Le piège classique
L'article 90 concerne les professions soumises au secret : avocats, notaires, medecins, experts-comptables, banquiers (secret bancaire luxembourgeois article 41 LSF), reviseurs d'entreprises agréés. Le piège ? Croire que le secret professionnel bloque la CNPD lors d'un contrôle, ou a l'inverse qu'il s'efface devant le RGPD. Les deux extremes sont faux. Au Luxembourg, la loi du 1er aout 2018 a précisé l'articulation : la CNPD peut contrôler, mais ses pouvoirs d'acces aux dossiers couverts par le secret sont encadres. Sanctions classiques : refus illegitime de cooperer avec la CNPD (article 83(5)(e) RGPD) ou, a l'inverse, communication a la CNPD de pieces couvertes par le secret sans base legale (engageant la responsabilité penale du professionnel au titre de l'article 458 du Code penal).
Les regimes spécifiques a connaitre au Luxembourg
- Avocats : secret absolu sur les consultations et correspondances client (loi du 10 aout 1991), la CNPD ne peut pas exiger la production de dossiers clients sans levee judiciaire.
- Banques et PSF : secret bancaire article 41 LSF, articulation avec la CSSF et la CNPD definie par circulaires CSSF.
- Medecins et professionnels de sante : secret medical article 458 Code penal, CNPD peut contrôler les traitements mais pas acceder au contenu medical sans procédure.
- Reviseurs d'entreprises : secret professionnel article 22 loi du 23 juillet 2016, la CSSF est l'autorité premiere.
- Notaires : secret professionnel et obligation de conservation, articulation avec l'AED pour les actes authentiques.
Le test que la CNPD applique en contrôle
La CNPD distingue le perimetre du traitement (auditable : finalités, base legale, duree de conservation, mesures de sécurité, sous-traitants) et le contenu matériel des dossiers (non auditable sans levee de secret). Un cabinet d'avocats doit donc pouvoir produire son registre article 30, ses DPA fournisseurs, sa politique de retention, sans jamais ouvrir un dossier client. Le piège classique : un cabinet qui refuse tout a la CNPD en invoquant le secret bloc, ou un cabinet qui ouvre tout par peur de la sanction. Les deux conduisent a une sanction.
Comment Luxgap automatise ce risque
Notre Luxgap Secrecy Boundary Shield trace une frontiere cryptographique entre les données auditables par la CNPD et les données couvertes par votre secret professionnel, de maniere a ce que vous puissiez repondre a une demande de l'autorité en 4 heures sans jamais exposer un octet de contenu confidentiel. L'outil cartographie automatiquement vos systèmes (DMS Kleos, iManage, Lexis Polyoffice, Office 365, Sage BOB 50, banking core) et applique une politique de classification differenciee selon votre profession réglementée.
- Classifie chaque donnée selon trois zones : metadonnees auditables CNPD, contenu metier accessible apres procédure, secret absolu hors perimetre RGPD.
- Genere un dossier de reponse type a la CNPD prerempli avec registre article 30, DPA, politique de retention et matrice d'acces, sans aucun extrait de dossier client.
- Detecte les fuites de perimetre : un avocat qui envoie un dossier client via Gmail personnel, un medecin qui exporte une base patients sur USB, déclencheurs immediats vers le DPO.
- Produit un argumentaire juridique opposable citant la loi luxembourgeoise applicable a votre profession (article 41 LSF, loi 1991 avocats, article 458 Code penal medecins) en cas de demande disproportionnee de l'autorité.
- Alerte en temps reel si un contrôle CNPD est annonce et prepare automatiquement les pieces communicables sous 48h.
- Conserve un journal horodate scelle de tous les echanges avec la CNPD, opposable en cas de procédure penale pour violation du secret.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cabinet ou établissement, avec un audit blanc gratuit sous 48h pour cartographier les zones de risque entre secret professionnel et obligations RGPD avant tout engagement.
