Le piège classique
L'article 10 est l'un des plus sous-estimés du RGPD : il interdit purement et simplement de traiter des données de condamnations penales ou d'infractions sans une base legale explicite en droit national ou de l'Union. La CNPD et la CNIL sanctionnent régulièrement des employeurs, cabinets de recrutement et plateformes qui demandent un extrait de casier judiciaire par defaut, sans habilitation legale spécifique. Au Luxembourg, seul le droit du travail sectoriel (sécurité privée, finance via la CSSF, education, sante) autorise cette collecte, et uniquement dans un perimetre strictement defini. Toute collecte hors cadre est qualifiée de traitement illicite article 6 + article 10 cumules.
Les pièges concrets que la CNPD sanctionné
- Le casier B3 demande a l'embauche sans habilitation legale : interdit sauf metiers regules (finance CSSF, sécurité, education, sante, transport).
- Le screening de candidats via Google ou réseaux sociaux qui ramene des articles de presse sur une condamnation : traitement article 10 sans base legale, même si la source est publique.
- Les bases KYC/AML (World-Check, Dow Jones, LexisNexis) qui agregent des condamnations : utilisables uniquement par les entités soumises a la loi LBC/FT, et uniquement pour cette finalité.
- Les enquêtes internes menees par des cabinets d'avocats ou auditeurs qui documentent des infractions presumees : necessitent un cadre contractuel strict et une finalité limitee a la procédure.
- Les registres internes de fraude tenus par les compagnies d'assurance ou banques : autorises uniquement sous contrôle de l'autorité publique ou via une autorisation legale spécifique.
- Les questionnaires d'intégrité pour mandataires sociaux : la simple question 'avez-vous deja ete condamne ?' constitue un traitement article 10 et nécessité une base legale.
Le test 'autorité publique' que la CNPD applique
Pour échapper a la sanction, l'organisation doit démontrer trois elements : une disposition legale explicite (pas une simple convention collective), des garanties appropriees documentees (duree limitee, acces restreint, finalité stricte), et un contrôle effectif (DPO, registre dedie, journalisation). En l'absence de l'un des trois, le traitement bascule en illicite et expose a l'amende article 83(5) , jusqu'a 20 millions d'euros ou 4% du CA mondial.
Comment Luxgap automatise ce risque
Notre Luxgap Criminal Data Gatekeeper rend techniquement impossible la collecte ou le stockage de données article 10 sans habilitation legale préalable validee. L'outil s'interpose comme un filtre intelligent entre vos formulaires (Workday, SAP SuccessFactors, Talentsoft, Odoo RH, Sage BOB 50 Paie) et votre base de données : un agent IA specialise lit chaque champ texte libre, chaque PDF uploade, chaque commentaire de recruteur, et detecte en temps reel les mentions de condamnations, infractions, mesures de surete ou procédures penales avant qu'elles ne soient persistees.
- Scanne en continu les champs RH, CRM et ticketing pour détecter les mentions explicites ('condamne', 'casier', 'B3', 'garde a vue', 'mise en examen') et implicites (allusions, articles de presse colles).
- Bloque la persistance de tout document ou champ qualifié article 10 tant qu'une habilitation legale n'est pas selectionnee dans un menu deroulant relie au droit luxembourgeois et européen applicable.
- Vérifié automatiquement que la finalité declaree est bien autorisee par la base legale invoquee (ex : CSSF circulaire 22/811 pour les agents financiers, loi du 12 novembre 2002 pour la sécurité privée).
- Genere un registre dedie article 10 horodate, separe du registre principal article 30, avec journalisation cryptographique de chaque acces et duree de conservation auto-purgee.
- Alerte le DPO sur Teams ou Slack des qu'un recruteur copie-colle un extrait Google contenant une condamnation, avec capture d'ecran et auteur identifié.
- Produit un rapport PDF scelle opposable a la CNPD demontrant que votre organisation n'a jamais collecte de données article 10 hors cadre legal, sur 24 mois glissants.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos formulaires RH reels, avec un audit blanc gratuit sous 48h pour identifier les collectes article 10 actuellement non conformes dans vos systèmes.
