Je dois mettre mon organisation luxembourgeoise en conformité au considérant 120 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 120 RGPD — Considérant 120

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 120

Règlement général sur la protection des données · UE 2016/679

(120)

Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. Chaque autorité de contrôle devrait disposer d'un budget annuel public propre, qui peut faire partie du budget global national ou d'une entité fédérée.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la CNPD (Commission nationale pour la protection des données, et non APDL) dispose d'un budget annuel public consultable dans la loi budgetaire de l'Etat et publie chaque annee un rapport d'activité detaillant ses priorités de contrôle. La loi du 1er aout 2018 portant organisation de la CNPD précisé son statut d'autorité administrative independante, son financement public et la composition de son college. La CNPD agit comme autorité chef de file pour de nombreux groupes établis au Grand-Duche (telecoms, fonds d'investissement, plateformes web).

Pratique Luxgap : verifiez chaque annee dans le rapport d'activité CNPD les thematiques prioritaires annoncees (cookies, transferts hors UE, IA, registre article 30) et reorientez votre plan de remediation pour couvrir ces sujets avant la fin de l'annee civile.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant impose aux états membres de doter la CNPD, la CNIL ou l'APD/GBA de moyens suffisants. En pratique, les responsables de traitement le sous-estiment : une autorité sous-dotee n'est pas une autorité indulgente, c'est une autorité qui priorisé les contrôles a fort impact mediatique et qui s'appuie massivement sur la cooperation transfrontalière via le mécanisme de guichet unique. La CNPD luxembourgeoise, malgré son effectif reduit comparativement a la CNIL, a démontré sa capacite a piloter des dossiers majeurs en tant qu'autorité chef de file pour les groupes établis a Luxembourg.

Ce que ce considérant change concretement pour vous

La CNPD agit comme autorité chef de file pour de nombreuses multinationales établies au Luxembourg (établissement principal au sens article 56) : un contrôle CNPD peut déclencher une procédure coordonnee impliquant CNIL, APD/GBA, AEPD et autres.
Le budget public annuel des autorités est consultable : il révélé leur capacite d'investigation reelle et leurs priorités thematiques annuelles (cookies, transferts hors UE, IA, mineurs).
La cooperation entre autorités via l'EDPB signifié qu'une plainte deposee a Berlin contre votre filiale luxembourgeoise sera instruite par la CNPD avec les preuves transmises par la BfDI.
Anticiper la priorité annuelle de la CNPD (publiee dans son rapport annuel) permet de cibler vos remediations sur les sujets qui vous exposent reellement a un contrôle dans les 12 prochains mois.

Comment Luxgap automatise ce risque

Notre Luxgap Regulator Radar transforme la veille réglementaire passive en signal d'alerte predictif sur le risque de contrôle reel de la CNPD, CNIL et APD/GBA. L'outil agrege en continu les rapports annuels, les deliberations publiees, les communiqués de presse et les décisions EDPB, puis croise ces signaux avec votre cartographie de traitements pour calculer un score d'exposition par thematique.

Scanne quotidiennement les publications de la CNPD, CNIL, APD/GBA et EDPB via leurs flux RSS et pages officielles, et extrait automatiquement les thematiques prioritaires de l'annee en cours.
Croise les priorités de contrôle identifiées avec votre registre article 30 pour calculer un score d'exposition par traitement et par autorité competente.
Detecte si vous êtes susceptible d'avoir la CNPD comme autorité chef de file au sens article 56 en analysant votre établissement principal et vos activités transfrontalières declarees.
Alerte par email ou Teams des qu'une décision publiee dans un autre état membre concerne un traitement analogue au votre (même finalité, même base légale, même typologie de sous-traitant).
Produit un rapport trimestriel horodate qui démontré votre démarché d'anticipation, opposable comme element d'accountability article 5(2) lors d'un contrôle.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux priorités de contrôle 2025 de la CNPD.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 120

Ils nous font confiance

Avant de discuter