Je dois mettre mon organisation luxembourgeoise en conformité au considérant 27 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 27 semble offrir une zone de non-droit : les morts ne sont pas couverts par le RGPD. En réalité, c'est l'inverse qui se passe sur le terrain. La CNIL a sanctionné plusieurs fois des organismes qui melangent vivants et decedes dans une même base (fichiers patients, beneficiaires d'assurance-vie, registres genealogiques) : des qu'un vivant est dans le lot, le RGPD s'applique a toute la base. Et au Luxembourg comme en France, des règles nationales spécifiques regissent les données post-mortem (directives anticipees, droit d'accès des heritiers), ce qui rend l'argument les personnes sont decedees très fragile devant la CNPD.Les 5 angles morts du considérant 27 en pratiqueBases mixtes : un CRM avec 10% de clients decedes reste intégralement soumis au RGPD pour les 90% restants, et la purge des decedes devient une obligation article 5(1)(e) de minimisation.Données genealogiques et familiales : l'ADN d'un parent decede révélé celui de ses descendants vivants. La donnée redevient personnelle au sens du RGPD.Spécificités nationales : la France (loi Informatique et Libertés article 85) reconnait des directives post-mortem opposables. Le Luxembourg n'a pas de regime equivalent dedie, mais le secret médical et le droit successoral imposent des contraintes.Données de santé des defunts : protégées par le secret médical qui survit au deces (article 458 Code pénal LU), independamment du RGPD.Reactivation par lien familial : la photo d'un grand-parent decede publiee sans accord des descendants peut déclencher une action sur le droit a l'image, distinct du RGPD mais souvent confondu.Comment Luxgap automatise ce risqueNotre Luxgap Deceased Data Sweeper elimine la zone grise du considérant 27 en detectant automatiquement les enregistrements de personnes decedees dans vos bases actives, en croisant vos données CRM, RH, patients ou beneficiaires avec les registres de deces officiels et les signaux faibles (rebond email permanent, inactivite prolongee, mentions succession dans vos échanges). L'outil transforme la gestion post-mortem en flux automatise, pendant que vos concurrents accumulent des bases polluees qui leur valent des sanctions article 5(1)(e).Scanne automatiquement vos systèmes connectes (Salesforce, Odoo, HubSpot, Sage, Workday, dossiers patients) et identifié les personnes decedees via croisement avec des sources officielles et des signaux d'inactivite.Distingue trois statuts post-mortem : a purger (RGPD pur), a archiver (obligation légale comptable ou médicale), a transférer aux ayants droit (assurance-vie, contrats successoraux).Applique automatiquement les règles nationales du considérant 27 : directives anticipees françaises article 85 LIL, secret médical luxembourgeois, droits successoraux belges.Genere un workflow de notification aux heritiers conforme au droit successoral applicable, avec accuse de reception horodate.Produit un rapport PDF opposable a la CNPD demontrant la conformité article 5(1)(e) sur la durée ...

Considérant 27 RGPD — Considérant 27

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 27

Règlement général sur la protection des données · UE 2016/679

(27)	Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la CNPD, combinee a l'article 458 du Code penal et a la loi du 24 juillet 2014 relative aux droits et obligations du patient

Au Luxembourg, il n'existe pas de regime general dedie aux données des personnes decedees comparable a l'article 85 de la loi française Informatique et Libertes. La loi du 1er aout 2018 portant organisation de la CNPD n'a pas active l'option du considérant 27, mais le secret medical (article 458 du Code penal) et le droit successoral imposent des contraintes fortes : les dossiers medicaux des defunts restent protégés, et les heritiers disposent de droits d'acces encadres par le Code civil. La CNPD considéré qu'une base mixte vivants/decedes reste intégralement soumise au RGPD.

Pratique Luxgap : ne traitez jamais une base luxembourgeoise comme si les decedes en etaient sortis du champ ; appliquez la même rigueur de purge et de minimisation, et documentez la base legale de conservation post-mortem (obligation comptable 10 ans, dossier medical 10 ans apres dernier contact selon la loi du 24 juillet 2014).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 27 semble offrir une zone de non-droit : les morts ne sont pas couverts par le RGPD. En réalité, c'est l'inverse qui se passe sur le terrain. La CNIL a sanctionné plusieurs fois des organismes qui melangent vivants et decedes dans une même base (fichiers patients, beneficiaires d'assurance-vie, registres genealogiques) : des qu'un vivant est dans le lot, le RGPD s'applique a toute la base. Et au Luxembourg comme en France, des règles nationales spécifiques regissent les données post-mortem (directives anticipees, droit d'accès des heritiers), ce qui rend l'argument les personnes sont decedees très fragile devant la CNPD.

Les 5 angles morts du considérant 27 en pratique

Bases mixtes : un CRM avec 10% de clients decedes reste intégralement soumis au RGPD pour les 90% restants, et la purge des decedes devient une obligation article 5(1)(e) de minimisation.
Données genealogiques et familiales : l'ADN d'un parent decede révélé celui de ses descendants vivants. La donnée redevient personnelle au sens du RGPD.
Spécificités nationales : la France (loi Informatique et Libertés article 85) reconnait des directives post-mortem opposables. Le Luxembourg n'a pas de regime equivalent dedie, mais le secret médical et le droit successoral imposent des contraintes.
Données de santé des defunts : protégées par le secret médical qui survit au deces (article 458 Code pénal LU), independamment du RGPD.
Reactivation par lien familial : la photo d'un grand-parent decede publiee sans accord des descendants peut déclencher une action sur le droit a l'image, distinct du RGPD mais souvent confondu.

Comment Luxgap automatise ce risque

Notre Luxgap Deceased Data Sweeper elimine la zone grise du considérant 27 en detectant automatiquement les enregistrements de personnes decedees dans vos bases actives, en croisant vos données CRM, RH, patients ou beneficiaires avec les registres de deces officiels et les signaux faibles (rebond email permanent, inactivite prolongee, mentions succession dans vos échanges). L'outil transforme la gestion post-mortem en flux automatise, pendant que vos concurrents accumulent des bases polluees qui leur valent des sanctions article 5(1)(e).

Scanne automatiquement vos systèmes connectes (Salesforce, Odoo, HubSpot, Sage, Workday, dossiers patients) et identifié les personnes decedees via croisement avec des sources officielles et des signaux d'inactivite.
Distingue trois statuts post-mortem : a purger (RGPD pur), a archiver (obligation légale comptable ou médicale), a transférer aux ayants droit (assurance-vie, contrats successoraux).
Applique automatiquement les règles nationales du considérant 27 : directives anticipees françaises article 85 LIL, secret médical luxembourgeois, droits successoraux belges.
Genere un workflow de notification aux heritiers conforme au droit successoral applicable, avec accuse de reception horodate.
Produit un rapport PDF opposable a la CNPD demontrant la conformité article 5(1)(e) sur la durée de conservation et la purge effective des bases mixtes.
Alerte en temps reel quand un nouveau decede entre dans une base active, avec proposition d'action automatisée selon votre politique de conservation.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos bases reelles, avec un audit blanc gratuit sous 48h pour mesurer le pourcentage de données post-mortem polluant vos systèmes avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 27

Ils nous font confiance

Avant de discuter