Je dois mettre mon organisation luxembourgeoise en conformité au considérant 149 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 149 RGPD — Considérant 149

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 149

Règlement général sur la protection des données · UE 2016/679

(149)

Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees et mise en oeuvre du RGPD

Au Luxembourg, les sanctions penales en matiere de protection des données sont prevues par la loi du 1er aout 2018 portant organisation de la CNPD et mise en oeuvre du RGPD, ainsi que par les articles 458 et suivants du Code penal (secret professionnel) et les dispositions sur les traitements illicites. Le procureur d'Etat de Luxembourg peut être saisi par la CNPD via le mécanisme prevu a l'article 47 de la loi de 2018, et les profits illicites peuvent faire l'objet d'une confiscation au titre de l'article 32 du Code penal luxembourgeois.

Pratique Luxgap : en cas de contrôle CNPD touchant des données sensibles ou des soupcons de collecte deloyale, presumez le double track et activez immediatement votre conseil penal en parallele de votre défense administrative, car la separation des procédures n'empeche pas la circulation des pieces.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 149 ouvre la porté aux sanctions pénales nationales en plus des amendes administratives de la CNPD. Le piège : croire qu'une amende CNPD epuise le risque. En réalité, au Luxembourg comme en France, certaines violations RGPD (collecte deloyale, traitement illicite de données sensibles, entrave a l'exercice des droits) peuvent déclencher des poursuites pénales paralleles, avec saisie des profits. La règle ne bis in idem telle qu'interpretee par la CJUE (arrets bpost et Nordzucker de 2022) n'interdit pas le cumul si les procédures poursuivent des finalités complementaires et restent proportionnées.

Les zones d'exposition pénale a cartographier

Collecte frauduleuse ou deloyale de données personnelles (typiquement scraping massif, faux formulaires, achat de bases illicites).
Traitement de données sensibles (santé, opinions politiques, orientation sexuelle) sans base légale, expressement reprime par les codes pénaux nationaux.
Entrave a l'autorité de contrôle : refus de cooperer avec la CNPD, destruction de preuves, fausses déclarations lors d'un contrôle.
Reidentification volontaire de données pseudonymisees ou anonymisees.
Profits illicites saisissables : le considérant autorise expressement la confiscation du chiffre d'affaires genere par le traitement illicite, ce qui peut depasser largement le plafond de 20 M'EUR ou 4 pourcent du CA mondial.

Le cumul pénal + administratif : conditions de validité

La CJUE exige trois conditions cumulatives pour valider le double track : finalités distinctes des deux procédures, coordination effective entre parquet et autorité administrative, proportionnalite globale de la sanction totale. En pratique cela signifié qu'une défense efficace doit être construite des le premier contrôle CNPD, car les pièces produites peuvent être transmises au parquet.

Comment Luxgap automatise ce risque

Notre Luxgap Criminal Exposure Mapper transforme votre cartographie des traitements en radar du risque pénal cache, distinct du risque administratif classique. L'outil croise votre registre article 30, vos bases légales declarees, vos catégories de données et la jurisprudence pénale luxembourgeoise et européenne pour identifier les traitements ou un double track CNPD + parquet est juridiquement possible, bien avant qu'un signalement n'arrive au procureur d'état.

Detecte automatiquement les traitements a risque pénal eleve en croisant catégories de données, finalités declarees et qualifications pénales du Code pénal luxembourgeois et des codes nationaux concernes.
Calcule un score d'exposition ne bis in idem selon la grille CJUE bpost et Nordzucker, en mesurant la proximite des finalités entre procédure administrative et pénale envisageable.
Simule le montant des profits saisissables sur la base de vos données comptables Odoo, Sage BOB 50 ou SAP, en isolant le chiffre d'affaires attribuable au traitement litigieux.
Genere une note de défense prete a remettre a votre conseil pénal en cas de contrôle CNPD, documentant les arguments de proportionnalite et de coordination.
Alerte en temps reel via Teams ou Slack des qu'un nouveau traitement enregistré dans votre registre franchit un seuil d'exposition pénale predefini.
Produit un rapport PDF horodate, opposable devant la CNPD comme devant le jugé d'instruction, demontrant votre démarché proactive d'évaluation du risque.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos traitements reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition pénale avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 149

Ils nous font confiance

Avant de discuter