Je dois mettre mon organisation luxembourgeoise en conformité à l'article 56 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 56 encadre le traitement des données a caractère personnel par les autorités de supervision (CSSF, AES) dans le cadre de DORA, mais il a un effet miroir critique pour les entités financieres régulées : toutes les données que vous transmettez a la CSSF (registres de prestataires TIC, rapports d'incidents majeurs, résultats de TLPT, contrats d'externalisation) contiennent des données personnelles qui restent aussi sous votre responsabilité RGPD. Le piège sanctionné par la CSSF et la CNPD : transmettre a l'autorité des fichiers Excel non minimises, contenant des données RH, biometriques ou de santé d'employés et clients sans base légale documentee cote responsable du traitement.Les angles morts du flux 'entité réglementée vers CSSF'Rapports d'incidents TIC majeurs (article 19) contenant des identifiants de clients impactes, alors que la pseudonymisation est techniquement possible.Registres d'information sur les arrangements contractuels (article 28(3)) listant nominativement les administrateurs et responsables sécurité de chaque prestataire TIC.Résultats de tests de penetration TLPT incluant des captures d'ecran avec données reelles non masquees.Conservation cote entité reguliee au-dela de 15 ans alors que l'autorité, elle, est tenue par ce plafond : votre durée de conservation interne doit être justifiee separement au regard du RGPD.Absence d'information des personnes concernees (employés, clients) sur le fait que leurs données sont transmises a la CSSF, aux AES et potentiellement au JON (Joint Oversight Network).Transferts indirects hors UE quand l'AES partagé des elements avec une autorité tierce dans le cadre d'une cooperation : votre TIA doit anticiper ce scénario.Comment Luxgap automatise ce risqueNotre Luxgap Supervisory Data Shield intercepte chaque flux sortant vers la CSSF, l'EBA, l'ESMA ou l'EIOPA, et garantit que seules les données personnelles strictement nécessaires a la mission de supervision quittent votre SI. L'outil se branche en proxy applicatif entre vos systèmes sources (GRC, ITSM ServiceNow, registre d'incidents, plateformes TLPT) et les portails déclaratifs des autorités, en s'appuyant sur des règles de minimisation pre-calibrees DORA article par article.Detecte automatiquement les données personnelles non nécessaires dans chaque livrable réglementaire (rapport d'incident article 19, registre article 28, rapport TLPT article 26) via un moteur NER spécialisé finance.Applique une pseudonymisation reversible cote entité réglementée, avec coffre de re-identification scelle accessible uniquement sur requisition formelle de la CSSF.Genere automatiquement la mention d'information aux personnes concernees (employés, clients, contreparties) sur la transmission de leurs données aux AES, conforme aux articles 13-14 RGPD.Calcule pour chaque catégorie de données transmise la durée de conservation cote entité, distincte du plafond de 15 ans cote autorité, et purge automatiquement les copies locales.Produit un ...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 56

Protection des données

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Protection des données

1. Les AES et les autorités compétentes ne sont autorisées à traiter des données à caractère personnel que lorsque cela est nécessaire à l’accomplissement de leurs obligations et missions respectives en vertu du présent règlement, en particulier en matière d’enquête, d’inspection, de demande d’informations, de communication, de publication, d’évaluation, de vérification, d’évaluation et d’élaboration de plans de supervision. Les données à caractère personnel sont traitées conformément au règlement (UE) 2016/679 ou au règlement (UE) 2018/1725, selon le cas.

2. Sauf disposition contraire dans d’autres actes sectoriels, les données à caractère personnel visées au paragraphe 1 sont conservées jusqu’à l’accomplissement des missions de contrôle applicables et, en tout état de cause, pendant une période maximale de quinze ans, sauf dans le cas de procédures judiciaires en cours nécessitant la conservation de ces données pendant une période plus longue.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, le double contrôle CSSF/CNPD est explicite : la loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des données donne competence pleine a la CNPD sur les traitements opérés par les entités financieres, y compris ceux declenches par une obligation DORA. La CSSF, de son cote, applique la loi du 1er aout 2018 sur l'organisation du marche et peut exiger des données au titre de DORA sans purger l'obligation RGPD de l'établissement. Concretement, en cas de breach lors d'une transmission a la CSSF, vous etes notifiable a la CNPD sous 72h au titre de l'article 33 RGPD.

