Je dois mettre mon organisation luxembourgeoise en conformité au considérant 31 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 31 RGPD — Considérant 31

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 31

Règlement général sur la protection des données · UE 2016/679

(31)

Les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l'exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d'enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l'intérêt général, conformément au droit de l'Union ou au droit d'un État membre. Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l'intégralité d'un fichier ni conduire à l'interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement.

Spécificité Luxembourg

loi modifiee du 12 novembre 2004 relative a la lutte contre le blanchiment et loi du 5 avril 1993 relative au secteur financier

Au Luxembourg, les requisitions des autorités fiscales (ACD, AED) et de la CRF (Cellule de Renseignement Financier) sont encadrees par la loi du 25 mars 2020 relative aux echanges automatiques d'informations et la loi modifiee du 12 novembre 2004 relative a la lutte contre le blanchiment. La CSSF dispose en outre de pouvoirs etendus de requisition au titre de la loi du 5 avril 1993 sur le secteur financier. Particularite locale : les demandes de la CRF beneficient d'une presomption de licéité mais doivent imperativement être ecrites et motivees, sous peine d'engager la responsabilité du professionnel declarant.

Pratique Luxgap : configurez le Gatekeeper avec les modèles officiels de requisition CSSF, ACD et CRF en bibliotheque, pour distinguer en 10 secondes une demande conforme d'une demande hors cadre, et conservez systématiquement la preuve du caractere occasionnel pour eviter la requalification en flux structurel non declare a la CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 31 cree une nuance subtile mais redoutable : une autorité publique (administration fiscale, CRF, CSSF, douanes) qui demande des données pour une enquête ponctuelle n'est pas un destinataire au sens RGPD. Mais cela ne dispense PAS le responsable de vérifier la legalite de la demande. La CNPD et la CNIL sanctionnent régulièrement les entreprises qui ont communiqué des fichiers entiers a une autorité sans demande ecrite motivee, ou qui ont accepte des requisitions verbales par téléphone, transformant ainsi une demande theoriquement légitime en transfert illicite engageant leur propre responsabilité.

Les 4 conditions cumulatives d'une demande valide d'autorité publique

Ecrite : un mail officiel, une requisition papier signee, un acte d'huissier. Jamais un appel telephonique, jamais un SMS, jamais une demande verbale en reunion.
Motivee : la demande doit citer la base légale précisé (article du code fiscal, du code de procédure pénale, de la loi CSSF) et l'objet de l'enquête.
Occasionnelle : un flux automatise mensuel vers une autorité n'est PAS occasionnel, il relevé d'une autre base juridique (obligation légale récurrente type DAC, FATCA, CRS).
Ciblee : jamais l'intégralité d'un fichier client, jamais une extraction complète de la base RH. Toujours sur un périmètre identifié (une personne, un compte, une période).

Si une de ces conditions manque, vous devez refuser ou demander une regularisation par ecrit avant transmission. Ce refus est non seulement légal mais protégé votre responsabilité article 5(1)(a) (licéité).

Comment Luxgap automatise ce risque

Notre Luxgap Authority Request Gatekeeper transforme chaque requisition d'autorité publique en dossier opposable, horodate et trace, et bloque automatiquement les transmissions qui ne respectent pas les 4 conditions cumulatives du considérant 31. L'outil s'intercale entre votre boite mail dpo@ ou légal@ et votre équipe opérationnelle : un agent IA juridique analyse chaque demande entrante (mail, courrier scanne, requisition PDF) et qualifié en 60 secondes la base légale, le périmètre, le caractère occasionnel et la motivation citee.

Detecte automatiquement les requisitions entrantes via connecteurs Microsoft 365, Gmail, Outlook et DMS (M-Files, SharePoint, Alfresco), sans modifier vos workflows existants.
Classifie chaque demande selon sa base légale presumee (code fiscal LU, loi CSSF, code de procédure pénale, RGPD article 6(1)(c)) et signale les demandes hors cadre.
Bloque la transmission tant que les 4 conditions du considérant 31 ne sont pas validees et genere automatiquement le courrier de demande de regularisation a renvoyer a l'autorité.
Produit un registre cryptographiquement scelle de chaque requisition recue, refusee ou honoree, opposable a la CNPD lors d'un contrôle accountability article 5(2).
Alerte le DPO en temps reel via Teams ou Slack des qu'une demande porté sur l'intégralité d'un fichier ou conduit a une interconnexion interdite.
Pre-redige la réponse a l'autorité avec le périmètre minimal extrait automatiquement de vos bases, en respectant le principe de minimisation article 5(1)(c).

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre volumetrie de requisitions. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos requisitions reelles des 12 derniers mois, avec un audit blanc gratuit sous 48h pour identifier les transmissions passees qui auraient du être refusees.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 31

Ils nous font confiance

Avant de discuter