Je dois mettre mon organisation luxembourgeoise en conformité au considérant 82 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant ouvre une porté que beaucoup d'entités financieres luxembourgeoises interpretent mal : oui, le prestataire TIC critique peut continuer a héberger et traiter vos données hors UE même après désignation par les ESAs, mais cela ne vous dispense en rien de votre propre analyse de risque transfert. La CSSF, lors de ses contrôles sur les arrangements d'externalisation cloud, sanctionné régulièrement les entités qui confondent absence d'obligation de localisation DORA et absence d'analyse Schrems II. Le RGPD continue de s'appliquer en parallele, et la circulaire CSSF 22/806 impose toujours une évaluation géographique des données traitées.L'articulation DORA / RGPD / circulaire 22/806 : trois regimes, une seule réalitéLe considérant 82 cree une asymetrie qu'il faut comprendre pour eviter les sanctions croisees :DORA n'impose pas la localisation UE des données ni du traitement, même pour les prestataires TIC critiques désignés.Le RGPD impose une base de transfert (article 46), un TIA documente et le respect du Data Privacy Framework si transfert vers les Etats-Unis.La circulaire CSSF 22/806 impose une analyse pre-outsourcing avec évaluation de la juridiction d'hébergement et des risques d'accès gouvernementaux (FISA 702, CLOUD Act).Le considérant 82 ne neutralise PAS les exigences sectorielles : les données soumises au secret professionnel bancaire (article 41 LSF) restent soumises a leur propre regime.L'absence d'obligation de localisation ne signifié pas absence d'obligation de traceabilite : vous devez savoir, en permanence, ou vos données sont effectivement traitées.Comment Luxgap automatise ce risqueNotre Luxgap Data Residency Radar ferme definitivement le sujet de la traceabilite géographique des traitements TIC en transformant la cartographie statique de vos flux en surveillance continue, region par region, datacenter par datacenter. L'outil se connecte aux API natives de vos hyperscalers (AWS Config, Azure Resource Graph, GCP Asset Inventory), de votre stack M365 (Multi-Geo, Customer Lockbox logs) et de votre CMDB pour reconstituer en temps reel la geographie reelle de vos workloads critiques, pas celle declaree dans les contrats.Detecte tout deplacement de workload ou de données vers une region non autorisee via webhooks AWS CloudTrail, Azure Activity Log et GCP Cloud Audit Logs, avec alerte Teams sous 5 minutes.Croise chaque traitement TIC critique avec sa base juridique de transfert RGPD (CCT 2021/914, BCR, derogation article 49) et signale les bases manquantes ou expirees.Genere automatiquement le Transfer Impact Assessment Schrems II par pays de destination, incluant l'analyse FISA 702, EO 12333, CLOUD Act et le statut Data Privacy Framework du prestataire.Produit le registre d'externalisation conforme a la circulaire CSSF 22/806 avec geographie reelle des sous-traitants en cascade (votre SaaS hébergé sur AWS Frankfurt qui replique vers AWS Dublin qui sauvegarde vers AWS US-East).Emet un rapport PDF horodate...

Considérant 82 DORA — Considérant 82

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 82

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(82)

L’obligation de créer une filiale dans l’Union ne devrait pas empêcher le prestataire tiers critique de services TIC de fournir des services TIC et un appui technique connexe à partir d’installations et d’infrastructures situées en dehors de l’Union. Le présent règlement n’impose pas une localisation des données étant donné qu’il n’exige pas que le stockage ou le traitement des données soit effectué dans l’Union.

Spécificité Luxembourg

circulaire CSSF 22/806 et loi du 1er juin 2023, lue en combinaison avec l'article 41 de la loi modifiee du 5 avril 1993 relative au secteur financier

Au Luxembourg, la CSSF est l'autorité competente DORA pour le secteur financier et applique en parallele la circulaire CSSF 22/806 sur les arrangements d'externalisation, qui impose une notification préalable et une analyse de la juridiction d'hébergement pour toute externalisation cloud critique ou importante. La loi du 1er juin 2023 mettant en œuvre certaines dispositions sectorielles complète le dispositif sans contredire l'absence d'obligation de localisation DORA, mais l'article 41 de la LSF (secret professionnel bancaire) conserve sa primaute pour les données clients des établissements de crédit luxembourgeois.

