Je dois mettre mon organisation luxembourgeoise en conformité au considérant 100 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 100 RGPD — Considérant 100

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 100

Règlement général sur la protection des données · UE 2016/679

(100)

Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Spécificité Luxembourg

Schema GDPR-CARPA approuve par deliberation CNPD n. 14/2022 du 13 mai 2022

Au Luxembourg, la CNPD a developpe GDPR-CARPA (Certified Assurance Report based Processing Activities), premier schema de certification article 42 approuve dans l'UE en mai 2022. Il s'applique a un traitement ou un ensemble de traitements et est delivre par des organismes de certification accredites par l'OLAS selon ISO/IEC 17065. Afficher 'certifie CNPD' sans detenir un certificat GDPR-CARPA valide constitue donc une allegation trompeuse au sens du considérant 100 et de l'article 42(5).

Pratique Luxgap : nous verifions systématiquement que toute mention 'GDPR-CARPA' sur un site ou dans un appel d'offres luxembourgeois renvoie a un certificat reel, dont le perimetre couvre effectivement le traitement concerne et dont la duree (trois ans maximum) n'est pas expiree.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 100 invite a développer certifications, labels et marques RGPD pour rendre la conformité lisible aux personnes concernees. En pratique, beaucoup d'organisations affichent des badges marketing flous ('RGPD compliant', 'GDPR ready') qui ne reposent sur aucun schema certifie article 42. La CNPD et la CNIL considèrent ces mentions trompeuses comme un manquement a la transparence article 13, et la CNPD a publie des critères precis pour le seul schema actuellement approuve au Luxembourg (GDPR-CARPA). Brandir un label non reconnu exposé donc autant que ne rien afficher.

Comment exploiter la logique du considérant 100 sans tomber dans le label fantome

Distinguer une certification article 42 (delivree par un organisme accredite, schema approuve par l'autorité ou l'EDPB) d'un simple self-assessment commercial.
Vérifier qu'un fournisseur qui se prevaut d'un label cite bien le schema (GDPR-CARPA, Europrivacy), l'organisme certificateur et la date d'expiration.
Intégrer ces certifications dans le choix des sous-traitants article 28(1) : c'est une garantie suffisante opposable.
Documenter dans votre registre les labels détenus et ceux exiges de vos prestataires, pour materialiser l'accountability article 5(2).
Surveiller l'expiration et le retrait des certifications : une certification expiree affichee sur un site devient une pratique commerciale trompeuse.

Comment Luxgap automatise ce risque

Notre Luxgap Trust Signal Vérifier elimine le risque du label fantome en vérifiant en continu la validité reelle de chaque certification affichee, par vous ou par vos sous-traitants. L'outil scanne en temps reel vos pages publiques et celles de vos prestataires critiques, croise les mentions detectees (ISO 27001, GDPR-CARPA, Europrivacy, SOC 2, HDS) avec les registres officiels des organismes accreditateurs (OLAS, COFRAC, BELAC, IAF) et les listes EDPB des schemas approuves, puis materialise un score de credibilite documentaire.

Detecte automatiquement chaque badge, sceau ou mention de certification present sur vos sites web et applications via un snippet JS leger.
Vérifié en API la validité, la portee et la date d'expiration de chaque certification auprès des registres des organismes accreditateurs et certificateurs.
Alerte instantanement par Teams ou email quand un sous-traitant retire ou laisse expirer une certification declaree dans votre registre article 30.
Classifie chaque label en trois catégories : certification article 42 opposable, norme reconnue mais non-RGPD (ISO 27001), allegation marketing non vérifiable.
Genere les modèles de clauses contractuelles imposant a vos sous-traitants la notification immediate de toute perte de certification.
Produit un rapport PDF horodate opposable a la CNPD, demontrant que votre choix de sous-traitant article 28(1) repose sur des garanties vérifiées et non sur du greenwashing de la conformité.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos prestataires reels, avec un scan gratuit sous 48h pour mesurer la credibilite des labels affiches dans votre écosystème.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 100

Ils nous font confiance

Avant de discuter