La CNPD doit-elle être consultée si l’accès au logement est contrôlé électroniquement ?
Réponse courte
La mise en place d’un système de contrôle électronique d’accès à un logement constitue un traitement de données à caractère personnel lorsqu’il permet d’identifier directement ou indirectement des personnes physiques. Dans ce cas, le responsable du traitement doit procéder à une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
La consultation préalable de la Commission nationale pour la protection des données (CNPD) n’est obligatoire que si l’AIPD révèle que le traitement présenterait un risque élevé résiduel malgré les mesures envisagées. En dehors de cette hypothèse, la consultation de la CNPD n’est pas systématique mais reste possible à titre facultatif. L’analyse d’impact doit être documentée et conservée.
Définition
Le contrôle électronique d’accès au logement de fonction désigne l’utilisation de dispositifs techniques permettant de restreindre ou d’autoriser l’entrée dans un logement à l’aide de moyens électroniques (badges, cartes, biométrie, digicodes, etc.). Ces dispositifs collectent, enregistrent et traitent des données relatives à l’identité, aux horaires d’accès ou à la localisation des personnes concernées.
Constitue un traitement de données à caractère personnel toute opération ou ensemble d’opérations portant sur de telles données, automatisées ou non, dès lors qu’elles permettent d’identifier une personne physique, directement ou indirectement.
Conditions d’exercice
Le contrôle électronique d’accès à un logement de fonction est soumis à des conditions cumulatives.
| Condition | Détail |
|---|---|
| Finalité légitime | Sécurité des biens et des personnes, gestion des accès |
| Proportionnalité | Le dispositif doit être adapté à l’objectif poursuivi |
| Minimisation | Collecter uniquement les données strictement nécessaires |
| AIPD obligatoire | Si risque élevé pour les droits et libertés des personnes |
| Consultation CNPD | Obligatoire uniquement si l’AIPD révèle un risque élevé résiduel |
| Information préalable | Chaque personne concernée doit être informée individuellement |
Modalités pratiques
La mise en place d’un contrôle électronique d’accès suit plusieurs étapes.
| Étape | Détail |
|---|---|
| Identification des données | Lister les données collectées, finalités, personnes concernées, mesures de sécurité |
| Registre des traitements | Documenter le traitement dans le registre (art. 30 RGPD) |
| Information individuelle | Informer chaque personne : finalité, base légale, durée, droits, coordonnées DPO (art. 13 RGPD) |
| AIPD | Évaluer nécessité, proportionnalité, risques, mesures d’atténuation |
| Saisine CNPD | Si risque résiduel élevé : saisine écrite avec transmission de l’AIPD |
| Délai CNPD | 8 semaines (prolongeable de 6 semaines) pour rendre son avis |
Pratiques et recommandations
Informer individuellement les personnes concernées sur l’existence du traitement, ses finalités, la base légale, les destinataires, la durée de conservation, les droits des personnes concernées et les coordonnées du DPO, conformément à l’article 13 du RGPD et à la loi du 1er août 2018.
Tenir à jour un registre des activités de traitement, conformément à l’article 30 du RGPD et à la loi du 1er août 2018.
Réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD et à la loi du 1er août 2018.
Consulter la CNPD préalablement à la mise en œuvre du dispositif si l’AIPD révèle un risque élevé résiduel, conformément à l’article 36 du RGPD et à l’article 39 de la loi du 1er août 2018.
Mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données, conformément à l’article 32 du RGPD.
Respecter l’ensemble des principes de traitement des données à caractère personnel, notamment la licéité, la loyauté, la transparence, la minimisation des données, la limitation de la conservation et l’intégrité/confidentialité, conformément à l’article 5 du RGPD.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD (UE 2016/679) | Articles 5, 13, 30, 32, 35, 36 — principes, information, registre, sécurité, AIPD, consultation |
| Loi du 1er août 2018 | Protection des données au Luxembourg, articles 35 à 39 |
| Lignes directrices CNPD | Liste des traitements soumis à AIPD obligatoire |
Note
L’absence de consultation obligatoire de la CNPD ne dispense pas le responsable du traitement de respecter l’ensemble des obligations prévues par la législation luxembourgeoise en matière de protection des données. Toute violation peut entraîner des sanctions administratives et pénales, indépendamment de la consultation préalable de la CNPD.