Je dois mettre mon organisation luxembourgeoise en conformité au considérant 158 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 158 eclaire l'article 89 RGPD sur l'archivage dans l'intérêt public. Le piège que la CNPD et la CNIL detectent régulièrement : confondre archivage courant (données actives ou intermédiaires conservees pour des besoins opérationnels) avec archivage definitif dans l'intérêt public. Beaucoup d'organisations invoquent l'archivage pour justifier une conservation indefinie, alors que seuls les services archivistiques legalement habilites (Archives nationales du Luxembourg, services d'archives publics au sens de la loi du 17 aout 2018) peuvent bénéficier des derogations etendues de l'article 89. Une PME qui garde dix ans de mails RH ne fait pas de l'archivage definitif : elle fait de la conservation, soumise au principe de limitation.Les critères pour qualifier un traitement d'archivage au sens du considérant 158Obligation légale de collecter, conserver, évaluer, organiser et donner accès (et non simple faculte interne).Intérêt public general documente : recherché historique, mémoire collective, transparence democratique, lutte contre le revisionnisme.Conservation a titre definitif (et non durée limitee post-utilite metier).Service identifié : Archives nationales, services d'archives ministeriels, organismes privés delegataires d'une mission de service public archivistique.Garanties appropriees article 89(1) : pseudonymisation, minimisation, contrôle d'accès, separation logique des fonds.Non application aux personnes decedees : le RGPD ne s'applique pas, mais le droit national peut prévoir des protections (au Luxembourg, droit a l'image et secret professionnel persistent).La zone grise : mémoire d'entreprise vs archivage publicUne banque privée, un cabinet d'avocats ou un industriel luxembourgeois ne sont pas des services d'archives au sens du considérant 158. Leur conservation longue (10 ans LBC/FT, 30 ans contrats, etc.) relevé d'obligations légales sectorielles, pas de l'archivage article 89. Il faut donc deux registres distincts : un registre de conservation réglementaire et, le cas echeant, un versement formel aux Archives nationales pour les fonds d'intérêt historique.Comment Luxgap automatise ce risqueNotre Luxgap Rétention Intelligence Engine tranche definitivement la question "est-ce de l'archivage ou de la sur-conservation ?" pour chaque jeu de données de votre SI. L'outil scanne en continu vos partagés M365, vos buckets AWS S3, vos bases Odoo et SAP, vos archives Veeam et vos coffres documentaires, puis classe automatiquement chaque fonds dans l'une des quatre catégories juridiques : courant, intermédiaire, definitif article 89, ou sur-conservation illicite.Detecte les jeux de données dormants depuis plus de 24 mois et calcule leur risque RGPD en croisant finalité declaree, base légale et durée réglementaire applicable.Classifie chaque fonds selon la grille EDPB et les référentiels SIAF/Archives nationales pour distinguer archivage definitif d'intérêt public et conservation réglementaire ordinaire.Genere au...

Considérant 158 RGPD — Considérant 158

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 158

Règlement général sur la protection des données · UE 2016/679

(158)

Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.

Spécificité Luxembourg

loi modifiee du 17 aout 2018 relative a l'archivage

Au Luxembourg, l'archivage definitif dans l'intérêt public est encadre par la loi modifiee du 17 aout 2018 relative a l'archivage, qui désigné les Archives nationales du Luxembourg comme service competent et impose aux administrations publiques l'obligation de verser leurs documents historiques. La CNPD considéré que seuls les versements opérés conformément a cette loi beneficient des derogations article 89 RGPD ; toute autre conservation longue releve du droit commun de la limitation.

Pratique Luxgap : nous cartographions vos fonds documentaires, isolons les jeux eligibles a un versement aux Archives nationales et formalisons une politique de conservation distincte du registre d'archivage article 89, pour eviter toute confusion lors d'un contrôle CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 158 eclaire l'article 89 RGPD sur l'archivage dans l'intérêt public. Le piège que la CNPD et la CNIL detectent régulièrement : confondre archivage courant (données actives ou intermédiaires conservees pour des besoins opérationnels) avec archivage definitif dans l'intérêt public. Beaucoup d'organisations invoquent l'archivage pour justifier une conservation indefinie, alors que seuls les services archivistiques legalement habilites (Archives nationales du Luxembourg, services d'archives publics au sens de la loi du 17 aout 2018) peuvent bénéficier des derogations etendues de l'article 89. Une PME qui garde dix ans de mails RH ne fait pas de l'archivage definitif : elle fait de la conservation, soumise au principe de limitation.

Les critères pour qualifier un traitement d'archivage au sens du considérant 158

Obligation légale de collecter, conserver, évaluer, organiser et donner accès (et non simple faculte interne).
Intérêt public general documente : recherché historique, mémoire collective, transparence democratique, lutte contre le revisionnisme.
Conservation a titre definitif (et non durée limitee post-utilite metier).
Service identifié : Archives nationales, services d'archives ministeriels, organismes privés delegataires d'une mission de service public archivistique.
Garanties appropriees article 89(1) : pseudonymisation, minimisation, contrôle d'accès, separation logique des fonds.
Non application aux personnes decedees : le RGPD ne s'applique pas, mais le droit national peut prévoir des protections (au Luxembourg, droit a l'image et secret professionnel persistent).

La zone grise : mémoire d'entreprise vs archivage public

Une banque privée, un cabinet d'avocats ou un industriel luxembourgeois ne sont pas des services d'archives au sens du considérant 158. Leur conservation longue (10 ans LBC/FT, 30 ans contrats, etc.) relevé d'obligations légales sectorielles, pas de l'archivage article 89. Il faut donc deux registres distincts : un registre de conservation réglementaire et, le cas echeant, un versement formel aux Archives nationales pour les fonds d'intérêt historique.

Comment Luxgap automatise ce risque

Notre Luxgap Rétention Intelligence Engine tranche definitivement la question "est-ce de l'archivage ou de la sur-conservation ?" pour chaque jeu de données de votre SI. L'outil scanne en continu vos partagés M365, vos buckets AWS S3, vos bases Odoo et SAP, vos archives Veeam et vos coffres documentaires, puis classe automatiquement chaque fonds dans l'une des quatre catégories juridiques : courant, intermédiaire, definitif article 89, ou sur-conservation illicite.

Detecte les jeux de données dormants depuis plus de 24 mois et calcule leur risque RGPD en croisant finalité declaree, base légale et durée réglementaire applicable.
Classifie chaque fonds selon la grille EDPB et les référentiels SIAF/Archives nationales pour distinguer archivage definitif d'intérêt public et conservation réglementaire ordinaire.
Genere automatiquement le dossier de versement aux Archives nationales du Luxembourg pour les fonds eligibles, avec metadonnees ISAD(G) preremplies.
Alerte le DPO en temps reel quand une durée de conservation est depassee sans justification article 89 documentee.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CNPD lors d'un contrôle, qui démontré l'arbitrage entre minimisation et archivage pour chaque catégorie de données.
Propose les garanties article 89(1) adaptees (pseudonymisation, chiffrement au repos, journalisation des accès) avec scripts prets a deployer sur Azure Purview et AWS Macie.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre documentaire. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos référentiels reels, avec un audit blanc gratuit sous 48h pour mesurer votre stock de sur-conservation avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 158

Ils nous font confiance

Avant de discuter