Je dois mettre mon organisation luxembourgeoise en conformité au considérant 103 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 103 éclaire l'article 45 RGPD : une décision d'adéquation de la Commission européenne dispense d'autorisation complémentaire pour transférer des données vers un pays tiers. Le piège, sanctionné régulièrement par la CNIL et surveillé de près par la CNPD, consiste à croire qu'une décision d'adéquation est éternelle et inconditionnelle. Schrems II (CJUE 2020) a invalidé le Privacy Shield du jour au lendemain, et le Data Privacy Framework (2023) qui l'a remplacé reste contesté. Les responsables qui n'ont pas cartographié leurs flux dépendants d'une décision d'adéquation se retrouvent en infraction dès la révocation, sans plan de bascule.Ce que ce considérant change concrètement pour votre conformitéUne décision d'adéquation n'est jamais un acquis : la Commission peut la révoquer après notification au pays tiers (Privacy Shield invalidé en 2020, DPF sous recours pendant en 2024-2025).L'adéquation peut être sectorielle (ex : DPF limité aux entreprises US auto-certifiées) ou territoriale (ex : Royaume-Uni post-Brexit). Le périmètre exact doit être vérifié pour chaque transfert.La liste actuelle inclut notamment : Andorre, Argentine, Canada (secteur commercial), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Suisse, Royaume-Uni, Uruguay, États-Unis (DPF uniquement).Même sous adéquation, l'accountability article 5(2) impose de documenter chaque transfert dans le registre article 30 et la politique de confidentialité article 13.Un plan de bascule (Clauses Contractuelles Types + mesures supplémentaires) doit être pré-écrit pour chaque fournisseur clé situé en zone d'adéquation, activable en 30 jours.Comment Luxgap automatise ce risqueNotre Luxgap Adequacy Radar transforme la veille manuelle sur les décisions d'adéquation en surveillance temps-réel opposable à la CNPD. L'outil cartographie automatiquement chacun de vos flux de données transfrontaliers en se connectant à votre Microsoft 365, Salesforce, AWS, Google Workspace, Azure et Cloudflare, identifié la base juridique de transfert pour chaque destination, et déclenche une alerte Teams ou email dès qu'une décision d'adéquation est contestée, suspendue ou révoquée par la Commission ou la CJUE.Détecte automatiquement chaque destination géographique de vos sous-traitants et sous-sous-traitants via inspection des endpoints API, configurations Azure AD et journaux Cloud App Security.Croise en continu la liste officielle des décisions d'adéquation publiée par la Commission européenne avec vos flux réels, et signale les écarts.Surveille les recours pendants devant la CJUE et les avis EDPB pouvant impacter une décision (DPF, UK adequacy, Japan review) avec un score de probabilité de révocation à 12 mois.Génère pour chaque fournisseur un plan de bascule pré-rédigé : Clauses Contractuelles Types 2021/914, TIA documentée, mesures supplémentaires techniques (chiffrement, pseudonymisation).Produit un rapport PDF horodaté cryptographiquemen...

Considérant 103 RGPD — Considérant 103

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 103

Règlement général sur la protection des données · UE 2016/679

(103)

La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.

Spécificité Luxembourg

loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données

Au Luxembourg, la CNPD (et non APDL) est l'autorité de contrôle compétente pour superviser les transferts internationaux. La loi du 1er août 2018 portant organisation de la CNPD lui confère le pouvoir d'auditer les bases juridiques de transfert et de suspendre un flux jugé non conforme, même sous décision d'adéquation, si elle estime que les garanties locales ne sont plus effectives. La place financière luxembourgeoise est particulièrement exposée : les groupes bancaires utilisent massivement des prestataires US (Salesforce, AWS, Microsoft) couverts par le DPF.

Pratique Luxgap : pour les entités CSSF et ILR, nous couplons l'Adequacy Radar avec la cartographie des prestataires critiques au sens de la circulaire CSSF 22/806 sur l'externalisation IT, afin de produire un dossier unique opposable à la CNPD et à la CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 103 éclaire l'article 45 RGPD : une décision d'adéquation de la Commission européenne dispense d'autorisation complémentaire pour transférer des données vers un pays tiers. Le piège, sanctionné régulièrement par la CNIL et surveillé de près par la CNPD, consiste à croire qu'une décision d'adéquation est éternelle et inconditionnelle. Schrems II (CJUE 2020) a invalidé le Privacy Shield du jour au lendemain, et le Data Privacy Framework (2023) qui l'a remplacé reste contesté. Les responsables qui n'ont pas cartographié leurs flux dépendants d'une décision d'adéquation se retrouvent en infraction dès la révocation, sans plan de bascule.

Ce que ce considérant change concrètement pour votre conformité

Une décision d'adéquation n'est jamais un acquis : la Commission peut la révoquer après notification au pays tiers (Privacy Shield invalidé en 2020, DPF sous recours pendant en 2024-2025).
L'adéquation peut être sectorielle (ex : DPF limité aux entreprises US auto-certifiées) ou territoriale (ex : Royaume-Uni post-Brexit). Le périmètre exact doit être vérifié pour chaque transfert.
La liste actuelle inclut notamment : Andorre, Argentine, Canada (secteur commercial), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Suisse, Royaume-Uni, Uruguay, États-Unis (DPF uniquement).
Même sous adéquation, l'accountability article 5(2) impose de documenter chaque transfert dans le registre article 30 et la politique de confidentialité article 13.
Un plan de bascule (Clauses Contractuelles Types + mesures supplémentaires) doit être pré-écrit pour chaque fournisseur clé situé en zone d'adéquation, activable en 30 jours.

Comment Luxgap automatise ce risque

Notre Luxgap Adequacy Radar transforme la veille manuelle sur les décisions d'adéquation en surveillance temps-réel opposable à la CNPD. L'outil cartographie automatiquement chacun de vos flux de données transfrontaliers en se connectant à votre Microsoft 365, Salesforce, AWS, Google Workspace, Azure et Cloudflare, identifié la base juridique de transfert pour chaque destination, et déclenche une alerte Teams ou email dès qu'une décision d'adéquation est contestée, suspendue ou révoquée par la Commission ou la CJUE.

Détecte automatiquement chaque destination géographique de vos sous-traitants et sous-sous-traitants via inspection des endpoints API, configurations Azure AD et journaux Cloud App Security.
Croise en continu la liste officielle des décisions d'adéquation publiée par la Commission européenne avec vos flux réels, et signale les écarts.
Surveille les recours pendants devant la CJUE et les avis EDPB pouvant impacter une décision (DPF, UK adequacy, Japan review) avec un score de probabilité de révocation à 12 mois.
Génère pour chaque fournisseur un plan de bascule pré-rédigé : Clauses Contractuelles Types 2021/914, TIA documentée, mesures supplémentaires techniques (chiffrement, pseudonymisation).
Produit un rapport PDF horodaté cryptographiquement scellé, opposable à la CNPD lors d'un contrôle, qui démontre votre vigilance sur les transferts internationaux conformément aux articles 44 à 49.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos flux réels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition aux révocations d'adéquation avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 103

Ils nous font confiance

Avant de discuter