← Article précédent
Télécharger en PDF
Article suivant →

La CNPD doit-elle être consultée si l’accès au logement est contrôlé électroniquement ?

Réponse courte

La mise en place d’un système de contrôle électronique d’accès à un logement constitue un traitement de données à caractère personnel lorsqu’il permet d’identifier directement ou indirectement des personnes physiques. Dans ce cas, le responsable du traitement doit procéder à une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La consultation préalable de la Commission nationale pour la protection des données (CNPD) n’est obligatoire que si l’AIPD révèle que le traitement présenterait un risque élevé résiduel malgré les mesures envisagées. En dehors de cette hypothèse, la consultation de la CNPD n’est pas systématique mais reste possible à titre facultatif. L’analyse d’impact doit être documentée et conservée.

Définition

Le contrôle électronique d’accès au logement de fonction désigne l’utilisation de dispositifs techniques permettant de restreindre ou d’autoriser l’entrée dans un logement à l’aide de moyens électroniques (badges, cartes, biométrie, digicodes, etc.). Ces dispositifs collectent, enregistrent et traitent des données relatives à l’identité, aux horaires d’accès ou à la localisation des personnes concernées.

Constitue un traitement de données à caractère personnel toute opération ou ensemble d’opérations portant sur de telles données, automatisées ou non, dès lors qu’elles permettent d’identifier une personne physique, directement ou indirectement.

Questions fréquentes

La CNPD doit-elle etre consultee pour un controle electronique d'acces au logement ?
La consultation prealable de la Commission nationale pour la protection des donnees (CNPD) n'est obligatoire que si l'AIPD revele que le traitement presente un risque eleve residuel malgre les mesures envisagees. En dehors de cette hypothese, la consultation reste possible a titre facultatif.
Quand une analyse d'impact (AIPD) est-elle obligatoire ?
Une AIPD est obligatoire si le traitement est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes concernees, conformement a l'article 35 du RGPD. Le controle electronique d'acces collectant des donnees d'identite et horaires releve souvent de cette obligation.
Quel delai pour la CNPD pour rendre son avis ?
La CNPD dispose d'un delai de 8 semaines, prolongeable de 6 semaines, pour rendre son avis apres saisine ecrite avec transmission de l'AIPD. Le responsable du traitement ne peut mettre en oeuvre le dispositif avant la fin de cette consultation.
Quelles donnees collecte un systeme de controle electronique d'acces ?
Le controle electronique collecte des donnees relatives a l'identite, aux horaires d'acces ou a la localisation des personnes concernees, via badges, cartes, biometrie ou digicodes. Toute operation portant sur ces donnees constitue un traitement de donnees a caractere personnel au sens du RGPD.
Quelles obligations d'information pour le controle electronique ?
Chaque personne concernee doit etre informee individuellement de l'existence du traitement, ses finalites, la base legale, les destinataires, la duree de conservation, les droits des personnes et les coordonnees du DPO, conformement a l'article 13 du RGPD et a la loi du 1er aout 2018.
Quels articles encadrent le controle electronique d'acces au logement ?
Le RGPD (UE 2016/679) articles 5, 13, 30, 32, 35, 36 fixent les principes, l'information, le registre, la securite et l'AIPD. La loi du 1er aout 2018 sur la protection des donnees au Luxembourg, articles 35 a 39, transpose ces obligations.

Conditions d’exercice

Le contrôle électronique d’accès à un logement de fonction est soumis à des conditions cumulatives.

Condition Détail
Finalité légitime Sécurité des biens et des personnes, gestion des accès
Proportionnalité Le dispositif doit être adapté à l’objectif poursuivi
Minimisation Collecter uniquement les données strictement nécessaires
AIPD obligatoire Si risque élevé pour les droits et libertés des personnes
Consultation CNPD Obligatoire uniquement si l’AIPD révèle un risque élevé résiduel
Information préalable Chaque personne concernée doit être informée individuellement

Modalités pratiques

La mise en place d’un contrôle électronique d’accès suit plusieurs étapes.

Étape Détail
Identification des données Lister les données collectées, finalités, personnes concernées, mesures de sécurité
Registre des traitements Documenter le traitement dans le registre (art. 30 RGPD)
Information individuelle Informer chaque personne : finalité, base légale, durée, droits, coordonnées DPO (art. 13 RGPD)
AIPD Évaluer nécessité, proportionnalité, risques, mesures d’atténuation
Saisine CNPD Si risque résiduel élevé : saisine écrite avec transmission de l’AIPD
Délai CNPD 8 semaines (prolongeable de 6 semaines) pour rendre son avis

Pratiques et recommandations

Informer individuellement les personnes concernées sur l’existence du traitement, ses finalités, la base légale, les destinataires, la durée de conservation, les droits des personnes concernées et les coordonnées du DPO, conformément à l’article 13 du RGPD et à la loi du 1er août 2018.

Tenir à jour un registre des activités de traitement, conformément à l’article 30 du RGPD et à la loi du 1er août 2018.

Réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD et à la loi du 1er août 2018.

Consulter la CNPD préalablement à la mise en œuvre du dispositif si l’AIPD révèle un risque élevé résiduel, conformément à l’article 36 du RGPD et à l’article 39 de la loi du 1er août 2018.

Mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données, conformément à l’article 32 du RGPD.

Respecter l’ensemble des principes de traitement des données à caractère personnel, notamment la licéité, la loyauté, la transparence, la minimisation des données, la limitation de la conservation et l’intégrité/confidentialité, conformément à l’article 5 du RGPD.

Cadre juridique

Référence Objet
RGPD (UE 2016/679) Articles 5, 13, 30, 32, 35, 36 — principes, information, registre, sécurité, AIPD, consultation
Loi du 1er août 2018 Protection des données au Luxembourg, articles 35 à 39
Lignes directrices CNPD Liste des traitements soumis à AIPD obligatoire

Note

L’absence de consultation obligatoire de la CNPD ne dispense pas le responsable du traitement de respecter l’ensemble des obligations prévues par la législation luxembourgeoise en matière de protection des données. Toute violation peut entraîner des sanctions administratives et pénales, indépendamment de la consultation préalable de la CNPD.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...