TR-44 - Information security - laws and specific rulings in the Grand Duchy of Luxembourg

Introduction (EN)

Information security is covered by many different laws and specific rulings in the Grand Duchy of Luxembourg. As within many countries, because of the complexity of the topic, these texts are hardly accessible among a single chapter. Penal Code was modified several times in order to adapt to the behavioral reality of a population using, for the better or the worst, the Internet and related communication technologies.

Following is a brief description, including a title, reference of the articles, domain of application, example and endured sanctions of many of Luxembourg law’s that most commonly apply to all users of the Internet. This brief summary is intended to acquaint you with the major applicable text of laws and not to offer a detailed exposition. It is to be consider as an incomplete work in progress, which will be further edited as the legal framework related to the Internet and electronic communications evolve.

Introduction (FR)

La sécurité de l’information est couverte d’un point de vue juridique par de une grande diversité de lois et réglementations spécifiques au Grand Duché de Luxembourg. Comme pour beaucoup de pays, de part la complexité du sujet, ces textes sont difficiles à regrouper dans un chapitre unique. Le Code pénal aura été modifié de nombreuses fois au court des années pur s’adapter à la réalité des besoins et comportements de population utilisant, pour le meilleur ou pour le pire, lInternet et les technologies de la communication.

Vous trouverez ci-après un bref résumé de plusieurs articles de loi importants, incluant un titre, les references de l’article, le domaine d’application, un exemple et les sanctions associées de beaucoup d’articles de loi s’appliquant à tout utilisateur de l’Internet au Grand Duché. Ce résumé succinct a pour vocation de vous familiariser avec la plupart des textes applicables dans le domaine mais ne peut revendiquer aucune exhaustivité. Ce document est à considéré comme un travail en évolution, qui sera complété au fur et à mesure que le cadre législatif applicable au domaine continu d’évoluer.

Infractions relatives au code pénal en vigueur dans le grand-duché de luxembourg

Accès ou maintien frauduleux dans un système de traitement automatisé de données

Art. 509-1 du Code pénal - Ref L. 14 août 2000

Texte: Art. 509-1. (L. 14 août 2000) Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d’un système de traitement ou de transmission automatisé de données sera puni d’un emprisonnement de deux mois à deux ans et d’une amende de 500 euros à 25.000 euros ou de l’une de ces deux peines. (…)
Exemple: Usage d’une faille de sécurité pour s’introduire sur un réseau de manière non autorisée
Sanctions encourues: 2 mois à 2 ans de prison et 500 à 25.000 € d’amende
Accès ou maintien frauduleux dans un système de traitement automatisé de données avec modification ou suppression de données ou altération du fonctionnement du système

Art. 509-1 du Code pénal - Ref L. 14 août 2000

Texte: Art. 509-1. (L. 14 août 2000) (…) Lorsqu’il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l’emprisonnement sera de quatre mois à deux ans et l’amende de 1.250 euros à 25.000 euros.
Exemple: Installation d’un crypto-Ransomware
Sanctions encourues: 4 mois à 2 ans de prison et 1.250 à 25.000 € d’amende
Entrave au fonctionnement d’un système de traitement automatisé de données

Art. 509-2 du Code pénal - Ref L. 15 juillet 1993

Texte: Art. 509-2. (L. 15 juillet 1993) Quiconque aura, intentionnellement et au mépris des droits d’autrui, entravé ou faussé le fonctionnement d’un système de traitement ou de transmission automatisé de données sera puni d’un emprisonnement de trois mois à trois ans et d’une amende de 1.250 euros à 12.500 euros ou de l’une de ces deux peines.
Exemple: Attaque par déni de service (DoS)
Sanctions encourues: 3 mois à 3 ans de prison et 1.250 à 12.500 € d’amende
Introduction, altération, modification de données

Art. 509-3 du Code pénal - Ref L. 14 août 2000

Texte: Art. 509-3. (L. 14 août 2000) Quiconque aura, intentionnellement et au mépris des droits d’autrui, directement ou indirectement, introduit des données dans un système de traitement ou de transmission automatisé ou supprimé ou modifié les données qu’il contient ou leurs modes de traitement ou de transmission, sera puni d’un emprisonnement de trois mois à trois ans et d’une amende de 1.250 euros à 12.500 euros ou de l’une de ces deux peines. (…)
Exemple: Installation d’un Rootkit sur la machine d’une victime
Sanctions encourues: 3 mois à 3 ans de prison et 1.250 à 12.500 € d’amende
Interception de données lors de transmissions non publiques

