Traitement des données à caractère personnel
Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937
Traitement des données à caractère personnel
Tout traitement de données à caractère personnel effectué en vertu de la présente directive, y compris l’échange ou la transmission de données à caractère personnel par les autorités compétentes, est effectué conformément au règlement (UE) 2016/679 et à la directive (UE) 2016/680. Tout échange ou toute transmission d’informations par les institutions, organes ou organismes de l’Union s’effectue conformément au règlement (UE) 2018/1725.
Les données à caractère personnel qui ne sont manifestement pas pertinentes pour le traitement d’un signalement spécifique ne sont pas collectées ou, si elles le sont accidentellement, sont effacées sans retard injustifié.
Au Luxembourg, la loi du 16 mai 2023 relative à la protection des lanceurs d'alerte confirme l'application du RGPD et désigne l'OFRS (Office des rapports de signalement) comme autorité externe transversale, avec orientation vers la CNPD, CSSF, ITM, CAA ou ILR selon le domaine. Le manquement aux obligations de confidentialite et de minimisation des données peut entrainer des amendes pénales de 1 250 à 25 000 EUR (doublées en cas de récidive), cumulables avec les sanctions RGPD de la CNPD pouvant atteindre 20 M EUR ou 4% du CA mondial.
Pratique Luxgap : nous calibrons le Whistleblowing Data Minimizer sur le seuil luxembourgeois de 50 salariés (sans seuil pour les organismes publics) et configurons les workflows de transmission vers l'OFRS et l'autorité sectorielle compétente avec traçabilite RGPD complète.
