Je dois mettre mon organisation luxembourgeoise en conformité au considérant 110 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 110 ouvre la voie aux Binding Corporate Rules (BCR) pour les groupes multinationaux, mais la réalité est plus dure : la CNPD et la CNIL refusent systématiquement les BCR qui ne couvrent pas tous les principes essentiels du RGPD et qui n'incluent pas de droits opposables réels pour les personnes concernées. Le piège classique est de croire qu'un code de conduite groupe interne suffit, alors que les BCR exigent une approbation formelle par l'autorité chef de file selon la procédure article 47, avec consultation de l'EDPB. Les groupes luxembourgeois qui transfèrent vers leurs filiales en Asie ou en Amérique du Nord sans BCR approuvées s'appuient souvent sur les clauses contractuelles types, sans réaliser que celles-ci nécessitent désormais une TIA (Transfer Impact Assessment) post-Schrems II pour chaque flux.Ce que vos BCR doivent contenir pour passer l'approbationApplication juridiquement contraignante à toutes les entités du groupe, démontrée par un instrument intra-groupe signé.Couverture explicite de tous les principes article 5 : licéité, finalité, minimisation, exactitude, conservation limitée, intégrité, responsabilité.Droits opposables des personnes concernées directement à l'encontre de l'entité importatrice, y compris devant les juridictions de l'UE.Mécanisme de plainte interne, audits réguliers et coopération avec l'autorité chef de file.Identification du DPO ou point de contact groupe responsable du respect des BCR.Procédure de gestion des conflits de lois (par exemple ordonnance d'accès gouvernemental non-UE).Transparence vis-à-vis des personnes concernées : publication des BCR et information sur les transferts.Comment Luxgap automatise ce risqueNotre Luxgap BCR Compliance Engine transforme le projet BCR, généralement étalé sur 18 à 24 mois, en un dossier d'approbation pré-instruit et opposable à la CNPD chef de file. L'outil cartographie automatiquement les flux intra-groupe en se connectant à votre Active Directory multi-tenant, votre ERP groupe (SAP, Oracle, Workday) et vos pare-feux sortants pour révéler la réalité des transferts, et non la version déclarée dans le registre article 30.Détecte en continu chaque nouveau flux de données personnelles entre entités du groupe via analyse des journaux Microsoft Defender, Azure Sentinel et logs réseau, sans intervention manuelle du DPO.Classifie chaque transfert selon la grille article 47 et identifié les zones non couvertes par le projet de BCR en cours.Génère un projet de BCR pré-rempli, structuré selon le référentiel WP256 rev.01 de l'EDPB, prêt à être soumis à l'autorité chef de file.Calcule un score de maturité BCR par entité du groupe et priorisé les filiales à mettre en conformité avant dépôt du dossier.Produit la TIA complémentaire automatisée pour chaque pays d'importation, intégrant la jurisprudence Schrems II et les recommandations EDPB 01/2020.Émet un rapport PDF horodaté, cryptographiquement scellé, opposable lors d'un contrôle CNPD démontran...

Considérant 110 RGPD — Considérant 110

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 110

Règlement général sur la protection des données · UE 2016/679

(110)

Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Spécificité Luxembourg

loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données

Au Luxembourg, la CNPD agit fréquemment comme autorité chef de file pour les BCR des groupes financiers et industriels ayant leur siège ou leur holding au Grand-Duché (banques privées, fonds, groupes de e-commerce, telcos). La loi du 1er août 2018 portant organisation de la CNPD confirme sa compétence pour instruire les dossiers BCR article 47 et coopérer avec les autres autorités concernées via le mécanisme de cohérence EDPB. La CNPD a publié des orientations pratiques sur la procédure d'approbation et privilégie un dialogue préalable structuré avant tout dépôt formel.

Pratique Luxgap : pour les groupes luxembourgeois, nous recommandons un pre-filing meeting avec la CNPD avant tout dépôt officiel, afin de cadrer les attentes sur la TIA et les filiales hors UE. Notre équipe prépare le dossier et accompagne la phase d'instruction jusqu'à l'avis EDPB.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 110 ouvre la voie aux Binding Corporate Rules (BCR) pour les groupes multinationaux, mais la réalité est plus dure : la CNPD et la CNIL refusent systématiquement les BCR qui ne couvrent pas tous les principes essentiels du RGPD et qui n'incluent pas de droits opposables réels pour les personnes concernées. Le piège classique est de croire qu'un code de conduite groupe interne suffit, alors que les BCR exigent une approbation formelle par l'autorité chef de file selon la procédure article 47, avec consultation de l'EDPB. Les groupes luxembourgeois qui transfèrent vers leurs filiales en Asie ou en Amérique du Nord sans BCR approuvées s'appuient souvent sur les clauses contractuelles types, sans réaliser que celles-ci nécessitent désormais une TIA (Transfer Impact Assessment) post-Schrems II pour chaque flux.

Ce que vos BCR doivent contenir pour passer l'approbation

Application juridiquement contraignante à toutes les entités du groupe, démontrée par un instrument intra-groupe signé.
Couverture explicite de tous les principes article 5 : licéité, finalité, minimisation, exactitude, conservation limitée, intégrité, responsabilité.
Droits opposables des personnes concernées directement à l'encontre de l'entité importatrice, y compris devant les juridictions de l'UE.
Mécanisme de plainte interne, audits réguliers et coopération avec l'autorité chef de file.
Identification du DPO ou point de contact groupe responsable du respect des BCR.
Procédure de gestion des conflits de lois (par exemple ordonnance d'accès gouvernemental non-UE).
Transparence vis-à-vis des personnes concernées : publication des BCR et information sur les transferts.

Comment Luxgap automatise ce risque

Notre Luxgap BCR Compliance Engine transforme le projet BCR, généralement étalé sur 18 à 24 mois, en un dossier d'approbation pré-instruit et opposable à la CNPD chef de file. L'outil cartographie automatiquement les flux intra-groupe en se connectant à votre Active Directory multi-tenant, votre ERP groupe (SAP, Oracle, Workday) et vos pare-feux sortants pour révéler la réalité des transferts, et non la version déclarée dans le registre article 30.

Détecte en continu chaque nouveau flux de données personnelles entre entités du groupe via analyse des journaux Microsoft Defender, Azure Sentinel et logs réseau, sans intervention manuelle du DPO.
Classifie chaque transfert selon la grille article 47 et identifié les zones non couvertes par le projet de BCR en cours.
Génère un projet de BCR pré-rempli, structuré selon le référentiel WP256 rev.01 de l'EDPB, prêt à être soumis à l'autorité chef de file.
Calcule un score de maturité BCR par entité du groupe et priorisé les filiales à mettre en conformité avant dépôt du dossier.
Produit la TIA complémentaire automatisée pour chaque pays d'importation, intégrant la jurisprudence Schrems II et les recommandations EDPB 01/2020.
Émet un rapport PDF horodaté, cryptographiquement scellé, opposable lors d'un contrôle CNPD démontrant l'accountability article 5(2) du groupe.

Disponible en complément d'un mandat DPO Luxgap groupe ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos flux intra-groupe réels, avec un audit blanc gratuit sous 48h pour mesurer la maturité BCR de votre groupe avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 110

Ils nous font confiance

Avant de discuter