Pour définir la sécurité du réseau informatique luxembourgeoise, analysons la loi du 2 août 2002. Elle porte « sur la protection des personnes à l’égard du traitement des données à caractère personnel : une nouvelle donnée pour la place financière ». Elle a été modifiée par différentes lois dont la dernière est celle du 27 juillet 2007.

Le traitement des données

Data processingRappelons tout d’abord que cette loi a vu le jour à la suite des événements du 11 septembre 2001. En effet, suite aux retombées économiques, les entreprises ont pris conscience de l’importance de leurs données financières. Cette législation définit la sécurité du réseau informatique comme la sécurité des données traitées. D’après l’article 13-9, le traitement de données regroupe les opérations automatisées ou non, dans le cadre de la récolte, l’archivage, l’ordonnancement, la garde, l’ajustement ou le changement, l’importation, la visualisation, l’emploi, la transmission, la propagation ou toute autre forme de mise é disposition, l’association ou l’interconnexion, ainsi que la sécurisation, la suppression.
Donc, tout individu ayant recours à ces opérations est acteur de la sécurité du réseau. Sont protégées par la législation :

  • Les informations financières,
  • Les données personnelles incluant la race, l’ethnie, le genre, les opinions politiques, la religion, les convictions philosophiques, la syndicalisation, les informations médicales dont les données génétiques, la vie intime et les données judiciaires.

Le transfert vers l’extérieur

Dans le cas général, la loi prévoit aussi les conditions de transferts de données vers d’autres pays. Est prohibé tout échange avec un pays ne respectant pas des normes de sécurité. Elle autorise cependant deux catégories d’exceptions. La première est qu’un tel transfert est permis dans le cas où celui-ci serait nécessaire et que la personne concernée a donné son consentement. Si un tel transfert est admis, l’acteur qui traite les données garantit la protection des personnes concernées. Cette garantie peut se traduire par l’établissement d’un contrat entre les deux parties par exemple. De plus, « le responsable du traitement est tenu de se conformer à la décision de la Commission nationale ».