Pratique Luxgap : tracez separement les bases legales 'obligation legale article 6(1)(c) RGPD + DORA article 56' pour chaque flux sortant CSSF, et conservez la preuve de minimisation dans votre registre article 30 RGPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 56 encadre le traitement des données a caractère personnel par les autorités de supervision (CSSF, AES) dans le cadre de DORA, mais il a un effet miroir critique pour les entités financieres régulées : toutes les données que vous transmettez a la CSSF (registres de prestataires TIC, rapports d'incidents majeurs, résultats de TLPT, contrats d'externalisation) contiennent des données personnelles qui restent aussi sous votre responsabilité RGPD. Le piège sanctionné par la CSSF et la CNPD : transmettre a l'autorité des fichiers Excel non minimises, contenant des données RH, biometriques ou de santé d'employés et clients sans base légale documentee cote responsable du traitement.

Les angles morts du flux 'entité réglementée vers CSSF'

Rapports d'incidents TIC majeurs (article 19) contenant des identifiants de clients impactes, alors que la pseudonymisation est techniquement possible.
Registres d'information sur les arrangements contractuels (article 28(3)) listant nominativement les administrateurs et responsables sécurité de chaque prestataire TIC.
Résultats de tests de penetration TLPT incluant des captures d'ecran avec données reelles non masquees.
Conservation cote entité reguliee au-dela de 15 ans alors que l'autorité, elle, est tenue par ce plafond : votre durée de conservation interne doit être justifiee separement au regard du RGPD.
Absence d'information des personnes concernees (employés, clients) sur le fait que leurs données sont transmises a la CSSF, aux AES et potentiellement au JON (Joint Oversight Network).
Transferts indirects hors UE quand l'AES partagé des elements avec une autorité tierce dans le cadre d'une cooperation : votre TIA doit anticiper ce scénario.

Comment Luxgap automatise ce risque

Notre Luxgap Supervisory Data Shield intercepte chaque flux sortant vers la CSSF, l'EBA, l'ESMA ou l'EIOPA, et garantit que seules les données personnelles strictement nécessaires a la mission de supervision quittent votre SI. L'outil se branche en proxy applicatif entre vos systèmes sources (GRC, ITSM ServiceNow, registre d'incidents, plateformes TLPT) et les portails déclaratifs des autorités, en s'appuyant sur des règles de minimisation pre-calibrees DORA article par article.

Detecte automatiquement les données personnelles non nécessaires dans chaque livrable réglementaire (rapport d'incident article 19, registre article 28, rapport TLPT article 26) via un moteur NER spécialisé finance.
Applique une pseudonymisation reversible cote entité réglementée, avec coffre de re-identification scelle accessible uniquement sur requisition formelle de la CSSF.
Genere automatiquement la mention d'information aux personnes concernees (employés, clients, contreparties) sur la transmission de leurs données aux AES, conforme aux articles 13-14 RGPD.
Calcule pour chaque catégorie de données transmise la durée de conservation cote entité, distincte du plafond de 15 ans cote autorité, et purge automatiquement les copies locales.
Produit un journal cryptographiquement scelle de chaque transmission vers la CSSF, opposable lors d'un contrôle CNPD demontrant l'accountability article 5(2) RGPD sur le périmètre supervision.
Alerte en temps reel sur les flux de cooperation transfrontalière (JON, MoU avec autorités tierces) susceptibles de déclencher un transfert hors UE indirect.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre regulatoire. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux déclaratifs CSSF reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Protection des données

Ils nous font confiance

Avant de discuter