Je dois mettre mon organisation luxembourgeoise en conformité à l'article 55 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 55 protège les informations transmises à la CSSF et aux autres autorités compétentes, mais il a un effet miroir souvent ignoré : l'entité financière qui partagé avec la CSSF des informations sur ses prestataires TIC, ses incidents ou ses tests TLPT engage sa propre responsabilité contractuelle vis-à-vis de ces tiers. Les pièges sanctionnés sont la fuite involontaire via des canaux non chiffrés (email standard vers la CSSF), l'absence de marquage confidentiel au moment de la communication, et le partagé interne non tracé des échanges régulateur au sein du groupe. La CSSF attend une chaîne de custodie démontrable sur toute information échangée au titre de DORA.Les zones de friction concrètes avec la CSSFNotifications d'incidents majeurs (art. 19) : transmises via eDesk CSSF, elles contiennent des données opérationnelles sensibles (volumes, clients impactés, vulnérabilités exploitées) qui doivent rester confinées.Rapports TLPT (art. 26-27) : les red team reports détaillent vos failles exploitables ; leur diffusion interne doit être strictement need-to-know.Registre d'information sur les prestataires TIC (art. 28) : il révèle votre cartographie de dépendances, particulièrement sensible en cas de fuite vers un concurrent.Échanges avec les ESAs et le réseau JON : DORA prévoit un partagé entre CSSF, EBA, ESMA, EIOPA et les autorités NIS 2 ; chaque flux sortant doit être journalisé.Audits délégués : l'article 55(2) étend le secret aux experts mandatés par la CSSF ; vous devez exiger un NDA opposable avant toute mission sur site.Comment Luxgap automatise ce risqueNotre Luxgap Regulator Channel Vault sécurise et trace de bout en bout chaque échange entre votre entité financière et la CSSF, les ESAs ou les autorités NIS 2, en transformant la conformité au secret professionnel article 55 en preuve cryptographique opposable. L'outil intercepte les communications sortantes via connecteurs natifs M365, Outlook, eDesk CSSF et SharePoint, applique un chiffrement de bout en bout sur les pièces jointes réglementaires, et journalise chaque accès dans un registre scellé horodaté qui prouve, en cas de fuite, que la responsabilité ne vous incombe pas.Détecte automatiquement les documents DORA sortants (notification d'incident, rapport TLPT, registre prestataires TIC) via classification IA et impose un canal chiffré obligatoire avant envoi à la CSSF.Appose un marquage confidentiel article 55 DORA persistant sur chaque document, avec watermark cryptographique invisible permettant de tracer la source d'une fuite éventuelle.Journalise chaque consultation interne du document régulateur (qui, quand, depuis quelle IP, combien de temps) dans un registre immuable opposable en procédure judiciaire.Génère et fait signer électroniquement un NDA conforme article 55(2) à tout auditeur ou expert externe mandaté par la CSSF avant accès aux locaux ou aux systèmes.Alerte en temps réel sur Teams si une information marquée régulateur transite par un canal no...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 55

Secret professionnel

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Secret professionnel

1. Toute information confidentielle reçue, échangée ou transmise en vertu du présent règlement est soumise aux conditions relatives à l’obligation de secret professionnel énoncées au paragraphe 2.

2. L’obligation de secret professionnel s’applique à toutes les personnes qui travaillent, ou ont travaillé, pour les autorités compétentes en vertu du présent règlement, ou pour toute autorité, entreprise de marché ou personne physique ou morale à laquelle ces autorités compétentes ont délégué leurs pouvoirs, y compris les auditeurs et les experts qu’elles ont mandatés.

3. Les informations couvertes par le secret professionnel, y compris l’échange d’informations entre les autorités compétentes relevant du présent règlement et les autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, ne peuvent être divulguées à quelque autre personne ou autorité que ce soit, sauf en vertu de dispositions du droit de l’Union ou du droit national.

4. Toutes les informations que s’échangent les autorités compétentes au titre du présent règlement au sujet des conditions commerciales ou opérationnelles et d’autres questions économiques ou personnelles sont considérées comme confidentielles et sont soumises aux exigences du secret professionnel, sauf si l’autorité compétente précise, au moment où elle les communique, qu’elles peuvent être divulguées, ou si cette divulgation est nécessaire aux fins d’une procédure judiciaire.

