Je dois mettre mon organisation luxembourgeoise en conformité au considérant 63 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 63 enonce un principe que beaucoup d'integrateurs IA oublient : la conformité AI Act ne dispense JAMAIS de la conformité RGPD, ni du respect du droit national sur les polygraphes, la reconnaissance emotionnelle ou les analyses comportementales. La CNPD luxembourgeoise sanctionné deja des deploiements IA ou le responsable s'est cache derrière une logique 'on est conforme AI Act donc on peut traiter'. C'est faux : il faut cumulativement une base légale RGPD (article 6), une condition de levee d'interdiction pour les données sensibles (article 9), et le respect des exigences AI Act. L'AI Act n'est pas une base juridique de traitement.Le test de double conformité : les 4 questions a se poser avant tout deploiementBase légale RGPD : quelle base de l'article 6 RGPD justifie le traitement (consentement, contrat, obligation légale, intérêt légitime après LIA) ? L'AI Act ne fournit aucune base par lui-meme.Données sensibles (article 9 RGPD) : le système traite-t-il des données biometriques, de santé, syndicales, d'orientation sexuelle, d'opinions ? Si oui, quelle exception de l'article 9(2) est mobilisee ?Reconnaissance emotionnelle : le système detecte-t-il l'état emotionnel ? Au-dela de l'interdiction AI Act sur lieux de travail et établissements d'enseignement (article 5), tout autre usage reste soumis au RGPD et a la Charte. La CJUE applique un contrôle strict de proportionnalite.Droit national : existe-t-il des dispositions luxembourgeoises spécifiques (Code du travail sur la surveillance des salariés, secret professionnel sectoriel CSSF, secret médical) qui prevalent ?La hierarchie des normes a documenter dans l'AIPDConcretement, votre Fundamental Rights Impact Assessment (FRIA, article 27 AI Act) et votre AIPD article 35 RGPD doivent être conjointes et démontrer que chaque couche de droit est respectee : Charte des droits fondamentaux, RGPD, droit national, puis AI Act. Si l'une echoue, le deploiement est illicite, même si les trois autres sont conformes.Comment Luxgap automatise ce risqueNotre Luxgap AI Légal Stack Validator rend impossible le deploiement d'un système IA qui serait conforme AI Act mais illicite au regard du RGPD ou du droit national luxembourgeois. L'outil execute un contrôle multi-couches automatise : pour chaque cas d'usage IA declare, il interroge en parallele les bases légales RGPD documentees dans votre registre article 30, les exceptions article 9 mobilisees, les contraintes du Code du travail luxembourgeois (surveillance des salariés, article L.261-1), les obligations sectorielles CSSF/CAA/ILR, et les exigences AI Act applicables.Detecte automatiquement les systèmes IA deployes dans votre SI (Azure OpenAI, AWS Bedrock, Google Vertex, Hugging Face self-hosted, plugins M365 Copilot) en croisant Azure AD, factures cloud et logs API.Classifie chaque cas d'usage selon la grille AI Act (interdit, haut risque, risque limite, minimal) ET selon la grille RGPD (base légale, données sensibles, décis...

Considérant 63 AI Act — Considérant 63

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 63

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(63)

Le fait qu’un système d’IA soit classé comme étant à haut risque au titre du présent règlement ne devrait pas être interprété comme indiquant que l’utilisation du système est licite au titre d’autres actes législatifs de l’Union ou au titre du droit national compatible avec le droit de l’Union, concernant notamment la protection des données à caractère personnel ou l’utilisation de polygraphes et d’instruments similaires ou d’autres systèmes d’analyse de l’état émotionnel des personnes physiques. Toute utilisation de ce type devrait continuer à être subordonnée aux exigences applicables découlant de la Charte et des actes applicables du droit dérivé de l’Union et du droit national. Le présent règlement ne saurait être considéré comme constituant un fondement juridique pour le traitement des données à caractère personnel, y compris des catégories particulières de données à caractère personnel, le cas échéant, sauf disposition contraire expresse du présent règlement.

Spécificité Luxembourg

Code du travail luxembourgeois, article L.261-1 ; loi du 1er aout 2018 portant organisation de la CNPD

Au Luxembourg, la surveillance des salariés par des systèmes IA (analyse de productivité, scoring de performance, détection emotionnelle) est encadree par l'article L.261-1 du Code du travail qui impose une information préalable de la delegation du personnel, une autorisation de la CNPD dans certains cas, et un test de proportionnalite stricte. La CNPD a publie en 2018 des lignes directrices sur la surveillance des salariés qui restent applicables aux outils IA modernes. La loi du 1er aout 2018 portant organisation de la CNPD confirme sa competence sur tout traitement de données personnelles, y compris ceux opérés par des systèmes IA classes haut risque au sens de l'AI Act.

