motifs pour lesquels le traitement ultérieur des données à caractère personnel ne porte
pas une atteinte disproportionnée aux droits et libertés de la personne concernée au regard
de la finalité poursuivie ;
19
10° les motifs pour lesquels les données à caractère personnel sont adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités poursuivies ;
11° le cas échéant, une description détaillée des données à caractère personnel provenant de
sources autres que les entités publiques effectuant le traitement ultérieur de données à
caractère personnel et les entités publiques détenant les données à caractère personnel, dont
l’introduction dans l’environnement de traitement sécurisé est sollicitée ;
12° les obligations respectives des responsables du traitement aux fins d’assurer le respect des
exigences du règlement (UE) 2016/679, notamment en ce qui concerne l’exercice des droits
de la personne concernée ;
13° la signature de la demande par toutes les entités publiques visées au point 1° du présent
paragraphe ;
14° pour les cas visés à l’article 18, paragraphe 1er, point 1°, lettre a), la preuve de l’inscription des
données à caractère personnel sur la liste de ressources consultable tenue par le point
d’information unique conformément à l’article 18, paragraphe 3 ;
15° pour les cas visés à l’article 18, paragraphe 1, point 1°, lettre b), la signature de la demande
par toutes les entités publiques visées au point 2° du présent paragraphe.
(2) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel, en leur
qualité de responsables du traitement, joignent les documents suivants à leur demande :
1° si applicable, l’analyse d’impact relative à la protection des données à caractère personnel
visée par l’article 35 du règlement (UE) 2016/679 ;
2° l’information à destination des personnes concernées visée aux articles 12 à 14 du règlement
(UE) 2016/679 ;
3° le plan de confidentialité signé par toutes les parties visées à l’article 35, paragraphe 2 ;
4° l’attestation de faisabilité visée à l’article 35, paragraphe 3 émise par le Centre ;
5° si applicable, une copie de l’avis du Conseil consultatif visé à l’article 18, paragraphe 2.
(3) Les entités publiques effectuant le traitement ultérieur de données à caractère personnel :
a) certifient l’exactitude des informations contenues dans la demande et les pièces jointes visées
au présent article ;
b) certifient que le plan de confidentialité correspond aux informations contenues dans la
demande présentée à l’Autorité des données ;
c) s’engagent formellement à respecter les termes de l’autorisation de l’Autorité des données et
du plan de confidentialité.
Art. 28. Contenu de la demande d’accès et de réutilisation de données
(1) Dans les cas visés au titre VI, la demande à présenter par les réutilisateurs des données doit
contenir les informations suivantes :
1° les coordonnées des réutilisateurs des données ;
2° les coordonnées des organismes du secteur public détenant les données ;
3° une description détaillée du contexte de l’accès et de la réutilisation des données ;
4° une description détaillée des données et des catégories de personnes visées par la demande ;
5° une description détaillée des mesures appropriées qui permettent d’apprécier le respect des
exigences en matière d’anonymisation, de pseudonymisation et d’agrégation des données
20
visées à l’article 21, en particulier la justification du respect des conditions visées à l’article
21 ;
6° les motifs pour lesquels les données sont adéquates, pertinentes et limitées à ce qui est
nécessaire au regard des finalités poursuivies ;
7° les motifs pour lesquels l’accès et la réutilisation des données ne portent pas une atteinte
disproportionnée aux droits protégés pour les motifs visés à l’article 19, paragraphe 1er ;
8° les destinataires de données ;
9° le cas échéant, une description détaillée des données provenant des réutilisateurs de données
et/ou de détenteurs de données autres que les organismes du secteur public, dont
l’introduction dans l’environnement de traitement sécurisé est sollicitée par le réutilisateur
de données ;
10° la durée d’accès et de réutilisation des données dans l’environnement de traitement sécurisé
visé à l’article 36 et, le cas échéant, la durée de conservation des données dans le système
d’archivage intermédiaire du Centre, ainsi que la justification pour laquelle ces durées sont
limitées à ce qui est nécessaire ;
11° le cas échéant, l’intention d’effectuer un transfert de données vers un pays tiers et les pays
tiers à destination desquels des transferts de données sont envisagés ;
12° la signature de la demande par tous les réutilisateurs des données visés au point 1° du présent
paragraphe ;
13° pour les cas visés à l’article 22, paragraphe 2, point 2°, lettre a) et à l’article 23, paragraphe (2)
point 2°, lettre a), la preuve de l’inscription des données à caractère personnel sur la liste de
ressources consultable tenue par le point d’information unique conformément à l’article 8,
paragraphe 2 du règlement (UE) 2022/868 ;
14° pour les cas visés à l’article 22, paragraphe 2, point 2°, lettre b) et à l’article 23, paragraphe 2
point 2°, lettre b), la signature de la demande par tous les organismes du secteur public visés
au point 2° du présent paragraphe.
(2) Lorsque la demande porte sur des données à caractère personnel, elle contient également les
informations suivantes :
1° la base de licéité du traitement de données à caractère personnel ainsi qu’une description
détaillée des finalités du traitement de données à caractère personnel ;
2° les motifs pour lesquels l’accès et la réutilisation des données ne portent pas une atteinte
disproportionnée aux droits et libertés de la personne concernée au regard de la finalité
poursuivie ;
3° les obligations respectives des responsables du traitement aux fins d’assurer le respect des
exigences du règlement (UE) 2016/679, notamment en ce qui concerne l’exercice des droits
de la personne concernée ;
4° le cas échéant, l’intention d’effectuer un transfert de données à caractère personnel vers un
pays tiers ou à une organisation internationale, et l’existence ou l’absence de garanties
appropriées conformément au chapitre V du règlement (UE) 2016/679.
(3) La demande doit être accompagnée du plan de confidentialité signé par …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.