Spécificité Luxembourg

loi luxembourgeoise du 17 mai 2024 portant mise en œuvre du règlement DORA et article 41 de la loi du 5 avril 1993 relative au secteur financier

Au Luxembourg, le secret professionnel des autorités compétentes au sens de l'article 55 DORA s'articule avec le secret professionnel bancaire de l'article 41 de la loi du 5 avril 1993 relative au secteur financier, qui s'applique à la CSSF elle-même et à ses agents. La loi du 17 mai 2024 portant transposition et mise en œuvre de DORA précise que la CSSF peut échanger avec l'ILR (autorité NIS 2 nationale) et avec le CERT gouvernemental sans rompre le secret, mais que toute transmission à un tiers non régulateur reste soumise à l'article 41 LSF.

Pratique Luxgap : exigez systématiquement de vos prestataires TIC une clause contractuelle reconnaissant que toute information remontée à la CSSF au titre de DORA est couverte par l'article 41 LSF, ce qui bloque toute action en responsabilité de leur part pour violation de confidentialité commerciale.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 55 protège les informations transmises à la CSSF et aux autres autorités compétentes, mais il a un effet miroir souvent ignoré : l'entité financière qui partagé avec la CSSF des informations sur ses prestataires TIC, ses incidents ou ses tests TLPT engage sa propre responsabilité contractuelle vis-à-vis de ces tiers. Les pièges sanctionnés sont la fuite involontaire via des canaux non chiffrés (email standard vers la CSSF), l'absence de marquage confidentiel au moment de la communication, et le partagé interne non tracé des échanges régulateur au sein du groupe. La CSSF attend une chaîne de custodie démontrable sur toute information échangée au titre de DORA.

Les zones de friction concrètes avec la CSSF

Notifications d'incidents majeurs (art. 19) : transmises via eDesk CSSF, elles contiennent des données opérationnelles sensibles (volumes, clients impactés, vulnérabilités exploitées) qui doivent rester confinées.
Rapports TLPT (art. 26-27) : les red team reports détaillent vos failles exploitables ; leur diffusion interne doit être strictement need-to-know.
Registre d'information sur les prestataires TIC (art. 28) : il révèle votre cartographie de dépendances, particulièrement sensible en cas de fuite vers un concurrent.
Échanges avec les ESAs et le réseau JON : DORA prévoit un partagé entre CSSF, EBA, ESMA, EIOPA et les autorités NIS 2 ; chaque flux sortant doit être journalisé.
Audits délégués : l'article 55(2) étend le secret aux experts mandatés par la CSSF ; vous devez exiger un NDA opposable avant toute mission sur site.

Comment Luxgap automatise ce risque

Notre Luxgap Regulator Channel Vault sécurise et trace de bout en bout chaque échange entre votre entité financière et la CSSF, les ESAs ou les autorités NIS 2, en transformant la conformité au secret professionnel article 55 en preuve cryptographique opposable. L'outil intercepte les communications sortantes via connecteurs natifs M365, Outlook, eDesk CSSF et SharePoint, applique un chiffrement de bout en bout sur les pièces jointes réglementaires, et journalise chaque accès dans un registre scellé horodaté qui prouve, en cas de fuite, que la responsabilité ne vous incombe pas.

Détecte automatiquement les documents DORA sortants (notification d'incident, rapport TLPT, registre prestataires TIC) via classification IA et impose un canal chiffré obligatoire avant envoi à la CSSF.
Appose un marquage confidentiel article 55 DORA persistant sur chaque document, avec watermark cryptographique invisible permettant de tracer la source d'une fuite éventuelle.
Journalise chaque consultation interne du document régulateur (qui, quand, depuis quelle IP, combien de temps) dans un registre immuable opposable en procédure judiciaire.
Génère et fait signer électroniquement un NDA conforme article 55(2) à tout auditeur ou expert externe mandaté par la CSSF avant accès aux locaux ou aux systèmes.
Alerte en temps réel sur Teams si une information marquée régulateur transite par un canal non autorisé (email personnel, WhatsApp, drive non managé).
Produit un rapport trimestriel horodaté de tous les échanges CSSF, opposable lors d'un contrôle ou d'un contentieux avec un prestataire TIC dont les données auraient été partagées.

Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre flux réel d'échanges CSSF, avec un audit blanc gratuit sous 48h pour mesurer votre exposition actuelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Secret professionnel

Ils nous font confiance

Avant de discuter