Le piège classique
L'article 91 est marginal en apparence, mais redoutable en pratique au Luxembourg ou les fabriques d'eglise, communautes religieuses et associations confessionnelles (ecoles catholiques, hopitaux confessionnels, aumoneries) traitent des données sensibles article 9 (convictions religieuses, sante, mineurs en catechese). Le piège : croire que le statut confessionnel exonere du RGPD, ou a l'inverse appliquer un règlement interne ancien jamais mis a jour. La CNPD a competence pleine sur ces entités au Luxembourg, faute d'autorité de contrôle confessionnelle spécifique reconnue (contrairement au modèle allemand des Datenschutzbeauftragte diocesains). Le considérant 165 rappelle que le respect du statut des eglises ne dispense ni de la mise en conformité ni du contrôle independant.
Les zones de risque concretes pour une entité confessionnelle luxembourgeoise
- Registres de bapteme, mariage, deces : données sensibles conservees a vie, sans base legale documentee ni politique de duree.
- Listes de paroissiens, donateurs, benevoles : souvent dans des fichiers Excel partagés, sans registre article 30.
- Catechese et ecoles confessionnelles : données de mineurs (article 8) sans recueil parental conforme.
- Demandes de debaptisation ou de radiation : droit a l'effacement article 17 souvent refuse a tort au nom de la valeur sacramentelle du registre.
- Aumoneries en hopital ou prison : données de sante croisees avec convictions, sans DPIA article 35.
- Quetes en ligne, plateformes de dons (HelloAsso, Stripe) : transferts hors UE et profils donateurs non documentes.
Le test de l'ensemble complet de règles
L'article 91(1) ne s'applique QUE si l'entité disposait, au 25 mai 2018, d'un ensemble complet de règles internes de protection des données, mises a jour pour s'aligner sur le RGPD. Tres peu de structures au Luxembourg remplissent ce critère. Par defaut, le droit commun RGPD s'applique intégralement, sous contrôle CNPD.
Comment Luxgap automatise ce risque
Notre Luxgap Faith Compliance Vault est le seul outil concu spécifiquement pour les entités confessionnelles, fabriques d'eglise, congregations, ecoles et hopitaux catholiques, communautes israelites, musulmanes et protestantes du Luxembourg. Il transforme un ensemble heterogene de registres papier, fichiers Excel et bases sacramentelles en un référentiel article 91 opposable a la CNPD, en croisant vos sources (registres paroissiaux numerises, Donorfy, HelloAsso, Untis pour les ecoles, Doctolib pour les aumoneries) via connecteurs natifs.
- Detecte automatiquement chaque traitement de données sensibles article 9 (convictions, sante, mineurs) et qualifié la base legale applicable (consentement explicite, intérêt légitime confessionnel, mission d'intérêt public).
- Genere un ensemble complet de règles conforme article 91, redige en français et adapte au droit canon ou confessionnel applicable, pret a soumettre a votre autorité ecclesiale.
- Gere les demandes de debaptisation et de radiation avec un workflow qui concilie article 17 RGPD et exigence sacramentelle (annotation en marge plutot qu'effacement integral, conformément a la position EDPB).
- Classifie les registres sacramentels selon leur duree de conservation légitime (perpetuelle pour le sacramentel, limitee pour l'administratif) et alerte sur les fichiers sortant du perimetre confessionnel.
- Scanne mensuellement vos plateformes de dons et collectes en ligne pour détecter les transferts hors UE non documentes et les pixels publicitaires non consentis.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle CNPD et utilisable face a l'archeveche ou au consistoire.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon la taille de votre communaute et le perimetre de vos activités (paroisses, ecoles, hopitaux, oeuvres caritatives). Demandez un devis personnalise et nos équipes preparent une demonstration sur vos registres reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
