Je dois mettre mon organisation luxembourgeoise en conformité au considérant 23 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 23 eclaire l'article 3(2)(a) sur le critère du ciblage. La CNPD et la CNIL sanctionnent régulièrement des entreprises non-europeennes (US, UK post-Brexit, Suisse, Asie) qui pensaient échapper au RGPD parce qu'elles n'ont aucun bureau dans l'UE. Le piège : votre site e-commerce qui accepte les euros, livre au Luxembourg ou affiche un témoignage d'un client bruxellois suffit a déclencher l'application territoriale du règlement, donc l'obligation de désigner un représentant article 27, de tenir un registre, et potentiellement de notifier une violation a la CNPD.Les indices de ciblage qui déclenchent le RGPD selon le considérant 23L'EDPB (lignes directrices 3/2018 sur le champ d'application territorial) a consolide les critères. Ne suffisent pas a établir le ciblage :La simple accessibilite du site depuis l'UEUne adresse email ou un formulaire de contact accessiblesL'usage de l'anglais quand l'entreprise est établie aux US ou UKEtablissent en revanche le ciblage (faisceau d'indices) :Prix affiches en euros ou possibilite de payer en EURVersion française, allemande, luxembourgeoise du site alors que l'entreprise est hors UELivraison proposee vers des états membres, mention de la TVA intracommunautaireCampagnes Google Ads ou Meta ciblees geographiquement sur des pays de l'UETémoignages clients européens, références locales, presence a des salons UEDomaine .lu, .fr, .de, .eu ou referencement SEO localiseNuméro de téléphone avec prefixe international européenPourquoi cela concerne aussi les groupes luxembourgeoisSymetriquement, beaucoup de holdings luxembourgeois detiennent des filiales hors UE (Delaware, Singapour, Jersey, Iles Caiman) qui traitent des données de clients européens. Le considérant 23 impose de qualifier chaque entité du groupe au regard du critère de ciblage, independamment de son siège social. Une entité Delaware qui facture des clients luxembourgeois en euros est soumise au RGPD, doit désigner un représentant article 27 établi dans l'UE et apparaître dans le registre des traitements groupe.Comment Luxgap automatise ce risqueNotre Luxgap Targeting Radar resout la question "suis-je soumis au RGPD ?" pour vos filiales hors UE en 48h, sans interview du juridique. Un agent IA spécialisé scanne automatiquement vos sites web, vos flux de paiement Stripe et Adyen, vos campagnes Google Ads et Meta Business, vos exports CRM Salesforce et Hubspot, puis applique la grille EDPB 3/2018 indice par indice pour produire un score de ciblage UE opposable.Scanne vos sites publics et detecte les indices de ciblage UE : devise affichee, langues proposees, options de livraison, mentions légales, prefixes telephoniques, domaines et hreflang.Analyse vos campagnes Google Ads, Meta Business et LinkedIn pour identifier les audiences géographiques effectivement ciblees sur l'EEE, même quand le marketing affirme "on ne cible pas l'Europe".Croise vos transactions Stripe, Adyen, PayPal et SAP pour détecter la part de clients UE ree...

Considérant 23 RGPD — Considérant 23

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 23

Règlement général sur la protection des données · UE 2016/679

(23)

Afin de garantir qu'une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 23 eclaire l'article 3(2)(a) sur le critère du ciblage. La CNPD et la CNIL sanctionnent régulièrement des entreprises non-europeennes (US, UK post-Brexit, Suisse, Asie) qui pensaient échapper au RGPD parce qu'elles n'ont aucun bureau dans l'UE. Le piège : votre site e-commerce qui accepte les euros, livre au Luxembourg ou affiche un témoignage d'un client bruxellois suffit a déclencher l'application territoriale du règlement, donc l'obligation de désigner un représentant article 27, de tenir un registre, et potentiellement de notifier une violation a la CNPD.

Les indices de ciblage qui déclenchent le RGPD selon le considérant 23

L'EDPB (lignes directrices 3/2018 sur le champ d'application territorial) a consolide les critères. Ne suffisent pas a établir le ciblage :

La simple accessibilite du site depuis l'UE
Une adresse email ou un formulaire de contact accessibles
L'usage de l'anglais quand l'entreprise est établie aux US ou UK

Etablissent en revanche le ciblage (faisceau d'indices) :

Prix affiches en euros ou possibilite de payer en EUR
Version française, allemande, luxembourgeoise du site alors que l'entreprise est hors UE
Livraison proposee vers des états membres, mention de la TVA intracommunautaire
Campagnes Google Ads ou Meta ciblees geographiquement sur des pays de l'UE
Témoignages clients européens, références locales, presence a des salons UE
Domaine .lu, .fr, .de, .eu ou referencement SEO localise
Numéro de téléphone avec prefixe international européen

Pourquoi cela concerne aussi les groupes luxembourgeois

Symetriquement, beaucoup de holdings luxembourgeois detiennent des filiales hors UE (Delaware, Singapour, Jersey, Iles Caiman) qui traitent des données de clients européens. Le considérant 23 impose de qualifier chaque entité du groupe au regard du critère de ciblage, independamment de son siège social. Une entité Delaware qui facture des clients luxembourgeois en euros est soumise au RGPD, doit désigner un représentant article 27 établi dans l'UE et apparaître dans le registre des traitements groupe.

Comment Luxgap automatise ce risque

Notre Luxgap Targeting Radar resout la question "suis-je soumis au RGPD ?" pour vos filiales hors UE en 48h, sans interview du juridique. Un agent IA spécialisé scanne automatiquement vos sites web, vos flux de paiement Stripe et Adyen, vos campagnes Google Ads et Meta Business, vos exports CRM Salesforce et Hubspot, puis applique la grille EDPB 3/2018 indice par indice pour produire un score de ciblage UE opposable.

Scanne vos sites publics et detecte les indices de ciblage UE : devise affichee, langues proposees, options de livraison, mentions légales, prefixes telephoniques, domaines et hreflang.
Analyse vos campagnes Google Ads, Meta Business et LinkedIn pour identifier les audiences géographiques effectivement ciblees sur l'EEE, même quand le marketing affirme "on ne cible pas l'Europe".
Croise vos transactions Stripe, Adyen, PayPal et SAP pour détecter la part de clients UE reelle, par filiale et par mois, et alerte des qu'un seuil déclencheur est franchi.
Classifie chaque entité du groupe en "hors champ", "ciblage marginal a surveiller" ou "ciblage avere - article 3(2) déclenche", avec justification ecrite mobilisable devant la CNPD.
Genere automatiquement le mandat de représentant article 27 prerempli pour les entités declenchees, avec les coordonnees Luxgap si vous nous designez.
Produit un rapport PDF horodate et cryptographiquement scelle, opposable lors d'un contrôle CNPD, demontrant que l'analyse du champ d'application territorial a ete conduite sérieusement.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre groupe. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos filiales reelles, avec un scan gratuit sous 48h pour cartographier votre exposition territoriale avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 23

Ils nous font confiance

Avant de discuter