← Tous les articles

consultant

Sous-traitants: CNPD (art. 28 RGPD) vs CSSF 22/806 — deux niveaux à contracter

La mise à jour CSSF du 9 avril 2025 élargit l’écart avec l’approche CNPD/EDPB: au‑delà du DPA RGPD, les entités financières doivent prévoir des clauses d’accès/audit, notifications, réversibilité et exigences cloud.

Fait déclencheur. Le 9 avril 2025, la CSSF a mis à jour la circulaire 22/806 via la circulaire 25/883. Conséquence: pour les entités financières, un DPA conforme à l’article 28 RGPD ne suffit plus; un socle contractuel additionnel est requis en matière d’accès/audit, notification, réversibilité et cloud. Voir la page officielle « Circulaire CSSF 22/806 (modifiée par 25/883) »: cssf.lu.

L’affaire

La 22/806 encadre l’externalisation (y compris TIC et cloud) « en sus » des obligations du RGPD. La page CSSF renvoie au texte consolidé et à la circulaire 25/883. Sources principales: CSSF — page 22/806 et CSSF — PDF 22/806. Côté protection des données, la CNPD publie l’article 28 RGPD et renvoie aux lignes directrices de l’EDPB: CNPD — Chapitre IV et EDPB — Guidelines 07/2020.

Pour un cadrage RGPD général, consultez notre page références RGPD et obligations de l’article 28. Pour le contexte prudentiel, voir le cadre DORA et la résilience opérationnelle.

Le raisonnement juridique

1) Le socle CNPD/EDPB — Article 28 RGPD

  • Contrat obligatoire entre responsable et sous-traitant couvrant 28(3)(a) à (h): instructions, confidentialité, sécurité (art. 32), sous-traitance ultérieure (28(2) et (4)), assistance droits et conformité (32–36), fin de contrat (effacement/restitution), informations et droit d’audit (28(3)(h)). Sources: CNPD — Article 28; EDPB — Guidelines 07/2020.
  • L’EDPB exige un contrat concret qui détaille le « comment » de la mise en œuvre, et non une simple reprise du texte légal.

2) Le « sur-ensemble » CSSF — 22/806 (mod. 25/883)

  • Droits d’accès et d’audit effectifs pour l’entité, ses auditeurs, l’autorité et des tiers mandatés; fréquence et périmètre adaptés au risque (points 90–94, Section 4.3.2.3). Source: 22/806 PDF.
  • Exigences TIC/Cloud additionnelles (Part II): définitions, « cloud officer », séparation de fonctions, maîtrise de la chaîne, notifications préalables pour certains montages (points 114–119, 140–142; 141 a) et suiv.). Source: 22/806 PDF.
  • Réversibilité et exit plan gouvernés: critères mesurables, indicateurs et déclencheurs d’exit (points 104–110; 4.3.3). Source: 22/806 PDF.
  • La page CSSF confirme l’actualisation 2025 et l’articulation avec DORA; les attentes d’accès/audit et de gouvernance restent élevées. Source: CSSF — page 22/806.

Position divergente

  • CNPD/EDPB: focus sur le « quoi » du contrat (art. 28(3)) et la qualification des rôles; pas de canevas prudentiel sectoriel. Sources: CNPD — art. 28; EDPB — Guidelines 07/2020.
  • CSSF: prescrit le « comment » prudentiel: droit d’audit non réductible, registres, criticité, notifications cloud, exit plan mesuré, organisation (« cloud officer »), maîtrise du rang 2+. Source: 22/806 PDF.

Ce que ça change concrètement

  • Entités supervisées CSSF: compléter le DPA par des annexes 22/806: accès/audit sans entrave (90–94), cartographie de la chaîne, criticité et notifications (141 a)), réversibilité prouvable (4.3.3), exigences cloud (définitions, « cloud officer », restrictions d’accès). Source: 22/806 PDF. Pour structurer ces clauses, l’appui d’un CISO externalisé pour le pilotage cyber peut accélérer la mise en conformité.
  • Entités non supervisées: la barre reste l’article 28 RGPD et la doctrine EDPB: assistance aux droits, SLA de notification d’incident, procédures de fin de contrat, droit d’audit exerçable. Références: CNPD — art. 28; EDPB — Guidelines 07/2020. Un mandat DPO certifié pour cadrer l’article 28 est souvent déterminant.

Exemples types

  • SaaS RH pour une banque: au‑delà du DPA, prévoir droit d’audit sur site ou mutualisé, information et droit d’opposition aux changements de sous‑traitants, réversibilité testée (export + preuves d’effacement), notification préalable si la fonction est critique et en cloud (141 a)). Source: 22/806 PDF.
  • Archivage réglementaire en cloud public: définir le « cloud officer », restreindre l’accès du provider, interdire l’intervention manuelle hors cas listés, revue de sécurité annuelle (Chapitre 2, points ~1932–1949). Source: 22/806 PDF.

Pièges fréquents

  1. Limiter l’audit aux seuls SOC/ISO sans réserver un véritable droit d’accès. La 22/806 exige que l’accord n’entrave pas l’exercice des droits d’accès/audit, y compris pour l’autorité (points 92–94). Source: 22/806 PDF.
  2. Oublier la sous‑traitance en chaîne: autorisation (28(2)–(4)) et « mêmes obligations »; la 22/806 ajoute des notifications et conditions en cloud (141 b)–c)). Sources: CNPD — Chapitre IV; 22/806 PDF.
  3. Ne pas formaliser la réversibilité: le RGPD impose effacement/restitution (28(3)(g)); la 22/806 exige critères, indicateurs et déclencheurs (4.3.3). Source: EDPB — Guidelines 07/2020.
  4. Confondre DPA et externalisation prudentielle: un DPA EDPB ne couvre pas seul notifications préalables, gouvernance cloud (« cloud officer ») ou restrictions d’accès provider (Part II). Source: EDPB — Guidelines 07/2020.
  5. Droit d’opposition aux changements de sous‑traitants mal opérationnalisé: l’EDPB requiert une information effective; en pratique CSSF, aligner avec le registre et la criticité (EDPB 07/2020; 22/806 Part I). Sources: EDPB — Guidelines 07/2020; 22/806 PDF.

En synthèse

Le RGPD (CNPD/EDPB) fixe le noyau du contrat article 28; la CSSF (22/806 modifiée 25/883) ajoute une couche prudentielle structurante — droits d’accès/audit, cloud, notifications, réversibilité — à intégrer en plus du DPA. Les audits de conformité des acteurs supervisés vérifient désormais ces deux étages. Pour un accompagnement opérationnel, contactez notre équipe.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →