Transferts ou divulgations non autorisés par le droit de l'Union
Règlement général sur la protection des données · UE 2016/679
Transferts ou divulgations non autorisés par le droit de l'Union
Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre.
Au Luxembourg, la CNPD (jamais l'APDL) est l'autorité competente pour sanctionner un transfert non autorise au titre de l'article 48. La loi du 1er aout 2018 portant organisation de la CNPD lui confere le pouvoir d'infliger les amendes administratives du RGPD aux entités privées. Les acteurs de la place financiere doivent en outre articuler l'article 48 avec leurs obligations de secret professionnel (article 41 de la loi du 5 avril 1993 sur le secteur financier), qui interdit deja la divulgation de données clients sans base légale luxembourgeoise ou accord international.
Pratique Luxgap : pour une fintech ou une banque privée reguleee CSSF, le double verrou secret bancaire plus article 48 doit être cartographie ensemble. Notre Foreign Request Shield integre la grille du secret professionnel LSF dans son arbre de décision.