Art. 509-3 du Code pénal - Ref L. 14 août 2000

Texte: (L. 18 juillet 2014) (…) Sera puni des mêmes peines celui qui aura intentionnellement et au mépris des droits d’autrui, intercepté des données lors de transmissions non publiques à destination, en provenance ou à l’intérieur d’un système de traitement ou de transmission automatisé de données.
Exemple: Capture passive non autorisée et à des fins délictueuses de paquets IP sur un réseau
Sanctions encourues: 3 mois à 3 ans de prison et 1.250 à 12.500 € d’amende
Accès, maintien, entrave, altération d’un système de traitement automatisé de données avec transfert d’argent ou de valeur monétaire

Art. 509-4 du Code pénal - Ref L. 10 novembre 2006

Texte: Art. 509-4. (L. 10 novembre 2006) Lorsque dans les cas visés aux articles 509-1 à 509-3, il y a eu transfert d’argent ou de valeur monétaire, causant ainsi une perte de propriété à un tiers dans un but de procurer un avantage économique à la personne qui commet l’infraction ou à une tierce personne, la peine encourue sera un emprisonnement de quatre mois à cinq ans et une amende de 1.250 euros à 30.000 euros.
Exemple: Usage d’un logiciel malveillant détournant des fonctionnalités utilisées pour les virements bancaires
Sanctions encourues: 4 mois à 5 ans de prison et 1.250 à 30.000 € d’amende
Production, vente, obtention, détention, importation, diffusion ou mis à disposition d’un dispositif informatique destiné à commettre l’une des infractions visées aux articles 509-1 à 509-4; ou de toute clef électronique permettant d’accéder, au mépris des droits d’autrui, à tout ou à partie d’un système de traitement ou de transmission automatisé de données.

Art. 509-5 du Code pénal - Ref L. 18 juillet 2014

Texte: Art. 509-5. (L. 18 juillet 2014) Sera puni de 4 mois à cinq ans d’emprisonnement et d’une amende de 1.250 euros à 30.000 euros quiconque aura, dans une intention frauduleuse, produit, vendu, obtenu, détenu, importé, diffusé ou mis à disposition, un dispositif informatique destiné à commettre l’une des infractions visées aux articles 509-1 à 509-4; ou toute clef électronique permettant d’accéder, au mépris des droits d’autrui, à tout ou à partie d’un système de traitement ou de transmission automatisé de données.
Exemple: Vente d’un framework de type cheval de troie à des fins purement criminelles
Sanctions encourues: 4 mois à 5 ans de prison et 1.250 à 30.000 € d’amende
Tentative

Art. 509-6 du Code pénal - Ref L. 15 juillet 1993

Texte: (L. 15 juillet 1993) La tentative des délits prévus par les articles 509-1 à 509-5 est punie des mêmes peines que le délit lui-même.
Exemple: Tentative de connection non réussie à l’interface administrateur d’un site Internet sans autorisation (essais de couples login/mots de passe)
Sanctions encourues: Peines identiques à l’infraction en question
Association de malfaiteurs en vue des mêmes infractions

Art. 509-7 du Code pénal - Ref L. 15 juillet 1993

Texte: (L. 15 juillet 1993) Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles 509-1 à 509-5 sera puni des peines prévues pour l’infraction elle- même ou pour l’infraction la plus sévèrement réprimée.
Exemple: Rassemblement d’individus travaillant ensemble à la réalisation d’un des délits pré-cités.
Sanctions encourues: Peines identiques à l’infraction elle-même ou peines de l’infraction la plus sévèrement réprimée

Divulgation de secrets d’affaires ou de fabrique

Art. 309 du Code pénal - Ref. L. 15 juillet 1993
Texte: (L. 15 juillet 1993) Celui qui, étant ou ayant été employé, ouvrier ou apprenti d’une entreprise commerciale, ou industrielle, soit dans un but de concurrence, soit dans l’intention de nuire à son patron, soit pour se procurer un avantage illicite, utilise ou divulgue, pendant la durée de son engagement ou endéans les deux ans qui en suivent l’expiration, les secrets d’affaires ou de fabrication dont il a eu connaissance par suite de sa situation, sera puni d’un emprisonnement de trois mois à trois ans et d’une amende de 251 euros à 12.500 euros. Il en est de même de celui qui, ayant eu connaissance des secrets d’affaires ou de fabrication appartenant à une personne, soit par l’intermédiaire d’un employé, ouvrier ou apprenti agissant en violation des prescriptions de l’alinéa qui précède, soit par un acte contraire à la loi ou aux bonnes mœurs, utilise ces secrets ou les divulgue, soit dans un but de concurrence, soit dans l’intention de nuire à celui à qui ils appartiennent, soit pour se procurer un avantage illicite. Est passible de la même peine celui qui, soit dans un but de concurrence, soit dans l’intention de nuire à celui à qui ils appartiennent, soit pour se procurer un avantage illicite, utilise sans en avoir le droit ou communique à autrui des modèles, dessins ou patrons qui lui ont été confiés pour l’exécution de commandes commerciales ou industrielles. Les tribunaux peuvent ordonner, en cas de condamnation, l’affichage ou la publication par la voie des journaux de la décision, aux frais de la personne qu’ils désignent.
Exemple: Transfert d’informations confidentielles via un outil informatique de manière non autorisée
Sanctions encourues: 3 mois à 3 ans de prison et 251 à 12.500 € d’amende
Violation du secret des correspondances ou de la vie privée

