Le piège classique
L'article 91 semble marginal, mais il piège tout responsable de traitement qui gère des données confessionnelles : paroisses, fabriques d'église, communautés religieuses, écoles confessionnelles, associations caritatives liées à un culte. Au Luxembourg, aucun ensemble de règles religieuses pré-existantes n'a été reconnu au sens de l'article 91, ce qui signifie que le RGPD s'applique intégralement sous le contrôle de la CNPD, sans régime spécial. La CNPD et la CNIL sanctionnent régulièrement les paroisses, diocèses et associations cultuelles pour défaut de base légale sur les registres de baptême, listes de fidèles, dons, et refus de droit à l'effacement. L'EDPB rappelle en outre que l'article 9 (catégories particulières) s'applique systématiquement car l'appartenance religieuse est une donnée sensible.
Les pièges opérationnels que la CNPD vérifie
- Confusion entre membre actif et donnée historique : un baptême ou une confirmation reste inscrit à vie dans des registres, sans politique de conservation documentée.
- Refus du droit à l'effacement : la pratique du débaptême doit être traitée comme une demande article 17, avec une mention de retrait et non un effacement physique justifié par intérêt légitime de l'institution, à condition que cet équilibre soit formalisé.
- Base légale floue : les listes de paroissiens, donateurs, catéchumènes mélangent consentement, intérêt légitime et obligation statutaire sans documentation article 6 + article 9 par finalité.
- Sous-traitants non encadrés : plateformes de dons en ligne, outils de mailing, hébergeurs de sites paroissiaux sans DPA article 28.
- Autorité de contrôle interne : si une communauté revendique l'article 91, elle doit prouver l'indépendance de son autorité conformément au chapitre VI, ce qui est rarement le cas en pratique au Benelux.
- Transferts vers l'étranger : remontées vers le Vatican, fédérations européennes, sièges hors UE sans cadre article 44 à 49.
Le test pratique : régime article 91 ou RGPD standard ?
Avant de se prévaloir d'un régime religieux spécial, l'entité doit répondre par l'affirmative à trois questions : existe-t-il un corpus de règles complet antérieur au 24 mai 2016 ? est-il aligné article par article sur le RGPD ? une autorité de contrôle indépendante (et non un évêque ou un conseil interne) est-elle reconnue ? Au Luxembourg, la réponse est non pour toutes les confessions conventionnées : c'est donc la CNPD qui est compétente, sans exception.
Comment Luxgap automatise ce risque
Notre outil Luxgap Faith Compliance Pack est un module de conformité dédié aux entités cultuelles, confessionnelles et caritatives religieuses. Il connecte vos outils paroissiaux (Enoria, ChurchDesk, Odoo Community, Mailchimp, plateformes de dons type HelloAsso, Stripe Donations), extrait automatiquement les traitements sensibles article 9, et produit un registre article 30 pré-rempli avec base légale article 6 + condition article 9 pour chaque finalité.
- Module Sacraments Ledger : politique de conservation et de mention de retrait pour registres de baptême, mariage, confirmation, avec workflow de débaptême conforme article 17.
- Module Donor Privacy : ségrégation des bases légales entre dons ponctuels (consentement), legs (obligation légale fiscale), fidèles cotisants (intérêt légitime documenté).
- Module Sensitive Data Scanner : détecte les mentions religieuses dans vos bases de contacts et exports CSV.
- Module Article 91 Self-Assessment : évalue si votre entité peut revendiquer un régime spécial ou doit s'aligner sur le régime CNPD standard.
- Module DPA Generator : contrats article 28 pré-rédigés pour vos prestataires de mailing, dons, hébergement.
- Sortie : rapport PDF Article 91 - preuve de conformité par traitement, score sur 100, registre exportable au format CNPD.
Disponible en SaaS (Starter pour une paroisse ou association locale, Pro pour un doyenné ou une fédération, Enterprise pour un diocèse ou une conférence épiscopale), ou inclus dans le mandat DPO externe Luxgap. Demander une démo avec snapshot 90 jours de vos traitements confessionnels.
