RGPD, le règlement européen sur les données personnelles.

Qui est concerné ?

Toute organisation, quelle que soit sa taille, qui traite des données personnelles de résidents européens. Aucune exception de taille.

Sont concernés à titre d'exemple : entreprises privées (RH, clients, fournisseurs), associations, communes, hôpitaux, professions libérales, écoles, banques, fiduciaires, fonds d'investissement, sites internet collectant des emails. Si vous avez un fichier Excel avec des noms et prénoms, le RGPD s'applique à vous.

Obligations clés

• Tenir un registre des traitements (article 30) : décrire chaque traitement de données personnelles que vous effectuez (paie, candidatures, marketing, vidéosurveillance, etc.) avec finalité, base légale, durée de conservation, destinataires.
• Désigner un DPO (article 37) si votre activité de base implique un traitement régulier et systématique à grande échelle, ou un traitement de données sensibles à grande échelle. Au Luxembourg, recommandé au-delà de 50 collaborateurs.
• Réaliser des analyses d'impact (AIPD, article 35) pour les nouveaux traitements à risque élevé (vidéosurveillance, biométrie, profilage RH, IA décisionnelle).
• Notifier les violations de données dans les 72 heures à la CNPD et, si le risque est élevé, aux personnes concernées (article 33-34).
• Répondre aux demandes des personnes dans le mois (accès, rectification, effacement, opposition, portabilité).
• Encadrer les sous-traitants par un contrat conforme à l'article 28 (DPA).
• Encadrer les transferts hors UE/EEE (clauses contractuelles types, BCR, etc.).

Échéances

Le RGPD est en vigueur depuis le 25 mai 2018. La CNPD luxembourgeoise contrôle activement depuis cette date, avec une intensification notable depuis 2022. Les contrôles peuvent être annoncés ou inopinés, sur plainte ou à l'initiative de la CNPD.

Sanctions en cas de non-conformité

Les sanctions administratives prévues par l'article 83 RGPD vont jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le plus élevé des deux). Au Luxembourg, plus de 30 millions d'euros d'amendes ont déjà été prononcées par la CNPD ces dernières années, y compris à des PME et à des associations.

S'ajoutent les actions en réparation civile des personnes concernées, les atteintes à l'image, et la responsabilité personnelle des dirigeants en cas de manquement avéré.

Comment Luxgap vous aide

Notre mandat DPO externalisé couvre l'intégralité des obligations RGPD listées ci-dessus. Vous nous nommez officiellement DPO auprès de la CNPD, nous prenons la responsabilité opérationnelle. Notre approche en 9 axes (formation, registre, AIPD, sécurité des données, etc.) est éprouvée sur des dizaines de mandats actifs au Luxembourg.

Pour les organisations qui ont déjà un DPO mais cherchent un appui, nous proposons aussi un accompagnement à la carte (audit, formation, AIPD ponctuelle, gestion d'incidents).