Art. 460 du Code pénal, Art. 2 de la loi du 11 août 1982

Texte: Quiconque sera convaincu d’avoir supprimé une lettre confiée à la poste, ou de l’avoir ouverte pour en violer le secret, sera puni d’un emprisonnement de huit jours à un mois et d’une amende de 251 euros à 2.000 euros, ou d’une de ces peines seulement.
Exemple: Consultation d’un courrier électronique privée
Sanctions encourues: 8 jours à 1 an de prison et/ou 251 à 5.000 € d’amende
Contrefaçon de clefs électroniques

Art. 488 du Code pénal

Texte: (L. 14 août 2000) Quiconque aura frauduleusement contrefait ou altéré des clefs, y compris électroniques sera condamné à un emprisonnement de quatre mois à cinq ans et à une amende de 1.250 euros à 30.000 euros. (L. 18 juillet 2014)
Exemple: Création de faux certificats électroniques
Sanctions encourues: 4 mois à 5 ans de prison et 1.250 à 30.000 € d’amende
Vol de clef électronique

Art. 461 du Code pénal

Texte: (L. 18 juillet 2014) Quiconque a soustrait frauduleusement une chose ou une clef électronique qui ne lui appartient pas est coupable de vol.
Exemple: Vol d’un mot de passe
Sanctions encourues: Caractère criminel et délictuel de l’acte
Recel d’informations

Art. 505 du Code pénal - L. 14 août 2000

Texte: Art. 505. (L. 14 août 2000) Ceux qui auront recelé, en tout ou en partie, les choses ou les biens incorporels enlevés, détournés ou obtenus à l’aide d’un crime ou d’un délit, seront punis d’un emprisonnement de quinze jours à cinq ans et d’une amende de 251 euros à 5.000 euros. Ils pourront, de plus, être condamnés à l’interdiction, conformément à l’article 24. Constitue également un recel le fait de sciemment bénéficier du produit d’un crime ou d’un délit.
Exemple: Conservation d’une base de donnée volée
Sanctions encourues: 15 jours à 5 ans de prison et 251 à 5.000 € d’amende
Faux en écritures électroniques

Art. 196 du Code pénal - L. 14 août 2000

Texte: Art. 196. (L. 14 août 2000) Seront punies de réclusion de cinq à dix ans les autres personnes qui auront commis un faux en écritures authentiques et publiques, et toutes personnes qui auront commis un faux en écritures de commerce, de banque ou en écritures privées, en ce compris les actes sous seing privé électronique, Soit par fausses signatures, Soit par contrefaçon ou altération d’écritures ou de signatures, Soit par fabrication de conventions, dispositions, obligations ou décharges, ou par leur insertion après coup dans les actes, Soit par addition ou altération de clauses, de déclarations ou de faits que ces actes avaient pour objet de recevoir et de constater.
Exemple: Falsification d’un certificat électronique
Sanctions encourues: 5 à 10 ans de prison et 2.500 à 50.000 € d’amende
Abus de confiance

Art. 491 du Code pénal - L. 18 juillet 2014

Texte: Art. 491. (L. 18 juillet 2014) Quiconque aura frauduleusement soit détourné, soit dissipé au préjudice d’autrui, des effets, deniers, marchandises, billets, quittances, clefs électroniques, écrits de toute nature contenant ou opérant obligation ou décharge et qui lui avaient été remis à la condition de les rendre ou d’en faire un usage ou un emploi déterminé, sera puni d’un emprisonnement d’un mois à cinq ans et d’une amende de 251 euros à 5.000 euros.
Exemple: Usage détourné de clefs électroniques
Sanctions encourues: 1 mois à 5 ans de prison et 251 à 5.000 € d’amende
Escroquerie

