AI Act · NIS 2 · RGPD · DORA · Whistleblowing

Vos obligations légales, sans le jargon.

Cinq textes structurent aujourd'hui la conformité numérique au Luxembourg. Voici, pour chacun, qui est concerné, les obligations clés, les échéances et les sanctions. Si vous voulez savoir précisément ce qui s'applique à vous, configurez votre devis ou écrivez-nous.

Configurer mon devis → Nous contacter

🛡️ RGPD, Règlement Général sur la Protection des Données

Concernés: Toute organisation qui traite des données personnelles de résidents européens. Aucune exception de taille.
Obligations: Tenue d'un registre des traitements, désignation d'un DPO si traitement à grande échelle, AIPD pour les traitements à risque, notification des violations sous 72h, droits des personnes.
Échéance: En vigueur depuis mai 2018. La CNPD luxembourgeoise contrôle activement.
Sanctions: Jusqu'à 20 M€ ou 4 % du CA mondial. Plus de 30 M€ d'amendes prononcées au Luxembourg.

Comment Luxgap aide : Notre mandat DPO externalisé couvre toutes ces obligations.

Tout savoir sur cette loi →

⚔️ NIS 2, Sécurité des réseaux et systèmes d'information

Concernés: Entités essentielles ou importantes : énergie, transport, banque, santé, eau, infrastructures numériques, postes, gouvernement, recherche, fabrication, agroalimentaire (plus de 50 salariés ou 10 M€ CA).
Obligations: Politique de gestion des risques cyber, désignation d'un responsable sécurité, formation des dirigeants, reporting d'incidents sous 24h, sécurisation de la supply chain.
Échéance: Transposée au Luxembourg en 2024. Les contrôles ILR/HCPN ont commencé.
Sanctions: Jusqu'à 10 M€ ou 2 % du CA mondial. Responsabilité personnelle des dirigeants pour défaut de gouvernance.

Comment Luxgap aide : Notre mandat CISO externalisé prend en charge l'ensemble du dispositif.

Tout savoir sur cette loi →

🏦 DORA, Digital Operational Resilience Act

Concernés: Secteur financier : banques, assurances, gestionnaires d'actifs, fonds, infrastructures de marché, PSAN crypto, dépositaires, prestataires informatiques critiques de ces entités.
Obligations: Cadre de gestion des risques ICT, registre des incidents, tests de résilience (TLPT pour les acteurs critiques), gestion des tiers ICT critiques avec clauses obligatoires, reporting au régulateur.
Échéance: Applicable depuis le 17 janvier 2025. La CSSF luxembourgeoise a publié ses circulaires.
Sanctions: Sanctions pécuniaires graduées par la CSSF, jusqu'à retrait de l'agrément en cas de manquement majeur.

Comment Luxgap aide : Gap analysis DORA + mise en conformité (BCP, registre incidents, registre des tiers).

Tout savoir sur cette loi →

🤖 AI Act, Règlement européen sur l'IA

Concernés: Tout fournisseur, déployeur, importateur ou distributeur de systèmes d'IA en Europe. Champ d'application extraterritorial (un fournisseur hors UE qui met son IA sur le marché européen est concerné).
Obligations: Interdiction des pratiques inacceptables (notation sociale, manipulation), exigences strictes pour les IA à haut risque (biométrie, RH, crédit, justice, infrastructures), obligations de transparence pour l'IA générative, gouvernance des modèles fondationnels.
Échéance: Échéances échelonnées : interdictions en vigueur depuis février 2025, obligations transparence août 2026, IA haut risque août 2027.
Sanctions: Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, sanctions plus sévères que le RGPD.

Comment Luxgap aide : Notre accompagnement IA inclut le cadrage AI Act, la cartographie de vos systèmes, et le plan de conformité.

Tout savoir sur cette loi →

🔔 Whistleblowing, Lanceurs d'alerte

Concernés: Toute organisation publique ou privée de plus de 50 salariés.
Obligations: Mise en place d'un canal interne de signalement, garantie de confidentialité du lanceur, traitement des alertes sous 3 mois, retour d'information.
Échéance: Loi luxembourgeoise du 16 mai 2023, en vigueur. Contrôle par l'Office des lanceurs d'alerte.
Sanctions: Jusqu'à 250 000 € pour l'organisation, sanctions personnelles pour les dirigeants en cas de représailles.

Comment Luxgap aide : Mise en place du canal externalisé, formation des référents, reporting annuel.

Tout savoir sur cette loi →

Vous voulez savoir précisément ce qui s'applique à vous ?

Configurez votre devis en cochant les obligations qui vous concernent, nous revenons vers vous avec un plan d'action chiffré sous 24 h ouvrées.

Configurer mon devis →