Le piège classique
L'article 90 concerne les professions soumises au secret : avocats, notaires, medecins, experts-comptables, banquiers (secret bancaire luxembourgeois article 41 LSF), reviseurs d'entreprises agréés. Le piège ? Croire que le secret professionnel bloque la CNPD lors d'un contrôle, ou a l'inverse qu'il s'efface devant le RGPD. Les deux extremes sont faux. Au Luxembourg, la loi du 1er aout 2018 a précisé l'articulation : la CNPD peut contrôler, mais ses pouvoirs d'accès aux dossiers couverts par le secret sont encadres. Sanctions classiques : refus illegitime de cooperer avec la CNPD (article 83(5)(e) RGPD) ou, a l'inverse, communication a la CNPD de pièces couvertes par le secret sans base légale (engageant la responsabilité pénale du professionnel au titre de l'article 458 du Code pénal).
Les regimes spécifiques a connaître au Luxembourg
- Avocats : secret absolu sur les consultations et correspondances client (loi du 10 aout 1991), la CNPD ne peut pas exiger la production de dossiers clients sans levee judiciaire.
- Banques et PSF : secret bancaire article 41 LSF, articulation avec la CSSF et la CNPD definie par circulaires CSSF.
- Medecins et professionnels de santé : secret médical article 458 Code pénal, CNPD peut contrôler les traitements mais pas acceder au contenu médical sans procédure.
- Reviseurs d'entreprises : secret professionnel article 22 loi du 23 juillet 2016, la CSSF est l'autorité premiere.
- Notaires : secret professionnel et obligation de conservation, articulation avec l'AED pour les actes authentiques.
Le test que la CNPD applique en contrôle
La CNPD distingue le périmètre du traitement (auditable : finalités, base légale, durée de conservation, mesures de sécurité, sous-traitants) et le contenu matériel des dossiers (non auditable sans levee de secret). Un cabinet d'avocats doit donc pouvoir produire son registre article 30, ses DPA fournisseurs, sa politique de rétention, sans jamais ouvrir un dossier client. Le piège classique : un cabinet qui refuse tout a la CNPD en invoquant le secret bloc, ou un cabinet qui ouvre tout par peur de la sanction. Les deux conduisent a une sanction.
Comment Luxgap automatise ce risque
Notre Luxgap Secrecy Boundary Shield trace une frontière cryptographique entre les données auditables par la CNPD et les données couvertes par votre secret professionnel, de manière a ce que vous puissiez répondre a une demande de l'autorité en 4 heures sans jamais exposer un octet de contenu confidentiel. L'outil cartographie automatiquement vos systèmes (DMS Kleos, iManage, Lexis Polyoffice, Office 365, Sage BOB 50, banking core) et applique une politique de classification differenciee selon votre profession réglementée.
- Classifie chaque donnée selon trois zones : metadonnees auditables CNPD, contenu metier accessible après procédure, secret absolu hors périmètre RGPD.
- Genere un dossier de réponse type a la CNPD prerempli avec registre article 30, DPA, politique de rétention et matrice d'accès, sans aucun extrait de dossier client.
- Detecte les fuites de périmètre : un avocat qui envoie un dossier client via Gmail personnel, un medecin qui exporte une base patients sur USB, déclencheurs immediats vers le DPO.
- Produit un argumentaire juridique opposable citant la loi luxembourgeoise applicable a votre profession (article 41 LSF, loi 1991 avocats, article 458 Code pénal medecins) en cas de demande disproportionnee de l'autorité.
- Alerte en temps reel si un contrôle CNPD est annonce et prepare automatiquement les pièces communicables sous 48h.
- Conserve un journal horodate scelle de tous les échanges avec la CNPD, opposable en cas de procédure pénale pour violation du secret.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cabinet ou établissement, avec un audit blanc gratuit sous 48h pour cartographier les zones de risque entre secret professionnel et obligations RGPD avant tout engagement.