Art. 496 du Code pénal - L. 18 juillet 2014

Texte: Art. 496. (L. 18 juillet 2014) Quiconque, dans le but de s’approprier une chose appartenant à autrui, se sera fait remettre ou délivrer ou aura tenté de se faire remettre ou délivrer des fonds, meubles, obligations, quittances, décharges, clefs électroniques, soit en faisant usage de faux noms ou de fausses qualités, soit en employant des manœuvres frauduleuses pour persuader l’existence de fausses entreprises, d’un pouvoir ou d’un crédit imaginaire, pour faire naître l’espérance ou la crainte d’un succès, d’un accident ou de tout autre événement chimérique, ou pour abuser autrement de la confiance ou de la crédulité, sera puni d’un emprisonnement de quatre mois à cinq ans et d’une amende de 251 euros à 30.000 euros. Le coupable pourra de plus être condamné à l’interdiction, conformément à l’article 24.
Exemple: Campagne d’hammeçonnage via mail (Spear phishing)
Sanctions encourues: 1 mois à 5 ans de prison et 251 à 30.000 € d’amende et interdiction des droits entre 5 et 10 ans
Calomnies, diffamations

Art. 443 du Code pénal

Texte: Art. 443. Celui qui, dans les cas ci-après indiqués, a méchamment imputé à une personne un fait précis qui est de nature à porter atteinte à l’honneur de cette personne ou à l’exposer au mépris public, est coupable de calomnie, si, dans les cas où la loi admet la preuve légale du fait, cette preuve n’est pas rapportée. Il est coupable de diffamation, si la loi n’admet pas cette preuve.
Exemple:Diffusion de contenu diffamant une personne sur un site internet
Sanctions encourues: 8 jours à 1 an et 251 euros à 2.000 euros
Injures

Art. 448 du Code pénal

Texte: Art. 448. Quiconque aura injurié une personne ou un corps constitué, soit par des faits, soit par des écrits, images ou emblèmes, dans l’une des circonstances indiquées à l’article 444, sera puni d’un emprisonnement de huit jours à deux mois et d’une amende de 251 euros à 5.000 euros ou d’une de ces peines seulement.
Exemple: Cyberharcélement contre un tiers
Sanctions encourues: 8 jours à 2 mois et 251 euros à 5.000 euros
Racisme, révisionnisme et discriminations

Art. 454 et 457-1 du Code pénal - L. 28 novembre 2006

Texte: Art. 454. (L. 28 novembre 2006) Constitue une discrimination toute distinction opérée entre les personnes physiques à raison de leur origine, de leur couleur de peau, de leur sexe, de leur orientation sexuelle, de leur situation de famille, de leur âge, de leur état de santé, de leur handicap, de leurs mœurs, de leurs opinions politiques ou philosophiques, de leurs activités syndicales, de leur appartenance ou de leur non appartenance, vrai ou supposée, à une ethnie, une nation, une race ou une religion déterminée. Constitue également une discrimination toute distinction opérée entre les personnes morales, les groupes ou communautés de personnes, à raison de l’origine, de la couleur de peau, du sexe, de l’orientation sexuelle, de la situation de famille, de leur âge, de l’état de santé, du handicap, des mœurs, des opinions politiques ou philosophiques, des activités syndicales, de l’appartenance ou de la non- appartenance, vraie ou supposée, à une ethnie, une nation, une race, ou une religion déterminée, des membres ou de certains membres de ces personnes morales, groupes ou communautés. Art. 457-1. (L. 19 juillet 1997) Est puni d’un emprisonnement de huit jours à deux ans et d’une amende de 251 euros à 25.000 euros ou de l’une de ces peines seulement: 1) quiconque, soit par des discours, cris ou menaces proférés dans des lieux ou réunions publics, soit par des écrits, imprimés, dessins, gravures, peintures, emblèmes, images ou tout autre support de l’écrit, de la parole ou de l’image vendus ou distribués, mis en vente ou exposés dans des lieux ou réunions publics, soit par des placards ou des affiches exposés au regard du public, soit par tout moyen de communication audiovisuelle, incite aux actes prévus à l’article 455, à la haine ou à la violence à l’égard d’une personne, physique ou morale, d’un groupe ou d’une communauté en se fondant sur l’un des éléments visés à l’article 454; 2) quiconque appartient à une organisation dont les objectifs ou les activités consistent à commettre l’un des actes prévus au paragraphe 1) du présent article; 3) quiconque imprime ou fait imprimer, fabrique, détient, transporte, importe, exporte, fait fabriquer, importer, exporter ou transporter, met en circulation sur le territoire luxembourgeois, envoie à partir du territoire luxembourgeois, remet à la poste ou à un autre professionnel chargé de la distribution du courrier sur le territoire luxembourgeois, fait transiter par le territoire luxembourgeois, des écrits, imprimés, dessins, gravures, peintures, affiches, photographies, films cinématographiques, emblèmes, images ou tout autre support de l’écrit, de la parole ou de l’image, de nature à inciter aux actes prévus à l’article 455, à la haine ou à la violence à l’égard d’une personne, physique ou morale, d’un groupe ou d’une communauté, en se fondant sur l’un des éléments visés à l’article 454. La confiscation des objets énumérés ci-avant sera prononcée dans tous les cas.
Exemple: Diffusion de contenu révisionniste sur un site Internet public
Sanctions encourues: 8 jours à 2 ans de prison et 251 à 25.000 euros d’amende et interdiction des droits entre 5 et 10 ans
Pédopornographie

