Je dois mettre mon organisation luxembourgeoise en conformité au considérant 173 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 173 RGPD — Considérant 173

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 173

Règlement général sur la protection des données · UE 2016/679

(173)

Le présent règlement devrait s'appliquer à tous les aspects de la protection des libertés et droits fondamentaux à l'égard du traitement des données à caractère personnel qui ne sont pas soumis à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil (18), y compris les obligations incombant au responsable du traitement et les droits des personnes physiques. Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette directive devrait être modifiée en conséquence. Après l'adoption du présent règlement, il convient de réexaminer la directive 2002/58/CE, notamment afin d'assurer la cohérence avec le présent règlement,

Spécificité Luxembourg

loi modifiee du 30 mai 2005 sur la protection de la vie privee dans le secteur des communications electroniques

Au Luxembourg, ePrivacy est transposee par la loi modifiee du 30 mai 2005 sur la protection de la vie privée dans le secteur des communications electroniques. La CNPD est competente pour les cookies et le marketing electronique B2C, et applique conjointement RGPD et loi de 2005. L'ILR conserve une competence sur certains aspects telecoms (données de trafic operateurs).

Pratique Luxgap : pour les acteurs financiers regules CSSF, nous coordonnons l'audit ePrivacy avec la circulaire CSSF 22/806 sur l'externalisation IT, car les CMP sont souvent hébergées hors UE et constituent un transfert article 44 RGPD a documenter.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 173 articule le RGPD avec la directive ePrivacy 2002/58/CE : sur les cookies, le marketing direct électronique, les traceurs et les communications, c'est ePrivacy qui prime en tant que lex specialis. La CNIL et la CNPD sanctionnent régulièrement des entreprises qui invoquent l'intérêt légitime RGPD pour deposer des cookies publicitaires, alors que l'article 5(3) ePrivacy exige un consentement préalable. L'erreur classique consiste a raisonner uniquement RGPD en oubliant que la couche ePrivacy impose ses propres obligations cumulatives, notamment sur les bandeaux cookies et la prospection B2C.

Cartographier les zones ou ePrivacy prime sur le RGPD

Cookies et traceurs (art. 5(3) ePrivacy) : consentement préalable obligatoire, même pour des données non personnelles, sauf exemption strictement nécessaire au service.
Prospection électronique B2C (art. 13 ePrivacy) : opt-in préalable, l'intérêt légitime RGPD ne suffit pas.
Soft opt-in : prospection autorisee uniquement vers clients existants, sur produits similaires, avec opposition facile a chaque envoi.
Confidentialité des communications : interdiction d'ecouter, intercepter ou stocker des communications sans consentement.
Données de localisation et de trafic : regime spécifique ePrivacy, plus strict que le RGPD seul.
Sanctions cumulables : la CNPD peut sanctionner sur le fondement RGPD et sur le fondement de la loi luxembourgeoise du 30 mai 2005 transposant ePrivacy.

Comment Luxgap automatise ce risque

Notre Luxgap ePrivacy Compliance Radar rend impossible l'angle mort cookies et marketing électronique en scannant en continu vos sites publics, vos campagnes email et vos applications mobiles pour détecter chaque ecart entre ce que vous declarez (consentement, finalités, base légale) et ce qui se passe reellement dans le navigateur du visiteur. L'outil injecte un crawler headless qui simule un visiteur européen, capture l'intégralité des requêtes réseau avant et après consentement, et confronte le résultat a votre CMP (OneTrust, Didomi, Axeptio, Cookiebot) ainsi qu'a vos outils marketing (HubSpot, Salesforce Marketing Cloud, Mailchimp, Brevo).

Detecte chaque cookie et tracker depose avant consentement et identifié le script responsable jusqu'à la ligne de code.
Classifie automatiquement chaque traceur selon les lignes directrices CNIL 2020 et les recommandations EDPB sur les dark patterns, et signale les bandeaux non conformes (bouton refuser cache, pre-cochage, consentement par defilement).
Croise vos listes de prospection email avec l'origine de chaque adresse (formulaire, achat de base, scraping) pour distinguer opt-in valide, soft opt-in légitime et envoi a risque.
Alerte en temps reel sur Teams ou Slack des qu'un nouveau script tiers apparait sur le site, typiquement après un push marketing non valide par le DPO.
Produit un rapport PDF horodate et cryptographiquement scelle, opposable a la CNPD ou a la CNIL en cas de contrôle, qui démontré la coherence entre votre registre RGPD et votre réalité ePrivacy.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes realisent un scan gratuit de vos sites publics sous 48h pour materialiser votre exposition cookies et marketing avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 173

Ils nous font confiance

Avant de discuter