Le piège classique
L'article 10 est l'un des plus sous-estimés du RGPD : il interdit purement et simplement de traiter des données de condamnations pénales ou d'infractions sans une base légale explicite en droit national ou de l'Union. La CNPD et la CNIL sanctionnent régulièrement des employeurs, cabinets de recrutement et plateformes qui demandent un extrait de casier judiciaire par defaut, sans habilitation légale spécifique. Au Luxembourg, seul le droit du travail sectoriel (sécurité privée, finance via la CSSF, éducation, santé) autorise cette collecte, et uniquement dans un périmètre strictement defini. Toute collecte hors cadre est qualifiée de traitement illicite article 6 + article 10 cumules.
Les pièges concrets que la CNPD sanctionné
- Le casier B3 demande a l'embauche sans habilitation légale : interdit sauf metiers regules (finance CSSF, sécurité, éducation, santé, transport).
- Le screening de candidats via Google ou réseaux sociaux qui ramene des articles de presse sur une condamnation : traitement article 10 sans base légale, même si la source est publique.
- Les bases KYC/AML (World-Check, Dow Jones, LexisNexis) qui agregent des condamnations : utilisables uniquement par les entités soumises a la loi LBC/FT, et uniquement pour cette finalité.
- Les enquêtes internes menees par des cabinets d'avocats ou auditeurs qui documentent des infractions presumees : necessitent un cadre contractuel strict et une finalité limitee a la procédure.
- Les registres internes de fraude tenus par les compagnies d'assurance ou banques : autorises uniquement sous contrôle de l'autorité publique ou via une autorisation légale spécifique.
- Les questionnaires d'intégrité pour mandataires sociaux : la simple question 'avez-vous deja ete condamne ?' constitue un traitement article 10 et nécessité une base légale.
Le test 'autorité publique' que la CNPD applique
Pour échapper a la sanction, l'organisation doit démontrer trois elements : une disposition légale explicite (pas une simple convention collective), des garanties appropriees documentees (durée limitee, accès restreint, finalité stricte), et un contrôle effectif (DPO, registre dedie, journalisation). En l'absence de l'un des trois, le traitement bascule en illicite et exposé a l'amende article 83(5) , jusqu'à 20 millions d'euros ou 4% du CA mondial.
Comment Luxgap automatise ce risque
Notre Luxgap Criminal Data Gatekeeper rend techniquement impossible la collecte ou le stockage de données article 10 sans habilitation légale préalable validee. L'outil s'interpose comme un filtre intelligent entre vos formulaires (Workday, SAP SuccessFactors, Talentsoft, Odoo RH, Sage BOB 50 Paie) et votre base de données : un agent IA spécialisé lit chaque champ texte libre, chaque PDF uploade, chaque commentaire de recruteur, et detecte en temps reel les mentions de condamnations, infractions, mesures de surete ou procédures pénales avant qu'elles ne soient persistees.
- Scanne en continu les champs RH, CRM et ticketing pour détecter les mentions explicites ('condamne', 'casier', 'B3', 'garde a vue', 'mise en examen') et implicites (allusions, articles de presse colles).
- Bloque la persistance de tout document ou champ qualifié article 10 tant qu'une habilitation légale n'est pas selectionnee dans un menu deroulant relie au droit luxembourgeois et européen applicable.
- Vérifié automatiquement que la finalité declaree est bien autorisee par la base légale invoquee (ex : CSSF circulaire 22/811 pour les agents financiers, loi du 12 novembre 2002 pour la sécurité privée).
- Genere un registre dedie article 10 horodate, separe du registre principal article 30, avec journalisation cryptographique de chaque accès et durée de conservation auto-purgee.
- Alerte le DPO sur Teams ou Slack des qu'un recruteur copie-colle un extrait Google contenant une condamnation, avec capture d'ecran et auteur identifié.
- Produit un rapport PDF scelle opposable a la CNPD demontrant que votre organisation n'a jamais collecte de données article 10 hors cadre légal, sur 24 mois glissants.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos formulaires RH reels, avec un audit blanc gratuit sous 48h pour identifier les collectes article 10 actuellement non conformes dans vos systèmes.