Art. 384 du Code pénal - L. 21 février 2013 et L. 16 juillet 2011

Texte: Art. 384. (L. 21 février 2013) Sera puni d’un emprisonnement d’un mois à trois ans et d’une amende de 251 à 50.000 euros, quiconque aura sciemment acquis, détenu ou consulté des écrits, imprimés, images, photographies, films ou autres objets à caractère pornographique impliquant ou présentant des mineurs. (L. 16 juillet 2011) La confiscation de ces objets sera toujours prononcée en cas de condamnation, même si la propriété n’en appartient pas au condamné ou si la condamnation est prononcée par le juge de police par l’admission de circonstances atténuantes.
Exemple: Consultation de sites pédopornographiques
Sanctions encourues: 1 mois à 2 ans de prison et 251 à 12.500 € d’amende et confiscation du contenu
Distribution de pornographie à des mineurs de moins de 16 ans

Art. 385bis du Code pénal

Texte: Art. 385bis. (L. 31 mai 1999) Sera puni d’une amende de 251 euros à 25.000 euros quiconque vend ou distribue à des enfants de moins de seize ans des écrits, images, figures ou objets indécents de nature à troubler leur imagination. Sera puni de la même peine quiconque expose publiquement dans le voisinage d’un établissement d’instruction ou d’éducation fréquenté par des enfants de moins de seize ans des écrits, images, figures ou objets indécents de nature à troubler leur imagination. La confiscation des écrits, figures ou objets indécents exposés, mis en vente ou en distribution sera toujours prononcée en cas de condamnation, même si la propriété n’en appartient pas au condamné ou si la condamnation est prononcée par le juge de police par l’admission de circonstances atténuantes. Envoi de contenu pornographique (images, textes, vidéos, etc.) à des mineurs de moins de 16 ans.
Exemple: Sexting (envoi d’images pornographiques)entre un adulte et un mineur
Sanctions encourues: 251 à 25.000 € d’amende et confiscation du contenu.

Infractions relatives à loi du 11 août 1982 - violation de la vie privée

Fourniture et/ou mise en place d’un appareillage en vue de la violation du secret des correspondances ou de la vie privée

Art. 2 et 3 de la loi du 11 août 1982

Texte: Art. 2. Est puni d’un emprisonnement de huit jours à un an et d’une amende de deux mille cinq cent un à cinquante mille francs, ou d’une de ces peines seulement, quiconque a volontairement porté atteinte à l’intimité de la vie privée d’autrui. 1° en écoutant ou en faisant écouter, en enregistrant ou en faisant enregistrer, en transmettant ou en faisant transmettre, au moyen d’un appareil quelconque, des paroles prononcées en privé par une personne, sans le consentement de celle-ci; 2° en observant ou en faisant observer, au moyen d’un appareil quelconque, une personne se trouvant dans un lieu non accessible au public, sans le consentement de celle-ci, en fixant ou en faisant fixer, en transmettant ou en faisant transmettre dans les mêmes conditions l’image de cette personne. Lorsque les actes énoncés au présent article ont été accomplis au cours d’une réunion au vu et au su de ses participants, le consentement de ceux-ci est présumé; 3° en ouvrant sans l’accord de la personne à laquelle il est adressé ou de celle dont il émane, un message expédié ou transmis sous pli fermé, ou, en prenant connaissance, par un appareil quelconque, du contenu d’un tel message ou en supprimant un tel message. Les dispositions du N° 1 du présent article ne s’appliquent pas à celui qui, chargé de l’entretien ou de la surveillance d’un réseau téléphonique public ou privé, écoute dans l’exercice de ses fonctions une communication pour s’assurer du bon fonctionnement de la liaison. Est puni des peines prévues au présent article celui qui ne respecte pas le secret de la communication ainsi écoutée.
Exemple: Mise en place d’un système d’interception de courrier électronique non autorisé.
Sanctions encourues: 8 jours à 1 an de prison et 251 à 5.000 € d’amende
Commercialisation d’un appareillage en vue de la violation du secret des correspondances ou de la vie privée

