Je dois mettre mon organisation luxembourgeoise en conformité au considérant 128 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueBeaucoup d'organismes publics ou privés agissant dans l'intérêt public (communes, hôpitaux, fondations, opérateurs de service public) croient à tort pouvoir bénéficier du guichet unique parce qu'ils traitent des données de résidents de plusieurs États membres. C'est faux : la CNPD est la seule autorité compétente dès lors que l'entité est établie au Luxembourg et agit dans une mission d'intérêt public, et ce même si le traitement a des effets transfrontaliers. L'erreur classique consiste à désigner une lead supervisory authority dans un autre pays parce que le siège du groupe y est, ce qui conduit à une compétence territoriale mal identifiée et à des notifications de violation envoyées à la mauvaise autorité.Les conséquences opérationnelles du considérant 128Une commune luxembourgeoise traitant des données dans le cadre de ses missions régaliennes relève exclusivement de la CNPD, jamais de la CNIL ou de l'APD belge, même pour des frontaliers.Un hôpital public luxembourgeois soignant des résidents français, belges et allemands notifié ses violations uniquement à la CNPD (article 33).Une fondation reconnue d'utilité publique gérant des bourses transfrontalières reste sous compétence CNPD, sans bénéfice du guichet unique.Un opérateur privé délégataire d'une mission d'intérêt public (gestionnaire d'un service public concédé) bascule également sous compétence exclusive de l'autorité du lieu d'établissement.Le test n'est pas le statut juridique de l'entité mais la nature de la mission : article 6(1)(e) RGPD (mission d'intérêt public) déclenche l'exclusion du guichet unique.Pour les traitements mixtes (partie commerciale, partie intérêt public), il faut segmenter le registre article 30 par finalité pour identifier ce qui relève du guichet unique et ce qui n'en relève pas.Comment Luxgap automatise ce risqueNotre Luxgap Jurisdiction Mapper ferme définitivement la question "quelle autorité est compétente pour quel traitement" en cartographiant chaque finalité de votre registre article 30 et en y associant l'autorité de contrôle juridiquement compétente, considérant 128 inclus. L'outil analyse en continu votre registre, vos bases légales déclarées et la qualification juridique de votre entité pour produire une matrice de compétence opposable, sans demander au DPO de trancher seul des questions de droit institutionnel.Classifie chaque traitement du registre article 30 selon sa base légale (article 6(1)(a) à (f)) et détecte automatiquement les missions d'intérêt public qui excluent le guichet unique.Identifié l'autorité de contrôle compétente pour chaque finalité (CNPD seule, ou CNPD comme cheffe de file via guichet unique) et matérialise la frontière entre les deux régimes.Génère un plan de notification de violation préqualifié, qui route automatiquement vers la bonne autorité (CNPD, CNIL, APD/GBA) en fonction du traitement concerné par l'incident.Alerte le DPO en temps réel si un nouveau traitement créé dans le registre est mal qualifié...

Considérant 128 RGPD — Considérant 128

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 128

Règlement général sur la protection des données · UE 2016/679

(128)

Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans l'intérêt public. Dans ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.

Spécificité Luxembourg

loi du 1er août 2018 portant organisation de la CNPD et mise en œuvre du RGPD

Au Luxembourg, la CNPD est l'unique autorité de contrôle compétente pour les autorités publiques et organismes privés agissant dans l'intérêt public et établis sur le territoire, conformément à la loi du 1er août 2018 portant organisation de la CNPD et mise en œuvre du RGPD. La CNPD a publié plusieurs lignes directrices rappelant que les communes, hôpitaux et établissements publics relèvent exclusivement de sa compétence, y compris pour les traitements à effet transfrontalier touchant les frontaliers français, belges et allemands.

Pratique Luxgap : pour toute entité luxembourgeoise à mission d'intérêt public, nous recommandons d'inscrire explicitement dans le registre article 30 la mention "considérant 128 - guichet unique exclu - autorité compétente : CNPD" pour chaque finalité concernée, afin d'éviter toute ambiguïté lors d'une notification de violation transfrontalière.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'organismes publics ou privés agissant dans l'intérêt public (communes, hôpitaux, fondations, opérateurs de service public) croient à tort pouvoir bénéficier du guichet unique parce qu'ils traitent des données de résidents de plusieurs États membres. C'est faux : la CNPD est la seule autorité compétente dès lors que l'entité est établie au Luxembourg et agit dans une mission d'intérêt public, et ce même si le traitement a des effets transfrontaliers. L'erreur classique consiste à désigner une lead supervisory authority dans un autre pays parce que le siège du groupe y est, ce qui conduit à une compétence territoriale mal identifiée et à des notifications de violation envoyées à la mauvaise autorité.

Les conséquences opérationnelles du considérant 128

Une commune luxembourgeoise traitant des données dans le cadre de ses missions régaliennes relève exclusivement de la CNPD, jamais de la CNIL ou de l'APD belge, même pour des frontaliers.
Un hôpital public luxembourgeois soignant des résidents français, belges et allemands notifié ses violations uniquement à la CNPD (article 33).
Une fondation reconnue d'utilité publique gérant des bourses transfrontalières reste sous compétence CNPD, sans bénéfice du guichet unique.
Un opérateur privé délégataire d'une mission d'intérêt public (gestionnaire d'un service public concédé) bascule également sous compétence exclusive de l'autorité du lieu d'établissement.
Le test n'est pas le statut juridique de l'entité mais la nature de la mission : article 6(1)(e) RGPD (mission d'intérêt public) déclenche l'exclusion du guichet unique.
Pour les traitements mixtes (partie commerciale, partie intérêt public), il faut segmenter le registre article 30 par finalité pour identifier ce qui relève du guichet unique et ce qui n'en relève pas.

Comment Luxgap automatise ce risque

Notre Luxgap Jurisdiction Mapper ferme définitivement la question "quelle autorité est compétente pour quel traitement" en cartographiant chaque finalité de votre registre article 30 et en y associant l'autorité de contrôle juridiquement compétente, considérant 128 inclus. L'outil analyse en continu votre registre, vos bases légales déclarées et la qualification juridique de votre entité pour produire une matrice de compétence opposable, sans demander au DPO de trancher seul des questions de droit institutionnel.

Classifie chaque traitement du registre article 30 selon sa base légale (article 6(1)(a) à (f)) et détecte automatiquement les missions d'intérêt public qui excluent le guichet unique.
Identifié l'autorité de contrôle compétente pour chaque finalité (CNPD seule, ou CNPD comme cheffe de file via guichet unique) et matérialise la frontière entre les deux régimes.
Génère un plan de notification de violation préqualifié, qui route automatiquement vers la bonne autorité (CNPD, CNIL, APD/GBA) en fonction du traitement concerné par l'incident.
Alerte le DPO en temps réel si un nouveau traitement créé dans le registre est mal qualifié (par exemple une mission d'intérêt public déclarée à tort comme intérêt légitime transfrontalier).
Produit un avis de compétence horodaté, opposable à la CNPD en cas de contrôle, qui démontre la cohérence entre la qualification juridique de l'entité et le régime procédural appliqué.
Suit les lignes directrices EDPB 8/2022 sur l'identification de l'autorité chef de file et met à jour la matrice dès qu'une nouvelle position est publiée.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre registre réel, avec un audit blanc gratuit sous 48h pour identifier les traitements actuellement mal rattachés au guichet unique.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 128

Ils nous font confiance

Avant de discuter