CNPD 16/12/2025: registre RGPD article 30 insuffisant sanctionné

Fait marquant: le 16 décembre 2025, la CNPD a sanctionné une société luxembourgeoise (décision n° 7FR/2025) pour un registre des activités de traitement incomplet, avec une amende de 7 000 € et des injonctions de mise en conformité. La décision détaille les attentes concrètes pour un registre dit « ROPA » et la méthode de calcul des amendes.

L’affaire

Le 16/12/2025, la CNPD (formation restreinte) a retenu des informations insuffisantes dans plusieurs fiches du registre (points a), c), d) et e) de l’article 30 du RGPD) et a infligé 7 000 €. Les corrections partielles opérées en 2025 se sont révélées incomplètes pour certaines fiches. Voir la fiche publique et le PDF pseudonymisé: Registre des activités de traitement – Informations insuffisantes et Délibération n° 7FR/2025 (PDF).

Le raisonnement juridique

Base légale

L’article 30 du RGPD impose de documenter: a) identité/coordonnées (incluant, le cas échéant, le DPO), b) finalités, c) catégories de personnes et de données, d) catégories de destinataires, e) transferts hors UE (pays tiers et garanties/derogations art. 49(1)), f) délais d’effacement, g) description générale des mesures de sécurité (art. 32(1)). Texte officiel: EUR‑Lex, Article 30 RGPD.

Interprétation par la CNPD

La décision recense des lacunes matérielles: destinataires mal identifiés, catégories de données imprécises, et surtout des transferts vers des pays tiers non détaillés (absence d’identification des pays concernés sur plusieurs fiches). Certaines irrégularités persistent malgré des corrections en février/avril 2025 (ex. « General customer & supplier contract & relationship management »). Voir §§ 113‑123 du PDF.

Méthodologie de calcul de l’amende

La CNPD applique la méthode harmonisée du CEPD (EDPB Guidelines 04/2022) en cinq étapes: qualification (art. 83(4)-(6)), point de départ, facteurs aggravants/atténuants, plafonds légaux, et test d’effectivité/proportionnalité/dissuasion (art. 83(1)). Références: lignes directrices CEPD, version finale 24/05/2023 et rappel aux §§ 85 s., 107 de la décision.

Lignes directrices et outils CNPD

La CNPD publie un modèle d’illustration de registre (associations) listant explicitement les rubriques attendues, dont « délais d’effacement » et « mesures de sécurité organisationnelles et techniques »: guidance CNPD et modèle de registre. La page « Registre des activités de traitement – Professionnels » récapitule les mentions exigées et l’exception < 250 employés (art. 30(5)).

Ce que ça change concrètement

• Le registre n’est pas un simple inventaire. La CNPD vérifie fiche par fiche. Pour les transferts hors UE, ne pas se contenter d’un oui/non: préciser le pays tiers, le fondement (SCC, BCR, décision d’adéquation, art. 49) et, le cas échéant, les garanties complémentaires. Voir la décision et l’art. 30(1)(e).
• Délais d’effacement et mesures de sécurité doivent être renseignés de façon opérationnelle (« dans la mesure du possible », art. 30(1)(f)-(g)). Le modèle CNPD illustre des valeurs cibles utiles.
• Outils SaaS: la CNPD examine la substance, pas l’outil. Un export exploitable peut être demandé lors d’une visite sur place. Voir la constatation sur le registre « disponible sur une application en ligne » dans le PDF.
• Calcul de l’amende: méthode CEPD appliquée. Même pour un manquement jugé de gravité faible, l’amende doit rester effective et dissuasive.

Pour renforcer votre dispositif et la conformité CNPD au Luxembourg, l’appui d’un mandat DPO peut accélérer la mise à niveau du registre et la documentation des transferts.

Cas d’application

• Groupe avec filiales hors UE: chaque fiche « clients/fournisseurs » doit préciser les flux (CRM, support, ticketing), identifier les pays tiers et le mécanisme (SCC 2021/914, DPF si applicable aux États‑Unis, clauses ad hoc), éventuellement via une cartographie des transferts. La CNPD a pointé des fiches « marketing support materials », « technical data exchanges », « ticketing system » incomplètes.
• Banque/PSF sous-traitant cloud intra-UE mais support N1/N2 hors UE: documenter support, télémétrie, journaux, observabilité si des accès/traitements hors UE sont possibles, avec pays tiers et garanties.
• Secteur public/para-public: l’exception < 250 salariés est cumulative et rarement remplie; la CNPD recommande un registre dans tous les cas pour la démonstration de conformité.

Pièges fréquents

1. Transferts hors UE « à compléter plus tard ». Rejeté par la CNPD: pays tiers et mécanisme doivent figurer au moment du traitement. Voir la remarque sur la suppression inopportune de la mention de transfert.
2. Catégories de données trop vagues. Préciser par sous‑catégories (identité, coordonnées, données financières, santé, etc.), comme dans le modèle CNPD.
3. Destinataires non identifiés. Aller au-delà de « prestataires » ou « services internes »: préciser éditeur/intégrateur/filiale/service et distinguer UE/hors UE.
4. Délais d’effacement absents. Indiquer une règle métier (ex. 2 ans après fin de relation; 10 ans obligations comptables), au besoin via une politique de conservation.
5. Mesures de sécurité génériques. Décrire des mesures concrètes (contrôles d’accès, chiffrement, journalisation/traçabilité, tests, sauvegardes), cohérentes avec l’art. 32. Un DPO certifié peut coordonner avec le RSSI et les métiers.

Sources officielles

• CNPD — Délibération n° 7FR/2025 du 16/12/2025 (fiche et décision pseudonymisée): page décision et PDF
• RGPD — Article 30: EUR‑Lex (texte consolidé)
• CEPD (EDPB) — Guidelines 04/2022 on the calculation of administrative fines (24/05/2023)
• CNPD — Registre des activités de traitement – Professionnels
• CNPD — Modèle de registre (associations) et guidance

En 2026, sécurisez vos fiches « transferts » (pays/mécanismes), affinez catégories/destinataires, et ancrez délais d’effacement/mesures de sécurité. C’est aussi votre meilleure défense en cas de contrôle CNPD.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.