Je dois mettre mon organisation luxembourgeoise en conformité au considérant 20 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 20 cree une zone grise redoutable pour tout cabinet d'avocats, huissier, notaire ou prestataire IT d'une juridiction luxembourgeoise. La CNPD n'est PAS competente quand un tribunal agit dans sa fonction juridictionnelle, mais elle redevient pleinement competente pour tout ce qui est administratif (RH du greffe, marchés publics, badges d'accès, intranet). En pratique, les organisations confondent les deux peripheries et appliquent un regime unique, ce qui exposé soit a une faille de conformité, soit a une atteinte a l'independance judiciaire.Comment tracer la frontière fonction juridictionnelle / fonction administrativeFonction juridictionnelle (hors competence CNPD) : rédaction de jugements, instruction d'un dossier, deliberes, gestion des pièces du dossier judiciaire, audiences.Fonction administrative (competence CNPD pleine) : RH des magistrats et greffiers, fournisseurs IT, badges, vidéosurveillance des locaux, site web institutionnel, marchés publics.Cas hybrides sensibles : registres de l'état civil, casier judiciaire, rôle d'audience publie en ligne, archives après jugement definitif.Pour les avocats, notaires et huissiers luxembourgeois : vous n'êtes PAS couverts par cette exception. La CNPD est pleinement competente sur vos dossiers clients, même liés a une procédure judiciaire en cours.L'organe de contrôle interne spécifique au pouvoir judiciaire luxembourgeois traite les réclamations relatives a la fonction juridictionnelle, mais ne dispense pas de tenir un registre des traitements article 30.Le test pratique pour qualifier une opérationPosez la question : cette opération de traitement aurait-elle pu être réalisée par une administration non-judiciaire ? Si oui, vous êtes dans l'administratif et la CNPD est competente. Si l'opération est indissociable de l'acte de juger, vous êtes dans le juridictionnel.Comment Luxgap automatise ce risqueNotre Luxgap Judicial Scope Mapper trace automatiquement, traitement par traitement, la frontière entre vos activités juridictionnelles (hors CNPD) et administratives (sous CNPD), pour eliminer la zone grise qui exposé les juridictions, parquets et auxiliaires de justice a un double risque de conformité. L'outil s'appuie sur un agent IA juridique entraine sur la jurisprudence CJUE et les lignes directrices EDPB qui classifie chaque traitement de votre SI en croisant les sources connectees (Active Directory, M365, applications metier judiciaires, logiciels de gestion d'etude notariale ou d'avocat type Kleos, Secib, eJustice).Classifie chaque traitement de votre registre article 30 selon une grille fonction juridictionnelle / fonction administrative / cas hybride, avec justification motivee citant le considérant 20 et la jurisprudence CJUE.Detecte automatiquement les traitements mal qualifiés en croisant la finalité declaree, les catégories de données, les destinataires et les durées de conservation.Genere un registre dual : un volet soumis a la CNPD, un volet relevant d...

Considérant 20 RGPD — Considérant 20

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 20

Règlement général sur la protection des données · UE 2016/679

(20)

Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la CNPD

Au Luxembourg, la loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des données et du regime general sur la protection des données confirme a son article 4(2) que la CNPD n'est pas competente pour les traitements effectues par les juridictions dans l'exercice de leur fonction juridictionnelle. Le contrôle est confie a une Autorité de contrôle judiciaire instituee spécifiquement, distincte de la CNPD, qui traite les reclamations relatives a ces traitements.

Pratique Luxgap : si vous etes prestataire IT d'une juridiction luxembourgeoise (Justice.lu, parquet, tribunaux d'arrondissement), votre DPA doit explicitement distinguer les flux relevant de la CNPD de ceux relevant de l'Autorité de contrôle judiciaire, sous peine de contrats inopposables en cas de contrôle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 20 cree une zone grise redoutable pour tout cabinet d'avocats, huissier, notaire ou prestataire IT d'une juridiction luxembourgeoise. La CNPD n'est PAS competente quand un tribunal agit dans sa fonction juridictionnelle, mais elle redevient pleinement competente pour tout ce qui est administratif (RH du greffe, marchés publics, badges d'accès, intranet). En pratique, les organisations confondent les deux peripheries et appliquent un regime unique, ce qui exposé soit a une faille de conformité, soit a une atteinte a l'independance judiciaire.

Comment tracer la frontière fonction juridictionnelle / fonction administrative

Fonction juridictionnelle (hors competence CNPD) : rédaction de jugements, instruction d'un dossier, deliberes, gestion des pièces du dossier judiciaire, audiences.
Fonction administrative (competence CNPD pleine) : RH des magistrats et greffiers, fournisseurs IT, badges, vidéosurveillance des locaux, site web institutionnel, marchés publics.
Cas hybrides sensibles : registres de l'état civil, casier judiciaire, rôle d'audience publie en ligne, archives après jugement definitif.
Pour les avocats, notaires et huissiers luxembourgeois : vous n'êtes PAS couverts par cette exception. La CNPD est pleinement competente sur vos dossiers clients, même liés a une procédure judiciaire en cours.
L'organe de contrôle interne spécifique au pouvoir judiciaire luxembourgeois traite les réclamations relatives a la fonction juridictionnelle, mais ne dispense pas de tenir un registre des traitements article 30.

Le test pratique pour qualifier une opération

Posez la question : cette opération de traitement aurait-elle pu être réalisée par une administration non-judiciaire ? Si oui, vous êtes dans l'administratif et la CNPD est competente. Si l'opération est indissociable de l'acte de juger, vous êtes dans le juridictionnel.

Comment Luxgap automatise ce risque

Notre Luxgap Judicial Scope Mapper trace automatiquement, traitement par traitement, la frontière entre vos activités juridictionnelles (hors CNPD) et administratives (sous CNPD), pour eliminer la zone grise qui exposé les juridictions, parquets et auxiliaires de justice a un double risque de conformité. L'outil s'appuie sur un agent IA juridique entraine sur la jurisprudence CJUE et les lignes directrices EDPB qui classifie chaque traitement de votre SI en croisant les sources connectees (Active Directory, M365, applications metier judiciaires, logiciels de gestion d'etude notariale ou d'avocat type Kleos, Secib, eJustice).

Classifie chaque traitement de votre registre article 30 selon une grille fonction juridictionnelle / fonction administrative / cas hybride, avec justification motivee citant le considérant 20 et la jurisprudence CJUE.
Detecte automatiquement les traitements mal qualifiés en croisant la finalité declaree, les catégories de données, les destinataires et les durées de conservation.
Genere un registre dual : un volet soumis a la CNPD, un volet relevant de l'organe de contrôle interne judiciaire, avec passerelles documentees pour les cas hybrides.
Alerte en temps reel des qu'un nouveau traitement apparait (nouveau logiciel deploye, nouveau flux de données) et propose la qualification adequate avant mise en production.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle CNPD ou d'une réclamation devant l'organe judiciaire competent.
Pour les avocats et notaires : materialise clairement que VOS traitements clients ne beneficient PAS de l'exception, et structure votre conformité CNPD complète (registre, DPA avec editeurs logiciels, politique de conservation par type de dossier).

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle de traitements, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 20

Ils nous font confiance

Avant de discuter