Art. 8 et 9 de la loi du 11 août 1982

Texte: Art. 8. Peuvent faire l’objet d’un règlement grand-ducal, la vente, l’achat, la location, la détention, la cession, la fabrication, l’importation, l’exportation et le transport des appareils ou ensembles d’appareils conçus en vue de commettre l’une des infractions prévues par la présente loi ainsi que la publicité les concernant. Art. 9. Les infractions aux dispositions des règlements pris en exécution de l’article 8 sont punies d’une amende de deux mille cinq cent un à un million de francs.
Exemple: Vente sans autorisation d’un IMSI Catcher
Sanctions encourues: 60 à 25.000 € d’amende
Stalking (harcèlement)

Art. 6 de la loi du 11 août 1982

Texte: Art. 6. Est puni des peines prévues à l’article 2, celui qui a sciemment inquiété ou importuné une personne par des appels téléphoniques répétés et intempestifs ou qui l’a harcelée par des messages écrits ou autres.
Exemple: Harcèlement compulsif d’un individu
Sanctions encourues: 8 jours à 1 an de prison et 251 à 5.000 € d’amende

Infractions relatives à la protection des données

Cadre général

Loi modifiée du 2 août 2002 (protection des données - texte coordonné du 08.08.2007)

Texte: Totalité de la loi
Exemple: Concerne toute action relative au traitement de données personnelles
Sanctions: Variables
Fuite de données personnelles issues d’un fournisseur de services de communications électroniques

Art. 3. de la Loi modifiée du 30 mai 2005

Texte: (3) En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation. Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation. La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès. Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute. La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier. La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros.
Exemple: Vol d’une base de données de clients dont la victime, fournisseur de services de communications électronique, aurait conscience
Sanctions encourues: 50.000 € d’amende
Viol de la confidentialité des communications

Art. 4. Confidentialité des communications

Texte: Art. 4. Confidentialité des communications (1) Tout fournisseur de services ou opérateur garantit la confidentialité des communications effectuées au moyen d’un réseau de communications public et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. (2) Il est interdit à toute autre personne que l’utilisateur concerné d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance sans le consentement de l’utilisateur concerné. (3) Le paragraphe (2): (a) n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité; (Loi du 28 juillet 2011) «(b)ne s’applique pas aux autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales;» (c) ne s’applique pas aux communications et aux données relatives au trafic y afférentes, effectuées à destination du numéro d’appel d’urgence unique européen 112 et des numéros d’urgence déterminés par l’Institut dans le seul but de permettre (a) la réécoute de messages lors de problèmes de compréhension ou d’ambiguïté entre l’appelant et l’appelé, (b) la documentation de fausses alertes, de menaces et d’appels abusifs et (c) la production de preuves lors de contestation sur le déroulement d’actions de secours. Les données relatives au trafic afférentes aux communications visées ci-dessus, y compris les données de localisation, sont à effacer une fois le secours apporté. Le contenu des communications est à effacer après un délai de 6 mois au plus; (d) n’affecte pas l’enregistrement de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, (Loi modifiée du 2 août 2002) «afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale. Les parties aux transactions ou à toutes autres communications commerciales» sont informées au préalable de ce que des enregistrements sont susceptibles d’être effectués, de la ou des raisons pour lesquelles les communications sont enregistrées et de la durée de conservation maximale des enregistrements. Les communications enregistrées sont à effacer dès que la finalité est atteinte, et en tout état de cause, lors de l’expiration du délai légal de recours contre la transaction; (Loi du 28 juillet 2011) «(e)ne s’applique pas au stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Les méthodes retenues pour fournir l’information et offrir le droit de refus devraient être les plus conviviales possibles. Lorsque cela est techniquement possible et effectif, l’accord de l’abonné ou de l’utilisateur peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.» (4) Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.
Exemple: Ecoute non autorisée de messages électroniques
Sanctions: 8 jours à 1 an de prison et 251 à 125.000 € d’amende
Surveillance non autorisée

