Le piège classique
L'article 84 est le parent pauvre de l'article 83 : tout le monde regarde les amendes administratives de la CNPD et oublie que le Luxembourg a transpose un volet penal et disciplinaire propre dans la loi du 1er aout 2018. Concretement, un dirigeant qui entrave un contrôle CNPD, qui detourne des données pour un usage non autorise, ou qui falsifie un registre de traitement, s'expose a des sanctions penales personnelles cumulables avec l'amende administrative infligee a la personne morale. Les autorités comme la CNIL ou l'APD belge transmettent régulièrement aux parquets des dossiers ou la mauvaise foi est caracterisee.
Les angles morts que les directions juridiques sous-estiment
- Cumul personne morale + personne physique : l'amende RGPD frappe l'entreprise, mais le penal national peut frapper le dirigeant, le DPO complaisant, ou le responsable IT.
- Obstruction au contrôle CNPD : refuser l'acces, dissimuler des documents, repondre tardivement de mauvaise foi déclenche des poursuites distinctes au Luxembourg.
- Detournement de finalité caracterise : utiliser un fichier RH a des fins commerciales, ou consulter sans motif un dossier client, releve souvent du penal national, pas seulement de l'article 5.
- Sanctions disciplinaires internes : la jurisprudence sociale luxembourgeoise admet le licenciement pour faute grave en cas de violation deliberee du RGPD, encore faut-il avoir une politique opposable et tracable.
- Exclusion de marches publics : une condamnation peut entrainer l'exclusion des appels d'offres, un risque souvent ignore par les PME.
Le reflexe a intégrer dans la gouvernance
Cartographier les actes qui, au Luxembourg, basculent du regime administratif (article 83) vers le regime penal (article 84 + loi nationale) est un exercice rarement fait. Pourtant, c'est ce qui determine la responsabilité personnelle du dirigeant et le perimetre de l'assurance D&O. Sans cette cartographie, le conseil d'administration signe un risque qu'il ne mesure pas.
Comment Luxgap automatise ce risque
Notre outil Luxgap Penalty Exposure Mapper croise automatiquement votre registre de traitements, votre organigramme et la grille des sanctions nationales (loi luxembourgeoise du 1er aout 2018, loi française Informatique et Libertes, loi belge de 2018) pour produire une matrice d'exposition par dirigeant et par traitement. L'outil s'intégré a Active Directory, Odoo HR, SAP SuccessFactors et a votre GED juridique pour identifier qui signe quoi et qui assume quel risque penal.
- Module Director Liability Scan : liste les actes a risque penal pour chaque mandataire social
- Module Obstruction Watch : trace les délais de reponse aux demandes CNPD et alerte en cas de derive
- Module D&O Coverage Gap : confronte votre police D&O au perimetre reel de l'article 84
- Rapport PDF Article 84 - exposition penale par dirigeant remis trimestriellement au conseil
- Tableau de bord Disciplinary Readiness : vérifié que vos politiques internes sont opposables aux salariés
Disponible en SaaS (Starter jusqu'a 5 mandataires, Pro jusqu'a 20 dirigeants et filiales, Enterprise multi-juridictions illimite), ou inclus dans le mandat DPO/CISO Luxgap. Demander une demo avec snapshot d'exposition penale sous 72h.