Pratique Luxgap : pour toute entité supervisee CSSF, nous documentons systématiquement la double conformité DORA / circulaire 22/806 et nous traitons le secret professionnel LSF comme contrainte de localisation de facto, même la ou DORA reste silencieux.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant ouvre une porté que beaucoup d'entités financieres luxembourgeoises interpretent mal : oui, le prestataire TIC critique peut continuer a héberger et traiter vos données hors UE même après désignation par les ESAs, mais cela ne vous dispense en rien de votre propre analyse de risque transfert. La CSSF, lors de ses contrôles sur les arrangements d'externalisation cloud, sanctionné régulièrement les entités qui confondent absence d'obligation de localisation DORA et absence d'analyse Schrems II. Le RGPD continue de s'appliquer en parallele, et la circulaire CSSF 22/806 impose toujours une évaluation géographique des données traitées.

L'articulation DORA / RGPD / circulaire 22/806 : trois regimes, une seule réalité

Le considérant 82 cree une asymetrie qu'il faut comprendre pour eviter les sanctions croisees :

DORA n'impose pas la localisation UE des données ni du traitement, même pour les prestataires TIC critiques désignés.
Le RGPD impose une base de transfert (article 46), un TIA documente et le respect du Data Privacy Framework si transfert vers les Etats-Unis.
La circulaire CSSF 22/806 impose une analyse pre-outsourcing avec évaluation de la juridiction d'hébergement et des risques d'accès gouvernementaux (FISA 702, CLOUD Act).
Le considérant 82 ne neutralise PAS les exigences sectorielles : les données soumises au secret professionnel bancaire (article 41 LSF) restent soumises a leur propre regime.
L'absence d'obligation de localisation ne signifié pas absence d'obligation de traceabilite : vous devez savoir, en permanence, ou vos données sont effectivement traitées.

Comment Luxgap automatise ce risque

Notre Luxgap Data Residency Radar ferme definitivement le sujet de la traceabilite géographique des traitements TIC en transformant la cartographie statique de vos flux en surveillance continue, region par region, datacenter par datacenter. L'outil se connecte aux API natives de vos hyperscalers (AWS Config, Azure Resource Graph, GCP Asset Inventory), de votre stack M365 (Multi-Geo, Customer Lockbox logs) et de votre CMDB pour reconstituer en temps reel la geographie reelle de vos workloads critiques, pas celle declaree dans les contrats.

Detecte tout deplacement de workload ou de données vers une region non autorisee via webhooks AWS CloudTrail, Azure Activity Log et GCP Cloud Audit Logs, avec alerte Teams sous 5 minutes.
Croise chaque traitement TIC critique avec sa base juridique de transfert RGPD (CCT 2021/914, BCR, derogation article 49) et signale les bases manquantes ou expirees.
Genere automatiquement le Transfer Impact Assessment Schrems II par pays de destination, incluant l'analyse FISA 702, EO 12333, CLOUD Act et le statut Data Privacy Framework du prestataire.
Produit le registre d'externalisation conforme a la circulaire CSSF 22/806 avec geographie reelle des sous-traitants en cascade (votre SaaS hébergé sur AWS Frankfurt qui replique vers AWS Dublin qui sauvegarde vers AWS US-East).
Emet un rapport PDF horodate et cryptographiquement scelle, opposable a la CSSF lors d'un contrôle SREP ou d'une inspection thematique cloud, demontrant la maîtrise continue de la résidence des données.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos workloads reels, avec un scan gratuit sous 48h pour cartographier la geographie effective de vos traitements TIC critiques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 82

Ils nous font confiance

Avant de discuter