Art. 5. Données relatives au trafic

Texte: «(1) (a) Pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, et dans le seul but de permettre, en tant que de besoin, la mise à disposition des autorités judiciaires d’informations, tout fournisseur de services ou opérateur qui traite ou génère dans le cadre de la fourniture de services des données relatives au trafic est tenu de conserver ces données pendant une période de six mois à compter de la date de la communication. L’obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées et stockées (en ce qui concerne les données de la téléphonie) ou journalisées (en ce qui concerne les données de l’internet) dans le cadre de la fourniture des services de communications concernés. Un règlement grand-ducal détermine les catégories de données relatives au trafic susceptibles de pouvoir servir à la recherche, à la constatation et à la poursuite d’infractions visées ci-dessus. Ce règlement peut également déterminer les formes et les modalités suivant lesquelles les données visées sont à mettre à la disposition des autorités judiciaires.» (b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes. (2) Tout fournisseur de services ou tout opérateur qui traite des données relatives au trafic concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires pour que de telles données soient conservées pendant la période prévue sub (1) (a) de manière telle qu’il est impossible à quiconque d’accéder à ces données dès lors qu’elles ne sont plus nécessaires à la transmission d’une communication ou aux traitements prévus par les dispositions sub (3) et (4), à l’exception des accès qui sont: (Loi du 24 juillet 2010) – «ordonnés par les autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales visées au paragraphe (1) (a), ou» – demandés par les organes compétents dans le but de régler des litiges notamment en matière d’interconnexion ou de facturation. (3) Les données relatives au trafic qui sont nécessaires en vue d’établir les factures des abonnés et aux fins des paiements d’interconnexion peuvent être traitées. Un tel traitement n’est possible que jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement et ne peut en tout état de cause dépasser 6 mois lorsque la facture a été payée et n’a pas fait l’objet de litige ou de contestation. (4) Les données relatives au trafic peuvent être traitées en vue de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services pour autant que le fournisseur d’un service de communications électroniques ou l’opérateur informe préalablement l’abonné ou l’utilisateur concerné des types de données relatives au trafic traitées, de la finalité et de la durée du traitement et que celui-ci ait donné son consentement, nonobstant son droit de s’opposer à tout moment à un tel traitement. (5) Le traitement des données relatives au trafic effectué dans le cas des activités visées aux paragraphes (1) à (4) est restreint aux personnes agissant sous l’autorité du fournisseur de services ou de l’opérateur qui sont chargés d’assurer la facturation ou la gestion du trafic, répondre aux demandes de clientèle, détecter les fraudes, commercialiser les services de communications électroniques ou fournir un service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités. (6) Quiconque contrevient aux dispositions des paragraphes (1) à (5) du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.
Exemple: Maintient de logs abusifs
Sanctions: 8 jours à 1 an de prison et 251 à 125.000 € d’amende
Maintenance de logs abusifs

Art. 9. Données de localisation autres que les données relatives au trafic

Texte: (Loi du 24 juillet 2010) «(1) (a) Pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, et dans le seul but de permettre, en tant que de besoin, la mise à disposition des autorités judiciaires d’informations, tout fournisseur de services ou opérateur qui traite ou génère dans le cadre de la fourniture de services des données de localisation autres que des données relatives au trafic est tenu de conserver ces données pendant une période de six mois à compter de la date de la communication. L’obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées et stockées (en ce qui concerne les données de la téléphonie) ou journalisées (en ce qui concerne les données de l’internet) dans le cadre de la fourniture des services de communications concernés. Pour l’application du présent paragraphe, une seule information de localisation est requise par communication ou appel. Un règlement grand-ducal détermine les catégories de données de localisation autres que les données relatives au trafic susceptibles de pouvoir servir à la recherche, à la constatation et à la poursuite d’infractions visées ci-dessus. Ce règlement peut également déterminer les formes et les modalités suivant lesquelles les données visées sont à mettre à la disposition des autorités judiciaires.» (b) Après la période de conservation prévue sub (a), le fournisseur de services ou l’opérateur est obligé d’effacer les données de localisation autres que les données relatives au trafic concernant les abonnés et les utilisateurs, ou de les rendre anonymes.(Loi du 24 juillet 2010) «(2) Tout fournisseur de services ou opérateur qui traite des données de localisation, autres que les données relatives au trafic, concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires à ce que de telles données soient conservées pendant la période prévue au paragraphe (1) (a) de manière telle qu’il est impossible à quiconque d’accéder à ces données, à l’exception des accès qui sont ordonnés par les autorités judiciaires agissant au titre de l’article 67-1 du Code d’instruction criminelle et celles compétentes en vertu des articles 88-1 à 88-4 du Code d’instruction criminelle pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique et pour la prévention, la recherche, la constatation et la poursuite des infractions pénales «visées au paragraphe (1) (a)»6». (3) Tout fournisseur de services ou opérateur ne peut traiter des données de localisation autres que les données relatives au trafic et concernant les abonnés ou les utilisateurs que si celles-ci ont été rendues anonymes ou moyennant le consentement de l’abonné ou de l’utilisateur, dans la mesure et pour la durée nécessaires à la fourniture d’un service à valeur ajoutée et sous réserve des dispositions des paragraphes (2), (4) et (5). (4) Le fournisseur du service et le cas échéant l’opérateur informe préalablement l’abonné ou l’utilisateur sur les types de données de localisation traitées, autres que les données relatives au trafic, sur la ou les finalité(s) et la durée de ce traitement ainsi que sur la transmission de ces données à des tiers en vue de la fourniture du service à valeur ajoutée. L’abonné ou l’utilisateur a la possibilité de retirer à tout moment son consentement pour le traitement des données de localisation autres que les données relatives au trafic. Lorsque l’abonné ou l’utilisateur a donné son consentement au traitement des données de localisation autres que les données relatives au trafic, il doit garder la possibilité d’interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication. (5) Le traitement effectué des données de localisation, autres que les données relatives au trafic, dans le cas des activités visées aux paragraphes (1) à (4) est restreint aux personnes agissant sous l’autorité du fournisseur de services ou de l’opérateur ou du tiers qui fournit le service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités. (6) Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.
Exemple: Conservation abusive des traces de connection à un site Internet
Sanctions: 8 jours à 1 an de prison et 251 à 125.000 € d’amende
Spam

