Je dois mettre mon organisation luxembourgeoise en conformité au considérant 13 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 13 est massivement mal lu par les PME luxembourgeoises : beaucoup pensent qu'occuper moins de 250 salariés les exonère de tenir un registre des traitements article 30. C'est faux. La dérogation est neutralisée dès qu'il y a un traitement non occasionnel, un traitement susceptible d'engendrer un risque pour les droits et libertés, ou un traitement de données sensibles ou pénales. En pratique, la CNPD considère que quasiment toute PME paie des salariés, gère des clients récurrents et fait du marketing : la dérogation tombe. Les lignes directrices EDPB et la position commune des autorités confirment cette lecture stricte.Comment lire concrètement le considérant 13Marché intérieur : un acteur luxembourgeois qui traite des données de résidents belges, français ou allemands relève d'un cadre unique. Pas de forum shopping réglementaire possible.Sanctions équivalentes : la CNPD applique les mêmes plafonds (20 M'EUR ou 4% du CA mondial) que la CNIL ou l'APD/GBA. Être une petite structure luxembourgeoise ne minore pas l'amende théorique.Dérogation PME article 30(5) : ne dispense que si les trois conditions cumulatives sont remplies. Dès que vous avez un site e-commerce ou un CRM actif, vous êtes hors dérogation.Coopération entre autorités : le mécanisme de guichet unique implique que votre autorité chef de file peut ne pas être la CNPD si votre établissement principal est ailleurs. À vérifier pour les groupes.Référence recommandation 2003/361/CE : la notion de PME suit les seuils européens (effectif, CA, bilan), pas une définition luxembourgeoise locale.Comment Luxgap automatise ce risqueNotre Luxgap SME Derogation Analyzer tranche en 90 secondes la question qui empoisonne toutes les PME luxembourgeoises : suis-je vraiment dispensé du registre article 30 ? L'outil interroge automatiquement vos systèmes connectés (M365, Odoo, Salesforce, Sage BOB 50, votre site web via snippet JS) pour détecter les traitements disqualifiants, et produit un verdict opposable plutôt qu'une auto-déclaration optimiste.Scanne vos flux de données réels pour identifier tout traitement non occasionnel, automatique disqualifiant pour la dérogation article 30(5).Détecte la présence de données sensibles (santé, syndicales, biométriques) dans vos CRM, HRIS et boîtes mails partagées, sans que le DPO ait besoin de les lister manuellement.Calcule votre statut PME au sens strict de la recommandation 2003/361/CE en croisant effectif, CA et bilan via vos exports comptables Sage ou Cegid.Identifié automatiquement votre autorité chef de file probable (CNPD, CNIL, APD/GBA) en cartographiant vos établissements et la localisation effective des décisions de traitement.Génère un avis juridique horodaté et signé qui documente votre éligibilité ou non-éligibilité à la dérogation, opposable en cas de contrôle CNPD.Alerte en temps réel dès qu'un nouveau traitement (nouvelle intégration SaaS, nouveau module RH) fait basculer votre statut hors dérogation.Disponible en ...

Considérant 13 RGPD — Considérant 13

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 13

Règlement général sur la protection des données · UE 2016/679

(13)

Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d'obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu'une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de se baser sur l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission (5).

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données

Au Luxembourg, la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données confirme que la CNPD applique strictement la lecture restrictive de la dérogation article 30(5). La CNPD a publié des orientations rappelant que la grande majorité des PME luxembourgeoises restent tenues de maintenir un registre des traitements, du fait du traitement non occasionnel des données RH et clients.

Pratique Luxgap : ne jamais s'auto-déclarer dispensé du registre sans un avis documenté. Le coût d'un registre bien tenu est dérisoire face au risque d'une amende article 83 pour défaut d'accountability article 5(2).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 13 est massivement mal lu par les PME luxembourgeoises : beaucoup pensent qu'occuper moins de 250 salariés les exonère de tenir un registre des traitements article 30. C'est faux. La dérogation est neutralisée dès qu'il y a un traitement non occasionnel, un traitement susceptible d'engendrer un risque pour les droits et libertés, ou un traitement de données sensibles ou pénales. En pratique, la CNPD considère que quasiment toute PME paie des salariés, gère des clients récurrents et fait du marketing : la dérogation tombe. Les lignes directrices EDPB et la position commune des autorités confirment cette lecture stricte.

Comment lire concrètement le considérant 13

Marché intérieur : un acteur luxembourgeois qui traite des données de résidents belges, français ou allemands relève d'un cadre unique. Pas de forum shopping réglementaire possible.
Sanctions équivalentes : la CNPD applique les mêmes plafonds (20 M'EUR ou 4% du CA mondial) que la CNIL ou l'APD/GBA. Être une petite structure luxembourgeoise ne minore pas l'amende théorique.
Dérogation PME article 30(5) : ne dispense que si les trois conditions cumulatives sont remplies. Dès que vous avez un site e-commerce ou un CRM actif, vous êtes hors dérogation.
Coopération entre autorités : le mécanisme de guichet unique implique que votre autorité chef de file peut ne pas être la CNPD si votre établissement principal est ailleurs. À vérifier pour les groupes.
Référence recommandation 2003/361/CE : la notion de PME suit les seuils européens (effectif, CA, bilan), pas une définition luxembourgeoise locale.

Comment Luxgap automatise ce risque

Notre Luxgap SME Derogation Analyzer tranche en 90 secondes la question qui empoisonne toutes les PME luxembourgeoises : suis-je vraiment dispensé du registre article 30 ? L'outil interroge automatiquement vos systèmes connectés (M365, Odoo, Salesforce, Sage BOB 50, votre site web via snippet JS) pour détecter les traitements disqualifiants, et produit un verdict opposable plutôt qu'une auto-déclaration optimiste.

Scanne vos flux de données réels pour identifier tout traitement non occasionnel, automatique disqualifiant pour la dérogation article 30(5).
Détecte la présence de données sensibles (santé, syndicales, biométriques) dans vos CRM, HRIS et boîtes mails partagées, sans que le DPO ait besoin de les lister manuellement.
Calcule votre statut PME au sens strict de la recommandation 2003/361/CE en croisant effectif, CA et bilan via vos exports comptables Sage ou Cegid.
Identifié automatiquement votre autorité chef de file probable (CNPD, CNIL, APD/GBA) en cartographiant vos établissements et la localisation effective des décisions de traitement.
Génère un avis juridique horodaté et signé qui documente votre éligibilité ou non-éligibilité à la dérogation, opposable en cas de contrôle CNPD.
Alerte en temps réel dès qu'un nouveau traitement (nouvelle intégration SaaS, nouveau module RH) fait basculer votre statut hors dérogation.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos données réelles, avec un audit blanc gratuit sous 48h pour matérialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 13

Ils nous font confiance

Avant de discuter