Le piège classique
L'article 98 est une clause institutionnelle qui mandate la Commission européenne de réviser les autres textes de protection des données, en particulier le règlement applicable aux institutions de l'Union (aujourd'hui le règlement 2018/1725 qui a remplacé l'ancien règlement 45/2001). Il ne crée pas d'obligation directe pour votre organisation, mais il a un effet pratique trop souvent ignoré : les acteurs qui traitent des données avec ou pour des institutions européennes (Commission, Parlement, agences décentralisées, EUIPO, Frontex, EU-LISA, EPPO basé à Luxembourg) doivent appliquer un double référentiel. La CNPD et le CEPD (Contrôleur européen de la protection des données, distinct de l'EDPB) sanctionnent régulièrement des prestataires luxembourgeois qui calquent leur conformité sur le seul RGPD en oubliant le 2018/1725, dont les exigences sur les transferts, la sécurité et les DPIA divergent sur plusieurs points.
Les pièges en pratique pour les prestataires d'institutions UE
- Double base légale : un contrat avec la Commission impose le règlement 2018/1725 côté responsable de traitement et le RGPD côté sous-traitant établi au Luxembourg. Vos DPA doivent référencer les deux.
- Autorité compétente différente : litiges et plaintes relatifs aux institutions UE relèvent du CEPD, pas de la CNPD. Vos procédures internes de notification doivent router correctement.
- Transferts : le 2018/1725 a ses propres règles miroir des articles 44 à 50 RGPD, avec des dérogations spécifiques pour la coopération judiciaire et policière.
- DPIA : les seuils et la consultation préalable du CEPD diffèrent de la procédure CNPD.
- Veille législative continue : l'article 98 garantit que ces textes évoluent. Ne pas suivre ces évolutions, c'est traiter sur une base légale périmée.
Le standard de fait pour les contractants institutionnels UE
Les appels d'offres de la Commission et des agences (notamment celles établies à Luxembourg : EPPO, Cour des comptes, BEI, EIF) exigent désormais une matrice de conformité croisée RGPD / 2018/1725 / Data Act / AI Act, avec preuves documentaires par traitement.
Comment Luxgap automatise ce risque
Notre outil Luxgap Regulatory Watchtower est le moteur de veille et de mapping réglementaire conçu pour les organisations exposées à plusieurs référentiels données simultanés. Il connecte EUR-Lex, le Journal officiel du Luxembourg, les publications CNPD, CEPD, EDPB et CNIL via API, détecte automatiquement les modifications affectant les textes que vous référencez dans votre registre, et génère une alerte priorisée par traitement impacté.
- Cross-Reference Engine qui mappe chaque traitement de votre registre RGPD avec ses obligations miroir sous 2018/1725, Data Act, AI Act, DGA
- EUR-Lex Sync : surveillance quotidienne des propositions législatives Commission au titre de l'article 98 et articles équivalents
- Authority Router qui identifié l'autorité compétente (CNPD ou CEPD) par traitement
- Rapport mensuel PDF Impact réglementaire par traitement exportable pour vos comités de direction
- Intégrations natives M365, Confluence, Jira, SharePoint pour notifier les équipes concernées
- Module Tender Compliance Pack qui génère la matrice croisée exigée par les appels d'offres institutionnels UE
Disponible en SaaS (plans Starter jusqu'à 50 traitements suivis, Pro jusqu'à 250, Enterprise illimité multi-entités), ou inclus dans le mandat DPO/CISO Luxgap. Demander une démo avec snapshot gratuit 90 jours de votre exposition réglementaire croisée.