Art. 11. Communications non sollicitées

Texte: (Loi du 28 juillet 2011) «(1) L’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe n’est possible que si elle vise l’abonné ou l’utilisateur ayant donné son consentement préalable.» (2) Nonobstant le paragraphe (1), le fournisseur qui, dans le cadre d’une vente d’un produit ou d’un service, a obtenu (…)7 de ses clients leurs coordonnées électroniques en vue d’un courrier électronique, peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues que lui-même fournit pour autant que lesdits clients se voient donner clairement et expressément le droit de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques lorsqu’elles sont recueillies et lors de chaque message, au cas où ils n’auraient pas refusé d’emblée une telle exploitation. (3) L’envoi de communications non sollicitées à des fins de prospection directe par d’autres moyens que ceux visés aux paragraphes (1) et (2) n’est possible que si l’abonné «ou l’utilisateur» concerné a donné son consentement préalable. (4) Il est interdit d’émettre des messages électroniques à des fins de prospection directe en déguisant, dissimulant ou en dénaturant l’identité de l’émetteur au nom duquel la communication est faite, ou sans indication d’adresse valable à laquelle le destinataire peut transmettre une demande de faire cesser ces communications. (5) Les paragraphes (1) et (3) s’appliquent à l’abonné qui est une personne physique. (6) Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.
Exemple: Envoi de spam
Sanctions: 8 jours à 1 an de prison et 251 à 125.000 € d’amende
Annuaire non autorisé

Art. 10. Annuaires d’abonnés

Texte: (1) L’abonné doit être informé gratuitement et avant d’y être inscrit des fins auxquelles sont établis des annuaires d’abonnés imprimés ou électroniques accessibles au public (ci-après «les annuaires») ou consultables par l’intermédiaire de services de renseignements, dans lesquels les données le concernant peuvent figurer, ainsi que de toute autre possibilité d’utilisation reposant sur des fonctions de recherche intégrées dans les versions électroniques des annuaires. (2) (a) L’abonné doit avoir la possibilité d’indiquer clairement, lors de la souscription de l’abonnement ou à tout autre moment lors de nouvelles éditions de mises à jour ou d’annuaires, si les données à caractère personnel le concernant, et lesquelles de ces données, doivent figurer dans un annuaire public, dans la mesure où ces données sont pertinentes par rapport à la fonction de l’annuaire en question telle qu’elle a été établie par le fournisseur de l’annuaire. (b) L’abonné doit pouvoir vérifier, corriger ou supprimer ces données. La non-inscription dans un annuaire public d’abonnés, la vérification, la correction ou la suppression de données à caractère personnel dans un tel annuaire est gratuite. (3) Quiconque contrevient aux dispositions du présent article est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction.
Exemple: Création non autorisée d’une base de données contenant des données personnelles
Sanctions: 8 jours à 1 an de prison et 251 à 125.000 € d’amende

References

Revision

  • Version 1.0 - TLP:WHITE - First version - Tuesday, 15 March 2016