Je dois mettre mon organisation luxembourgeoise en conformité au considérant 15 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 15 RGPD — Considérant 15

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 15

Règlement général sur la protection des données · UE 2016/679

(15)

Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données

Au Luxembourg, la loi du 1er août 2018 portant organisation de la CNPD confirme l'application du critère de structuration du considérant 15 sans seuil minimum d'effectif ou de volume. La CNPD contrôle régulièrement les cabinets d'avocats, fiduciaires et family offices dont les dossiers papier clients constituent des fichiers structurés au sens du règlement, même en l'absence de tout outil informatique.

Pratique Luxgap : pour les structures luxembourgeoises à fort patrimoine documentaire papier (notaires, fiduciaires, avocats), nous déclenchons systématiquement un volet OCR + classification physique en parallèle du scan numérique, car la CNPD considère le classement alphabétique d'archives clients comme un traitement à part entière.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 15 pose la neutralité technologique : peu importe que vos données soient dans un CRM cloud, un tableur Excel, un classeur papier ou une base Notion improvisée par le marketing. Dès qu'un ensemble est structuré selon des critères déterminés (par nom, par date d'embauche, par numéro de dossier), le RGPD s'applique intégralement. La CNPD et la CNIL sanctionnent régulièrement les organisations qui pensaient échapper au règlement parce qu'elles utilisaient des armoires physiques, des PDF partagés, ou des outils shadow IT hors du SI officiel.

Le test concret du 'fichier structuré'

Un classeur papier RH trié alphabétiquement par nom de salarié : RGPD applicable.
Une boîte de cartes de visite non triée : hors champ (pas de critère structurant).
Un dossier SharePoint avec un fichier par client : RGPD applicable même sans base de données.
Des emails archivés mais indexés par expéditeur dans Outlook : RGPD applicable.
Un WhatsApp d'équipe avec discussions clients : RGPD applicable dès qu'on peut retrouver une personne par recherché.
Une caméra de vidéosurveillance avec horodatage et zone : RGPD applicable (traitement automatisé).

L'erreur fréquente consiste à inventorier uniquement les applications officielles du SI (Odoo, M365, Salesforce) en oubliant les Excel partagés sur OneDrive, les bases Airtable du marketing, les Trello RH, les Google Sheets de la direction commerciale, et les dossiers papier des services généraux. C'est précisément là que se trouvent les traitements non déclarés au registre article 30.

Comment Luxgap automatise ce risque

Notre Luxgap Shadow Data Discovery élimine définitivement le risque de traitement oublié en cartographiant l'intégralité des fichiers structurés contenant des données personnelles, qu'ils soient dans une application officielle, un partagé OneDrive sauvage, un classeur papier scanné, ou une base SaaS achetée par carte bleue par le marketing sans passer par la DSI. Un agent IA analyse en continu vos sources connectées (Microsoft Purview, Google Workspace DLP, AWS Macie, Box, Dropbox Business, Egnyte) et applique une heuristique de structuration sémantique pour distinguer un véritable filing system au sens du considérant 15 d'un simple amas de documents non indexés.

Scanne en continu vos tenants M365, Google Workspace, Slack, Teams, SharePoint et drives partagés pour détecter tout fichier contenant des données personnelles structurées (colonnes nom/email/IBAN/NIR).
Classifie chaque ensemble détecté selon le critère du considérant 15 : structuré (in scope) ou non structuré (out of scope), avec justification écrite opposable.
Détecte les outils SaaS payés en carte corporate via intégration Pleo, Spendesk ou Revolut Business et signale les bases de données personnelles qui en découlent.
Cartographie les traitements manuels papier via reconnaissance OCR des scans archivés sur vos NAS et Synology.
Alerte instantanément sur Teams ou Slack dès qu'un nouvel ensemble structuré apparaît hors du registre article 30 officiel.
Produit un rapport PDF horodaté cryptographiquement scellé, opposable à la CNPD, démontrant l'exhaustivité de votre cartographie au regard de la neutralité technologique.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmètre réel, avec un audit blanc gratuit sous 48h pour révéler les traitements non déclarés que vous ignorez encore.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 15

Ils nous font confiance

Avant de discuter