Je dois mettre mon organisation luxembourgeoise en conformité au considérant 108 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 108 eclaire l'article 46 : en l'absence de décision d'adéquation, vous devez compenser l'insuffisance du pays tiers par des garanties appropriees. Les organisations sanctionnées par la CNPD, la CNIL ou la GBA ne le sont pas parce qu'elles ignorent les Clauses Contractuelles Types (CCT), mais parce qu'elles les signent sans rien faire d'autre : pas d'analyse d'impact du transfert (TIA), pas de mesures supplémentaires post-Schrems II, pas de vérification des droits opposables reels dans le pays destinataire. La signature des CCT n'est qu'un point de depart, pas une assurance tous risques.Le test 'garanties appropriees' : ce que la CNPD vérifié reellementOutil juridique adapte : CCT 2021/914, BCR approuvees par l'EDPB, code de conduite certifie, ou arrangement administratif autorise par la CNPD pour les acteurs publics.Transfer Impact Assessment documente : analyse du droit local (lois de surveillance type FISA 702, EO 12333, lois chinoises de cybersécurité), évaluation de la probabilité d'accès gouvernemental, qualification de la sensibilite des données.Mesures supplémentaires concretes : chiffrement avec clés conservees dans l'UE, pseudonymisation forte, split processing, contractual warrants canaries.Droits opposables effectifs : la personne concernee peut-elle reellement saisir un tribunal ou un mediateur (Data Privacy Framework Court pour les USA) ?Principes by design et by default : minimisation et limitation des finalités prévues contractuellement, pas seulement evoquees.Revue périodique : reevaluation des que le droit local evolue (nouvelles lois de surveillance, changement de jurisprudence locale).Pour les autorités publiques luxembourgeoises (communes, ministeres, établissements publics) qui echangent avec des homologues hors UE, le considérant 108 impose une vigilance spécifique : un simple memorandum of understanding non contraignant juridiquement doit être autorise préalablement par la CNPD.Comment Luxgap automatise ce risqueNotre Luxgap Transfer Safeguards Engine transforme la corvee du TIA en preuve opposable a la CNPD, en moins de 4 heures par flux transfrontalier. L'outil cartographie automatiquement vos transferts hors UE en interrogeant vos tenants M365, Salesforce, AWS, GCP, Workday et Odoo, identifié le pays d'hébergement reel de chaque donnée (pas le pays du siège du fournisseur), et croise le tout avec une base juridique mise à jour mensuellement par nos juristes sur 47 juridictions tierces.Detecte chaque transfert hors UE en temps reel en analysant les logs d'accès, les regions cloud et les sous-traitants ulterieurs declares dans les DPA.Genere le Transfer Impact Assessment pre-rempli avec l'analyse des lois de surveillance du pays destinataire (FISA 702, CLOUD Act, loi chinoise de renseignement national 2017), referencees aux recommandations EDPB 01/2020.Propose les mesures supplémentaires techniques adaptees au niveau de risque : chiffrement BYOK avec HSM luxembourgeois (LuxConnect, eBRC)...

Considérant 108 RGPD — Considérant 108

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 108

Règlement général sur la protection des données · UE 2016/679

(108)

En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d'introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la CNPD (et non l'APDL) est l'autorité competente pour autoriser les arrangements administratifs non juridiquement contraignants vises par le considérant 108, en application de l'article 46(3)(b) RGPD. La loi du 1er aout 2018 portant organisation de la CNPD précisé la procédure d'autorisation préalable, particulièrement sollicitee par les administrations luxembourgeoises echangeant avec des homologues hors UE (cooperation fiscale, douaniere, judiciaire).

Pratique Luxgap : pour les acteurs publics luxembourgeois et les fintechs CSSF transferant vers des entités de groupe hors UE, nous preparons le dossier d'autorisation CNPD complet (TIA + projet d'arrangement + mesures supplementaires) et assurons le suivi jusqu'a la décision, généralement obtenue en 3 a 6 mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 108 eclaire l'article 46 : en l'absence de décision d'adéquation, vous devez compenser l'insuffisance du pays tiers par des garanties appropriees. Les organisations sanctionnées par la CNPD, la CNIL ou la GBA ne le sont pas parce qu'elles ignorent les Clauses Contractuelles Types (CCT), mais parce qu'elles les signent sans rien faire d'autre : pas d'analyse d'impact du transfert (TIA), pas de mesures supplémentaires post-Schrems II, pas de vérification des droits opposables reels dans le pays destinataire. La signature des CCT n'est qu'un point de depart, pas une assurance tous risques.

Le test 'garanties appropriees' : ce que la CNPD vérifié reellement

Outil juridique adapte : CCT 2021/914, BCR approuvees par l'EDPB, code de conduite certifie, ou arrangement administratif autorise par la CNPD pour les acteurs publics.
Transfer Impact Assessment documente : analyse du droit local (lois de surveillance type FISA 702, EO 12333, lois chinoises de cybersécurité), évaluation de la probabilité d'accès gouvernemental, qualification de la sensibilite des données.
Mesures supplémentaires concretes : chiffrement avec clés conservees dans l'UE, pseudonymisation forte, split processing, contractual warrants canaries.
Droits opposables effectifs : la personne concernee peut-elle reellement saisir un tribunal ou un mediateur (Data Privacy Framework Court pour les USA) ?
Principes by design et by default : minimisation et limitation des finalités prévues contractuellement, pas seulement evoquees.
Revue périodique : reevaluation des que le droit local evolue (nouvelles lois de surveillance, changement de jurisprudence locale).

Pour les autorités publiques luxembourgeoises (communes, ministeres, établissements publics) qui echangent avec des homologues hors UE, le considérant 108 impose une vigilance spécifique : un simple memorandum of understanding non contraignant juridiquement doit être autorise préalablement par la CNPD.

Comment Luxgap automatise ce risque

Notre Luxgap Transfer Safeguards Engine transforme la corvee du TIA en preuve opposable a la CNPD, en moins de 4 heures par flux transfrontalier. L'outil cartographie automatiquement vos transferts hors UE en interrogeant vos tenants M365, Salesforce, AWS, GCP, Workday et Odoo, identifié le pays d'hébergement reel de chaque donnée (pas le pays du siège du fournisseur), et croise le tout avec une base juridique mise à jour mensuellement par nos juristes sur 47 juridictions tierces.

Detecte chaque transfert hors UE en temps reel en analysant les logs d'accès, les regions cloud et les sous-traitants ulterieurs declares dans les DPA.
Genere le Transfer Impact Assessment pre-rempli avec l'analyse des lois de surveillance du pays destinataire (FISA 702, CLOUD Act, loi chinoise de renseignement national 2017), referencees aux recommandations EDPB 01/2020.
Propose les mesures supplémentaires techniques adaptees au niveau de risque : chiffrement BYOK avec HSM luxembourgeois (LuxConnect, eBRC), pseudonymisation, anonymisation differentielle.
Alerte instantanement via Teams ou Slack des qu'un nouveau service active une region hors UE (ex : activation d'une preview Azure en Inde) ou des qu'une évolution juridique invalide une garantie (suivi des décisions CJUE, EDPB, CNPD).
Produit un dossier PDF horodate et cryptographiquement scelle, opposable a la CNPD, demontrant la chaîne complète : CCT signees + TIA + mesures supplémentaires + revue périodique.
Géré le cas spécifique des autorités publiques : modèles d'arrangements administratifs article 46(3)(b) prets a soumettre a la CNPD pour autorisation préalable.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux reels, avec un scan gratuit sous 48h pour cartographier vos transferts hors UE avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 108

Ils nous font confiance

Avant de discuter