Le 11 février 2015, le ministre luxembourgeois de la Justice, Félix Braz, a présenté devant la commission juridique de la Chambre des députés le projet de loi 6763 qui doit modifier le Code d’instruction criminelle et la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques.

Ce projet de loi, annoncé le 26 septembre 2015 et déposé début janvier 2015 à la Chambre, a pour objet, comme le dit l’exposé des motifs, "d’adapter le dispositif légal relatif à la rétention des données de télécommunications à des fins de poursuites pénales aux exigences de l’arrêt rendu par la Cour de Justice de l’Union européenne en date du 8 avril 2014, dit 'Digital Rights' (…) par lequel la Cour a invalidé la directive 2006/24/CE du 15 mars 2006 relative à la conservation de données à caractère personnel à des fins de prévention, de recherche, de détection et de poursuite des infractions graves."

En septembre 2014, Félix Braz avait rappelé que la CJUE ne s’était pas prononcée sur la loi luxembourgeoise qui "continue à exister et à lier les opérateurs télécom", mais relevé que l’arrêt de la CJUE contenait "beaucoup d’exigences" concernant les Etats membres "qui doivent vérifier si la protection des droits fondamentaux dans leurs législations nationales respectives est suffisante». Il avait annoncé qu’une loi nationale adaptée préciserait les conditions de l’accès aux informations en remplaçant le seuil de peine actuel d’un an par une liste limitative d’infractions pour lesquelles les juges d’instruction peuvent ordonner l’accès aux données. Il s’agirait ensuite d’introduire une obligation de destruction irrémédiable des données retenues à l’expiration du délai de rétention et troisièmement. Finalement, il serait aussi question de renforcer la sécurité de la rétention des données auprès des opérateurs télécom. Mais, avait insisté le ministre, "dans un espace de droit européen, il faut une réponse commune au niveau de l’UE et il serait erroné de trancher au niveau national". Il avait annoncé que si la nouvelle Commission devait ne pas présenter d’initiative sur le sujet d’ici la présidence luxembourgeoise du Conseil de l’UE au deuxième semestre 2015, le gouvernement luxembourgeois mettrait alors la question à l’agenda européen.

Le 11 février 2015, Félix Braz a pu être plus précis et a déclaré devant la commission juridique de la Chambre que "d’ici fin 2015, nous devrions avoir trouvé un compromis sur la conservation des données électroniques au sein du Conseil de l’UE", donc sous Présidence luxembourgeoise du Conseil.

Le projet de loi déposé en janvier 2015, qui prévoit une rétention générale des données pendant six mois, renforce l’encadrement de la rétention. Il se résume en cinq points principaux : 

1. une liste précise les 33 infractions pour lesquelles les autorités judiciaires peuvent avoir recours aux données de communication retenues par les opérateurs : les crimes et délits contre la sûreté de l’Etat, la participation à une organisation criminelle ou une association de malfaiteurs, le terrorisme, la traite des êtres humains, le trafic de migrants, l’enlèvement de mineurs, les attentats à la pudeur, le viol, le proxénétisme, l’exploitation sexuelle des enfants et pédopornographie, le trafic de stupéfiants et de substances psychotropes, le trafic d’armes, de munitions et d’explosifs, la corruption et trafic d’influence, les fraudes et abus de confiance, les infractions relatives à l’industrie, au commerce et aux enchères publiques, les  infractions aux articles 220 et 231 de la loi générale sur les douanes et accises, les infractions à l’article 32 de la loi du 9 mai 2006 relative aux abus de marché; le blanchiment des produits du crime et le recel, le faux-monnayage et la contrefaçon de monnaie, la cybercriminalité et les infractions en matière informatique, les infractions à l’article 48 de la loi du 14 août 2000 relative au commerce électronique, les infractions à l’article 11 de la loi du 30 mai 2005 relative aux dispositions spécifiques de protection de la personne à l’égard du traitement de données à caractère personnel dans le secteur des communications électroniques; les infractions contre l’environnement, l’aide à l’entrée et au séjour irréguliers, les homicides et coups et blessures volontaires, les trafic d’organes et de tissus humains, l’enlèvement, la séquestration et la prise d’otage, le harcèlement et les atteintes à la vie privée, le racisme, le révisionnisme, la discrimination et la xénophobie, le vol commis à l’aide de violences ou menaces et extorsion, le trafic illicite de biens culturels, y compris d’antiquités et d’œuvres d’art, l’escroquerie, la contrefaçon, la falsification de documents administratifs et l’usage de faux, le trafic illicite de substances hormonales et d’autres facteurs de croissance, le trafic illicite de matières nucléaires et radioactives, le vol commis sans violences ni menaces dans le cadre d’une association de malfaiteurs ou d’une organisation criminelle, l’incendie volontaire et les crimes relevant de la Cour pénale internationale ;
2. les données de communication devront être effacées au bout de six mois de manière irrémédiable et immédiate, sauf celles qui ont été accessibles et préservées légalement ;
3. les peines d’emprisonnement possibles en cas de non-respect de la loi sont augmentées et peuvent aller jusqu’à deux ans d’emprisonnement ;
4. les données retenues sur le territoire de l’Union européenne devront être conservées sur le territoire de l’Union ;
5.  un arrêt grand-ducal devra préciser les mesures à respecter par les opérateurs en pour assurer le respect de la confidentialité des données personnelles.

Un communiqué de la Chambre publié à la suite de la réunion de la commission juridique dit que "protéger la vie privée dans le secteur des communications électroniques est un sujet fortement discuté qui ne fait pas l'unanimité au sein du Parlement". La presse fait dans ce contexte surtout état des déclarations de Justin Turpel de Déi Lénk qui estime que  "le projet de loi de Félix Braz est contraire à l'arrêt de la CJUE".

Justin Turpel se réfère notamment à une étude commanditée par le groupe des Verts/ALE au Parlement européen et réalisée par deux chercheurs des universités de Münster et de Luxembourg. Selon cet étude, publiée le 23 juillet 2014, l’arrêt "Digital Rights" de la CJUE est un "arrêt clé" qui implique "des conséquences majeures" sur l’équilibre entre les droits relatifs à la protection des données et à la vie privée d'une part, et l'application de la loi dans l'UE et ses États membres, d'autre part. Les auteurs estiment que la conservation générale des données des personnes non suspectées en vue de leur réutilisation ultérieure à des fins d’application de la loi n'est pas conforme aux articles 7 et 8 de la Charte des droits fondamentaux car il n'est pas possible d'établir un lien entre les données conservées et une menace pour la sécurité publique.

Sans qu’il ne soit plus précis, le communiqué de la Chambre dit encore que "le sujet de la rétention des données reste encore flou". Et il fait ainsi le point sur le dossier : "d’une part le Ministère de la Justice attend de voir ce qui va se faire au niveau européen, et d’autre part le Conseil d’État n’a pas encore rendu son avis". Viviane Loschetter, Présidente de la Commission juridique a ainsi "proposé qu’une commission jointe avec la Commission de l’Enseignement supérieur, de la Recherche, des Médias, des Communications et de l’Espace soit organisée prochainement."