Je dois mettre mon organisation luxembourgeoise en conformité au considérant 10 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 10 pose un principe trompeur : le RGPD est cense être uniforme dans toute l'Union, mais il laisse aux états membres une marge de manoeuvre sur les obligations légales, les missions d'intérêt public et les données sensibles. Résultat : une entreprise qui traite des données RH au Luxembourg, en France et en Belgique applique trois regimes differents sur les mêmes traitements (surveillance des salariés, données de santé, numéro national). La CNPD, la CNIL et l'APD belge sanctionnent régulièrement les groupes qui appliquent un standard RGPD générique sans vérifier la loi nationale applicable a chaque entité.Les zones ou la loi nationale prime malgré le RGPDDroit du travail : la surveillance des salariés au Luxembourg est encadree par la loi du 1er aout 2018 et l'article L.261-1 du Code du travail, qui imposent une procédure de co-decision avec la delegation du personnel absente en France.Données de santé : la France impose un hébergement HDS certifie (article L.1111-8 CSP), la Belgique le secret médical via l'AR du 14 fevrier 2008, le Luxembourg renvoie a la loi du 24 juillet 2014.Numéro national d'identification : matricule luxembourgeois encadre par la loi du 19 juin 2013, NIR français par le decret 2019-341, NN belge par la loi du 8 aout 1983.Données genetiques et biometriques : chaque état peut interdire, restreindre ou ajouter des conditions (article 9.4 RGPD).Conservation comptable et fiscale : 10 ans au LU (loi modifiee du 19 decembre 2002), 10 ans en BE, 6 ans (impots) ou 10 ans (comptable) en FR.Données des defunts : exclues du RGPD au considérant 27, mais protégées par la loi nationale (loi Informatique et Libertés française, par exemple).Le reflexe d'argumentation devant la CNPDUn registre des traitements article 30 ne suffit pas : il faut, pour chaque traitement transfrontalier, une cartographie des bases légales nationales applicables qui démontré que vous avez identifié les spécificités de chaque état membre concerne. C'est le test que la CNPD pratique systématiquement lors d'un contrôle d'un groupe multi-juridictionnel.Comment Luxgap automatise ce risqueNotre Luxgap Jurisdiction Mapper elimine l'angle mort le plus dangereux du RGPD : croire que la règle est la même partout. L'outil croise votre registre article 30, votre annuaire RH (Workday, SAP SuccessFactors, Sopra HR) et vos entités juridiques pour materialiser, traitement par traitement, la liste exacte des lois nationales applicables et des divergences entre états membres.Detecte automatiquement chaque traitement transfrontalier en croisant la localisation des personnes concernees (RH, CRM, e-commerce) avec les entités du groupe.Identifié pour chaque pays UE la loi nationale spécifique applicable (transposition, loi sectorielle, decret d'application) avec référence exacte et date de dernière mise à jour.Compare cote à côté les obligations LU, FR, BE, DE sur les thèmes sensibles : surveillance salariale, données de santé, numéro national, donnée...

Considérant 10 RGPD — Considérant 10

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 10

Règlement général sur la protection des données · UE 2016/679

(10)

Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n'exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.

Spécificité Luxembourg

loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la loi du 1er aout 2018 portant organisation de la CNPD et du regime general de protection des données exerce la marge de manoeuvre prevue au considérant 10 sur plusieurs points : surveillance des salariés (article 88 RGPD + article L.261-1 du Code du travail), traitement a des fins de recherché scientifique (article 65 de la loi), traitement par les autorités publiques. Le matricule national (loi du 19 juin 2013) reste un identifiant strictement encadre dont la reutilisation hors finalité legale expose a une sanction CNPD.

Pratique Luxgap : pour tout traitement RH ou sanitaire au Luxembourg, documentez explicitement la base legale luxembourgeoise applicable en plus de l'article 6 RGPD, et conservez la preuve de l'information de la delegation du personnel exigee par le Code du travail.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 10 pose un principe trompeur : le RGPD est cense être uniforme dans toute l'Union, mais il laisse aux états membres une marge de manoeuvre sur les obligations légales, les missions d'intérêt public et les données sensibles. Résultat : une entreprise qui traite des données RH au Luxembourg, en France et en Belgique applique trois regimes differents sur les mêmes traitements (surveillance des salariés, données de santé, numéro national). La CNPD, la CNIL et l'APD belge sanctionnent régulièrement les groupes qui appliquent un standard RGPD générique sans vérifier la loi nationale applicable a chaque entité.

Les zones ou la loi nationale prime malgré le RGPD

Droit du travail : la surveillance des salariés au Luxembourg est encadree par la loi du 1er aout 2018 et l'article L.261-1 du Code du travail, qui imposent une procédure de co-decision avec la delegation du personnel absente en France.
Données de santé : la France impose un hébergement HDS certifie (article L.1111-8 CSP), la Belgique le secret médical via l'AR du 14 fevrier 2008, le Luxembourg renvoie a la loi du 24 juillet 2014.
Numéro national d'identification : matricule luxembourgeois encadre par la loi du 19 juin 2013, NIR français par le decret 2019-341, NN belge par la loi du 8 aout 1983.
Données genetiques et biometriques : chaque état peut interdire, restreindre ou ajouter des conditions (article 9.4 RGPD).
Conservation comptable et fiscale : 10 ans au LU (loi modifiee du 19 decembre 2002), 10 ans en BE, 6 ans (impots) ou 10 ans (comptable) en FR.
Données des defunts : exclues du RGPD au considérant 27, mais protégées par la loi nationale (loi Informatique et Libertés française, par exemple).

Le reflexe d'argumentation devant la CNPD

Un registre des traitements article 30 ne suffit pas : il faut, pour chaque traitement transfrontalier, une cartographie des bases légales nationales applicables qui démontré que vous avez identifié les spécificités de chaque état membre concerne. C'est le test que la CNPD pratique systématiquement lors d'un contrôle d'un groupe multi-juridictionnel.

Comment Luxgap automatise ce risque

Notre Luxgap Jurisdiction Mapper elimine l'angle mort le plus dangereux du RGPD : croire que la règle est la même partout. L'outil croise votre registre article 30, votre annuaire RH (Workday, SAP SuccessFactors, Sopra HR) et vos entités juridiques pour materialiser, traitement par traitement, la liste exacte des lois nationales applicables et des divergences entre états membres.

Detecte automatiquement chaque traitement transfrontalier en croisant la localisation des personnes concernees (RH, CRM, e-commerce) avec les entités du groupe.
Identifié pour chaque pays UE la loi nationale spécifique applicable (transposition, loi sectorielle, decret d'application) avec référence exacte et date de dernière mise à jour.
Compare cote à côté les obligations LU, FR, BE, DE sur les thèmes sensibles : surveillance salariale, données de santé, numéro national, données genetiques, données des mineurs.
Alerte en temps reel quand une autorité nationale (CNPD, CNIL, APD, EDPB) publie une nouvelle ligne directrice qui modifie l'interprétation d'un traitement existant.
Genere une fiche juridictionnelle PDF horodatee par traitement, opposable a la CNPD et au chef de file en cas de procédure cooperation article 60.
Propose le modèle de mention d'information adapte a chaque juridiction, pre-rempli avec les références légales nationales correctes.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos entités reelles, avec un audit blanc gratuit sous 48h pour identifier les divergences nationales que vous n'aviez pas detectees.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 10

Ils nous font confiance

Avant de discuter