Dans le cadre de l’exécution de ses missions d’intérêt public, l’Administration pénitentiaire recueille et utilise des données à caractère personnel et procède à leurs traitements sur support papier ou numérique.
Base légale des traitements de données à caractère personnel effectués par l’Administration pénitentiaire
L’Administration pénitentiaire est soumise à la législation en matière de traitement des données à caractère personnel dont en particulier:
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD, entré en vigueur le 25 mai 2018,
- la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale (ci –après la LOI du 1er août 2018), et
- la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
Responsable du traitement
L’Administration pénitentiaire représentée par son Directeur est responsable du traitement des données à caractère personnel.
Principes régissant le traitement de données à caractère personnel
Les données à caractère personnel doivent être:
- traitées de manière licite, loyale et transparente au regard de la personne concernée,
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités,
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,
- exactes et, si nécessaire, tenues à jour,
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. La durée de conservation des données à caractère personnel est fixée en fonction de la nature des données, de leur utilité et de l’objectif poursuivi lors de la collecte de ces données. Une fois le but atteint, ces données sont, en conformité avec les dispositions légales en vigueur en matière de protection des données et en matière d’archivage des documents publics, soit supprimées soit archivées sous une forme anonymisée à des fins statistiques.
Sécurité des données à caractère personnel
Les données à caractère personnel sont traitées de façon à leur garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Les membres du personnel de l’Administration pénitentiaire sont soumis au secret professionnel et chaque membre du personnel n’a accès qu’aux seules données dont il a besoin pour l’accomplissement de sa tâche respective.
Notification à l’autorité de contrôle et communication à la personne concernée d’une violation de données à caractère personnel
La violation de données à caractère personnel est notifiée par le responsable du traitement à l’autorité de contrôle compétente, conformément à l’article 55 du RGPD et à l’article 29 de la LOI du 1er août 2018 dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique cette violation à la personne concernée dans les meilleurs délais, à moins que cette communication n’est pas nécessaire selon l’article 34, paragraphe 3, du RGPD respectivement selon l’article 30, paragraphe 3, de la LOI du 1er août 2018.
Vos droits en matière de protection des données personnelles
Vous disposez des droits suivants, sous réserve de respecter les conditions prévues aux articles respectifs:
- droit d’accès (article 15 du RGPD, article 13 de la LOI du 1er août 2018): obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées par l’Administration pénitentiaire et, dans l’affirmative, l’accès auxdites données ainsi qu’à d’autres informations, telles que les finalités ou les destinataires du traitement,
- droit de rectification (article 16 du RGPD, article 15 de la LOI du 1er août 2018): obtenir la rectification de vos données personnelles inexactes respectivement faire compléter des données incomplètes,
- droit à l’effacement (article 17 du RGPD, article 15 de la LOI du 1er août 2018): obtenir l’effacement de vos données personnelles si leur conservation n’est plus justifiée par un motif légitime,
- droit à la limitation du traitement (article 18 du RGPD, article 15 de la LOI du 1er août 2018): obtenir la limitation du traitement de vos données personnelles, sous les conditions prévues aux articles précités,
- droit d’opposition (article 21 du RGPD ): droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel fondé sur l’article 6, paragraphe 1, point e) ou f) du RGPD, y compris un profilage fondé sur ces dispositions, sauf s’il existe des motifs légitimes et impérieux pour le traitement ou pour la constatation, l’exercice ou la défense de droits en justice.
Comment exercer vos droits
Pour toute information concernant les traitements de données à caractère personnel effectués par l’Administration pénitentiaire, vous pouvez vous adresser au délégué à la protection des données en utilisant les coordonnées reprises ci-dessous:
Direction de l’Administration pénitentiaire
Délégué à la protection des données
7A, rue Thomas Edison
L-1445 Strassen
dpo@ap.etat.lu
Dans un souci de confidentialité et de protection des données, votre identité doit pouvoir être vérifiée avant de répondre à toute demande. À cette fin, une copie de votre pièce d’identité est, avant tout progrès en cause, à joindre à la demande.
Si la réponse fournie à votre demande dans le cadre du champ matériel des dispositions applicables en matière de protection des données personnelles ne vous satisfait pas, vous avez le droit d’introduire une réclamation auprès de la Commission nationale pour la protection des données, en utilisant les coordonnées reprises ci-dessous:
Commission nationale pour la protection des données (CNPD)
Service des réclamations
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette