Le piège classique
Le considérant 165 confirme que le RGPD ne neutralise pas les regimes constitutionnels nationaux applicables aux eglises et communautes religieuses, et eclaire la lecture de l'article 91 (règles internes preexistantes). En pratique, la CNPD et la CNIL acceptent qu'une eglise ou une congregation reconnue dispose de règles propres de protection des données, a condition qu'elles aient existe au 24 mai 2016 et restent en harmonie avec le RGPD, sous contrôle d'une autorité de contrôle independante. Le piège : croire que ce statut dispense de toute conformité RGPD, alors qu'il ne couvre que les règles internes deja en vigueur et n'exonere ni du registre, ni de l'AIPD, ni de la notification de violation.
Le test concret : votre regime religieux est-il vraiment couvert par l'article 91 ?
- Les règles internes de protection des données existaient-elles avant le 24 mai 2016 et sont-elles formalisees (decret episcopal, règlement consistorial, statut canonique) ?
- L'organisation religieuse est-elle reconnue par le droit constitutionnel de l'état membre (au Luxembourg : conventions Etat-cultes de 2015, loi du 13 fevrier 2018) ?
- Les règles internes couvrent-elles bien les principes article 5, les droits des personnes, la sécurité, les transferts ?
- Existe-t-il une autorité de contrôle religieuse independante (cas du KDG/KDR allemand) ou la CNPD reste-t-elle competente ?
- Les traitements non liés a la mission cultuelle (paie des salariés laics, fichier donateurs, ecoles confessionnelles) basculent en RGPD plein, sans exception.
Au Luxembourg, aucune des six communautes conventionnees (catholique, protestante reformee, protestante, israelite, anglicane, orthodoxe grecque et roumaine) n'a notifié de règles internes article 91 a la CNPD. Concretement, le RGPD s'applique intégralement aux archeveches, paroisses, fabriques d'eglise et associations religieuses luxembourgeoises, sans regime derogatoire.
Comment Luxgap automatise ce risque
Notre Luxgap Faith Compliance Mapper transforme le casse-tete des organisations religieuses et confessionnelles en cartographie opérationnelle qui distingue, traitement par traitement, ce qui relevé du regime cultuel protégé par le considérant 165 et ce qui bascule en RGPD standard. L'outil croise votre registre des traitements, vos statuts canoniques, vos conventions Etat-cultes et la jurisprudence EDPB pour produire une matrice de qualification opposable.
- Classifie chaque traitement (registre baptismal, fichier paroissien, paie du personnel laic, scolarite confessionnelle, dons et legs) selon qu'il relevé de la mission cultuelle ou d'une activité civile soumise au RGPD plein.
- Vérifié automatiquement si votre organisation beneficie d'un regime article 91 valide en confrontant vos statuts internes a la grille EDPB et a la doctrine CNPD.
- Genere les bases légales adaptees : intérêt légitime cultuel pour le registre des fideles, consentement explicite article 9(2)(d) pour les données revelant les convictions religieuses, obligation légale pour la paie.
- Detecte les flux transfrontaliers sensibles (transmission de registres vers le Vatican, le Consistoire central, le siège d'un ordre religieux hors UE) et propose le cadre de transfert adapte.
- Produit un rapport PDF horodate opposable a la CNPD, qui démontré la qualification juridique retenue et la conformité article 5(2).
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos traitements reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
