Au Luxembourg, deux lois sur la protection des données à caractère personnel ont été adoptées.

Il s’agit de :

• La Loi portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État. Cette loi a été publiée au MÉMORIAL A, n° 686 du 16 août 2018.

• La Loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. Elle a été publiée au MÉMORIAL A, n° 689 du 16 août 2018.

La loi luxembourgeoise sur le RGPD a prévu certaines spécificités par rapport aux dispositions du RGPD. Ils’agit notamment des sanctions, puisque l’article 48 (1) de cette loi dispose que :

« la CNPD peut imposer les amendes administratives telles que prévues par l’article 83 du Règlement(UE) 2016/679, sauf à l’encontre de l’Etat ou des communes ».

Il en est également ainsi du « traitement et liberté d’expression et d’information » prévu par l’article 62 de la loi, le « traitement à des fins de recherche scientifique ou historique ou à des fins statistiques » prévu par les articles 63 et suivants et le « traitement des données à caractère personnel à des fins de surveillance dans le cadre des relations de travail » prévu par les articles 70 et suivants de la loi luxembourgeoise.