Le piège classique
L'article 90 est un angle mort pour les professions soumises au secret : avocats, medecins, notaires, experts-comptables, banquiers (secret bancaire luxembourgeois article 41 LSF), psychologues. Le piège est double : croire que le secret professionnel exonere du RGPD (faux), ou au contraire repondre intégralement a une demande d'acces de la CNPD en livrant des dossiers couverts par le secret (faute deontologique grave). Au Luxembourg, la CNPD doit composer avec le secret professionnel codifie a l'article 458 du Code penal et avec les règles ordinales (Barreau, College medical, OEC). La CNIL et l'APD belge appliquent une logique similaire pour leurs ordres professionnels respectifs.
Les pièges concrets en pratique
- Confondre secret et opacite : le secret protégé le contenu des dossiers clients, pas l'existence du registre des traitements ni la documentation de conformité RGPD (article 30, article 32, AIPD).
- Repondre seul a une enquête CNPD sans saisir le batonnier ou l'ordre competent quand l'autorité demande acces a des pieces couvertes par le secret.
- Mal calibrer les droits des personnes : un tiers mentionné dans un dossier d'avocat ou un dossier medical ne peut pas obtenir une copie integrale au titre de l'article 15, le secret prime.
- Outsourcer sans clauses adaptees : un cabinet qui hebergerait ses dossiers chez un prestataire cloud sans clause de sous-traitance article 28 renforcee par une clause de secret expose un manquement cumulatif RGPD + deontologique.
- Ignorer la notification etat membre : le Luxembourg a notifié ses règles spécifiques a la Commission ; le cadre d'articulation existe, encore faut-il le documenter dans son registre.
Le test que la CNPD applique
L'autorité vérifié trois choses : (i) le responsable a-t-il identifié que tout ou partie de son activité est couverte par une obligation de secret legalement reconnue ; (ii) a-t-il documente dans son registre la base juridique du secret et son articulation avec les pouvoirs de la CNPD ; (iii) dispose-t-il d'une procédure ecrite en cas de contrôle ou de demande d'acces, prevoyant l'intervention du batonnier ou de l'organe ordinal competent. L'absence de ces trois elements est en soi un manquement a l'article 5(2) (responsabilité).
Comment Luxgap automatise ce risque
Notre outil Luxgap Professional Secrecy Shield est le module de cartographie et de défense du secret professionnel pour les professions réglementées. Il s'intégré a votre DMS (iManage, NetDocuments, Cleo, M-Files), a votre messagerie (M365, Google Workspace), a votre IAM (Azure AD, Okta) et a votre solution de PMS metier (Kleos, Secib pour les avocats, DPI medical, BOB/Odoo pour les comptables) pour etiqueter automatiquement les données couvertes par le secret et generer la documentation d'articulation RGPD/secret exigee par la CNPD.
- Module Secrecy Tagging Engine : classification automatique des dossiers et emails comme couverts par le secret selon votre profession (Barreau, College medical, OEC, CSSF).
- Module Access Request Router : workflow de traitement des demandes article 15 avec arbre de décision integrant le secret a l'egard des tiers.
- Module Authority Inspection Protocol : procédure pre-cablee de reponse a un contrôle CNPD avec saisine automatique du batonnier ou de l'ordre.
- Registre article 30 enrichi avec la mention obligation de secret applicable et la base legale (article 458 Code penal, article 41 LSF, règles ordinales).
- Rapport PDF Article 90 - preuve d'articulation RGPD/secret exportable pour la CNPD, le batonnier ou un assureur RC professionnelle.
Disponible en SaaS (3 plans : Starter jusqu'a 10 utilisateurs pour les cabinets individuels, Pro jusqu'a 50 utilisateurs, Enterprise illimite avec multi-entites), ou inclus dans le mandat DPO externe Luxgap pour professions réglementées. Demandez un audit gratuit 48h de votre articulation RGPD/secret professionnel.
