Infractions donnant lieu à une violation de données à caractère personnel
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Infractions donnant lieu à une violation de données à caractère personnel
1. Lorsque les autorités compétentes prennent connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 21 et 23 de la présente directive peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent sans retard injustifié les autorités de contrôle visées à l’article 55 ou 56 dudit règlement.
2. Lorsque les autorités de contrôle visées à l’article 55 ou 56 du règlement (UE) 2016/679 imposent une amende administrative en vertu de l’article 58, paragraphe 2, point i), dudit règlement, les autorités compétentes n’imposent pas d’amende administrative au titre de l’article 34 de la présente directive pour une violation visée au paragraphe 1 du présent article et découlant du même comportement que celui qui a fait l’objet d’une amende administrative au titre de l’article 58, paragraphe 2, point i), du règlement (UE) 2016/679. Les autorités compétentes peuvent toutefois imposer les mesures d’exécution prévues à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g), de la présente directive.
3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans son propre État membre de la violation potentielle de données à caractère personnel visée au paragraphe 1.
Au Luxembourg, l'autorité compétente NIS 2 est l'ILR (Institut Luxembourgeois de Régulation) et l'autorité de contrôle RGPD est la CNPD. La loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025, transpose ce mécanisme de passerelle : l'ILR informe la CNPD sans retard injustifié dès qu'un incident notifié peut constituer une violation de données personnelles, et ne cumule pas son amende administrative avec celle infligée par la CNPD pour le même comportement.
Pratique Luxgap : configurez en amont une procédure de notification croisée ILR / CNPD avec un point de contact unique de crise, pour que les deux déclarations partent du même dossier horodaté et évitent toute contradiction entre les deux autorités.