Pratique Luxgap : avant tout deploiement IA touchant des salariés luxembourgeois, nous executons systématiquement la triple vérification L.261-1 + RGPD + AI Act, et nous informons formellement la delegation du personnel par ecrit horodate avant le go-live.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 63 enonce un principe que beaucoup d'integrateurs IA oublient : la conformité AI Act ne dispense JAMAIS de la conformité RGPD, ni du respect du droit national sur les polygraphes, la reconnaissance emotionnelle ou les analyses comportementales. La CNPD luxembourgeoise sanctionné deja des deploiements IA ou le responsable s'est cache derrière une logique 'on est conforme AI Act donc on peut traiter'. C'est faux : il faut cumulativement une base légale RGPD (article 6), une condition de levee d'interdiction pour les données sensibles (article 9), et le respect des exigences AI Act. L'AI Act n'est pas une base juridique de traitement.

Le test de double conformité : les 4 questions a se poser avant tout deploiement

Base légale RGPD : quelle base de l'article 6 RGPD justifie le traitement (consentement, contrat, obligation légale, intérêt légitime après LIA) ? L'AI Act ne fournit aucune base par lui-meme.
Données sensibles (article 9 RGPD) : le système traite-t-il des données biometriques, de santé, syndicales, d'orientation sexuelle, d'opinions ? Si oui, quelle exception de l'article 9(2) est mobilisee ?
Reconnaissance emotionnelle : le système detecte-t-il l'état emotionnel ? Au-dela de l'interdiction AI Act sur lieux de travail et établissements d'enseignement (article 5), tout autre usage reste soumis au RGPD et a la Charte. La CJUE applique un contrôle strict de proportionnalite.
Droit national : existe-t-il des dispositions luxembourgeoises spécifiques (Code du travail sur la surveillance des salariés, secret professionnel sectoriel CSSF, secret médical) qui prevalent ?

La hierarchie des normes a documenter dans l'AIPD

Concretement, votre Fundamental Rights Impact Assessment (FRIA, article 27 AI Act) et votre AIPD article 35 RGPD doivent être conjointes et démontrer que chaque couche de droit est respectee : Charte des droits fondamentaux, RGPD, droit national, puis AI Act. Si l'une echoue, le deploiement est illicite, même si les trois autres sont conformes.

Comment Luxgap automatise ce risque

Notre Luxgap AI Légal Stack Validator rend impossible le deploiement d'un système IA qui serait conforme AI Act mais illicite au regard du RGPD ou du droit national luxembourgeois. L'outil execute un contrôle multi-couches automatise : pour chaque cas d'usage IA declare, il interroge en parallele les bases légales RGPD documentees dans votre registre article 30, les exceptions article 9 mobilisees, les contraintes du Code du travail luxembourgeois (surveillance des salariés, article L.261-1), les obligations sectorielles CSSF/CAA/ILR, et les exigences AI Act applicables.

Detecte automatiquement les systèmes IA deployes dans votre SI (Azure OpenAI, AWS Bedrock, Google Vertex, Hugging Face self-hosted, plugins M365 Copilot) en croisant Azure AD, factures cloud et logs API.
Classifie chaque cas d'usage selon la grille AI Act (interdit, haut risque, risque limite, minimal) ET selon la grille RGPD (base légale, données sensibles, décision automatisée article 22).
Alerte en temps reel via Teams lorsqu'un nouveau prompt envoie des données sensibles vers un LLM sans base légale article 9 RGPD documentee.
Genere une FRIA-AIPD conjointe prerempile qui démontré la conformité cumulative aux quatre couches : Charte, RGPD, droit luxembourgeois, AI Act.
Bloque ou signale les usages a haut risque emotionnel (recrutement assiste, évaluation des salariés, scoring clients) qui necessitent un examen renforce.
Produit un rapport PDF horodate, opposable a la CNPD et a la future autorité IA luxembourgeoise, demontrant que chaque deploiement IA a passe le test de double conformité.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre IA. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes IA reels, avec un scan gratuit sous 48h pour cartographier votre exposition cumulee AI Act + RGPD avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 63

Ils nous font confiance

Avant de discuter