Obligations de secret
Règlement général sur la protection des données · UE 2016/679
Obligations de secret
1. Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l'article 58, paragraphe 1, points e) et f) à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d'autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu'en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d'une activité couverte par ladite obligation de secret.
2. Chaque État membre notifie à la Commission les règles qu'il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018, et, sans tarder, toute modification ultérieure les concernant.
Au Luxembourg, l'article 90 a fait l'objet d'une transposition explicite. La loi du 1er aout 2018 portant organisation de la CNPD aménage les pouvoirs de l'autorité face aux personnes soumises au secret professionnel (avocats, notaires, médecins, professionnels du secteur financier). En pratique, lorsque la CNPD veut accéder a des données couvertes par le secret, des modalités spécifiques s'appliquent (intervention sous contrôle, présence éventuelle de l'ordre professionnel concerné). Le secret bancaire de l'article 41 de la loi du 5 avril 1993 sur le secteur financier coexiste également avec ces régles.
Pratique Luxgap : pour un cabinet d'avocats ou une banque privée, distinguez dans votre registre les traitements relevant du secret de ceux qui n'en relevent pas, et préparez a l'avance le protocole de coopération CNPD adapté a votre profession.