Le piège classique
L'article 95 articule le RGPD avec la directive ePrivacy 2002/58/CE (transposée au Luxembourg dans la loi modifiée du 30 mai 2005). En pratique, beaucoup d'organisations croient que se conformer au RGPD suffit pour la prospection electronique, les cookies, ou la confidentialité des communications. Erreur : la CNPD, la CNIL et l'APD/GBA sanctionnent regulièrement sur le fondement ePrivacy (consentement cookies, opt-in email B2C, traceurs sans information), pas sur le RGPD seul. Les lignes directrices EDPB 03/2019 et 2/2023 rappellent que lex specialis ePrivacy prime sur le RGPD pour ces traitements spécifiques.
Les pièges en pratique
- Cookies et traceurs : base juridique = consentement ePrivacy art. 5(3), pas l'intérêt légitime RGPD. Le bandeau "poursuivre la navigation vaut acceptation" est sanctionné depuis 2020.
- Prospection email B2C : opt-in préalable obligatoire (sauf clients existants, produits similaires, droit d'opposition à chaque envoi).
- SMS marketing : opt-in dur, jamais d'intérêt légitime.
- Fingerprinting, pixels, SDK mobiles : assimilés à des cookies, même régime de consentement.
- Géolocalisation fine via opérateur telecom : régime ePrivacy art. 9, distinct du RGPD.
- Conservation des metadonnées : régime spécifique ePrivacy, CJUE La Quadrature du Net (2020).
L'arbitrage juridique à documenter
Pour chaque traitement impliquant un canal électronique, votre registre doit identifier si ePrivacy s'applique en priorité (consentement art. 5(3)) ou si le RGPD régit seul (par ex. base de données CRM interne). Cet arbitrage est attendu par la CNPD lors des contrôles "marketing digital".
Comment Luxgap automatise ce risque
Notre outil Luxgap ePrivacy Compliance Scanner combine un snippet JS deployé sur vos sites et applications, un connecteur à votre Consent Management Platform (Didomi, OneTrust, Axeptio, Cookiebot), et un module d'analyse de vos campagnes marketing (Mailchimp, Brevo, HubSpot, Salesforce Marketing Cloud). Le scanner détecte automatiquement chaque traceur déposé avant consentement, qualifié chaque envoi marketing (opt-in valide / client existant / risque), et produit un rapport PDF "Article 95 RGPD + ePrivacy - preuve par canal" opposable à la CNPD.
- Cookie Discovery Engine : scan hebdomadaire de tous vos domaines, classification automatique (strictement nécessaire / mesure d'audience / marketing / tiers).
- Consent Proof Vault : archivage horodaté des preuves de consentement pendant 3 ans.
- Marketing Channel Auditor : analyse de vos listes de diffusion, détection des opt-in douteux ou expirés.
- ePrivacy vs GDPR Arbitrator : pour chaque traitement, qualifié la base juridique applicable et alimente votre registre article 30.
- Score de conformité ePrivacy sur 100, par site et par campagne.
Disponible en SaaS (Starter jusqu'à 3 domaines, Pro jusqu'à 15 domaines + 5 plateformes marketing, Enterprise illimité multi-tenant), ou inclus dans le mandat DPO externe Luxgap. Demandez un scan gratuit de vos cookies et campagnes sous 48h.
