Je dois mettre mon organisation luxembourgeoise en conformité au considérant 37 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 37 definit la notion de groupe d'entreprises qui irrigue plusieurs dispositifs opérationnels du RGPD : DPO mutualise (art. 37(2)), intérêt légitime intra-groupe (cons. 48), règles d'entreprise contraignantes (art. 47), guichet unique. La CNPD et la CNIL sanctionnent régulièrement les holdings luxembourgeoises qui revendiquent l'appartenance a un groupe pour partager des données RH, clients ou marketing, sans jamais avoir formalise le périmètre de contrôle ni démontré l'influence dominante. Résultat : la base légale s'effondre et chaque entité redevient un responsable de traitement isole, exposé individuellement.Le test 'influence dominante' applique au tissu luxembourgeoisAu Luxembourg, les structures holding (SOPARFI, family office, SICAR) creent une complexité particulière : detention indirecte via fiducie, participation minoritaire avec pacte d'actionnaires, mandat de gestion confie a une société de domiciliation. Le considérant 37 exige de démontrer concretement qui peut imposer les règles de protection des données. Les critères a documenter :Detention capitalistique directe ou indirecte (seuil de contrôle effectif, pas seulement 50% + 1)Pouvoir de nomination des administrateurs et du DPOExistence d'une politique groupe de protection des données opposable a toutes les filialesMécanismes de remontee des violations vers la société controlanteConvention intra-groupe de partagé de données signee par chaque entitéCartographie des flux RH, clients et fournisseurs entre entités du périmètreSans cette documentation, impossible d'invoquer l'intérêt légitime intra-groupe du considérant 48, ni de mutualiser un DPO entre filiales luxembourgeoises et soeurs françaises ou belges.Comment Luxgap automatise ce risqueNotre Luxgap Group Perimeter Mapper materialise en temps reel le périmètre groupe d'entreprises au sens du considérant 37, en croisant vos données capitalistiques et opérationnelles plutot qu'en demandant a votre direction juridique de remplir un tableur. L'outil ingere automatiquement votre extrait RCS Luxembourg, les registres BCE belge et Infogreffe français, vos pactes d'actionnaires deposes chez le notaire, et vos flux Azure AD inter-tenant pour reconstituer la chaîne de contrôle reelle.Scanne le RCS et les registres beneficiaires effectifs (RBE Luxembourg) pour détecter automatiquement les liens capitalistiques entre toutes les entités de votre périmètre.Calcule un score d'influence dominante pour chaque relation en combinant detention directe, droits de vote, pouvoir de nomination et clauses des pactes d'actionnaires.Detecte les filiales orphelines : entités operationnellement intégrées au groupe mais sans rattachement juridique formel, source numéro un de litige avec la CNPD.Genere la convention intra-groupe de partagé de données prete a signer, avec annexes par typologie (RH, CRM, finance, IT shared services).Produit un rapport PDF horodate opposable a la CNPD lors d'un contrôle, demontrant que votre in...

Considérant 37 RGPD — Considérant 37

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 37

Règlement général sur la protection des données · UE 2016/679

(37)

Un groupe d'entreprises devrait couvrir une entreprise qui exerce le contrôle et ses entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres entreprises du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées devrait être considérée comme formant avec ces dernières un groupe d'entreprises.

Spécificité Luxembourg

loi du 1er aout 2018 portant organisation de la CNPD et mise en oeuvre du RGPD, articulee avec la loi du 13 janvier 2019 instituant le RBE

Au Luxembourg, la CNPD (jamais APDL) est l'autorité competente pour valider l'applicabilite du considérant 37 dans les structures holding. La loi du 1er aout 2018 portant organisation de la CNPD et mise en oeuvre du RGPD ne deroge pas au considérant 37 mais l'articule avec le registre des beneficiaires effectifs (RBE) tenu par le LBR depuis la loi du 13 janvier 2019 : la CNPD croise systématiquement les déclarations de groupe avec le RBE lors de ses contrôles, et toute incohérence entre l'organigramme RGPD et le RBE déclenche un signalement.

Pratique Luxgap : avant d'invoquer un perimetre groupe pour mutualiser un DPO ou justifier un transfert intra-groupe, alignez votre cartographie des controleurs et sous-traitants avec votre depot RBE et votre extrait RCS, sous peine de contradiction documentaire opposable lors d'un contrôle CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 37 definit la notion de groupe d'entreprises qui irrigue plusieurs dispositifs opérationnels du RGPD : DPO mutualise (art. 37(2)), intérêt légitime intra-groupe (cons. 48), règles d'entreprise contraignantes (art. 47), guichet unique. La CNPD et la CNIL sanctionnent régulièrement les holdings luxembourgeoises qui revendiquent l'appartenance a un groupe pour partager des données RH, clients ou marketing, sans jamais avoir formalise le périmètre de contrôle ni démontré l'influence dominante. Résultat : la base légale s'effondre et chaque entité redevient un responsable de traitement isole, exposé individuellement.

Le test 'influence dominante' applique au tissu luxembourgeois

Au Luxembourg, les structures holding (SOPARFI, family office, SICAR) creent une complexité particulière : detention indirecte via fiducie, participation minoritaire avec pacte d'actionnaires, mandat de gestion confie a une société de domiciliation. Le considérant 37 exige de démontrer concretement qui peut imposer les règles de protection des données. Les critères a documenter :

Detention capitalistique directe ou indirecte (seuil de contrôle effectif, pas seulement 50% + 1)
Pouvoir de nomination des administrateurs et du DPO
Existence d'une politique groupe de protection des données opposable a toutes les filiales
Mécanismes de remontee des violations vers la société controlante
Convention intra-groupe de partagé de données signee par chaque entité
Cartographie des flux RH, clients et fournisseurs entre entités du périmètre

Sans cette documentation, impossible d'invoquer l'intérêt légitime intra-groupe du considérant 48, ni de mutualiser un DPO entre filiales luxembourgeoises et soeurs françaises ou belges.

Comment Luxgap automatise ce risque

Notre Luxgap Group Perimeter Mapper materialise en temps reel le périmètre groupe d'entreprises au sens du considérant 37, en croisant vos données capitalistiques et opérationnelles plutot qu'en demandant a votre direction juridique de remplir un tableur. L'outil ingere automatiquement votre extrait RCS Luxembourg, les registres BCE belge et Infogreffe français, vos pactes d'actionnaires deposes chez le notaire, et vos flux Azure AD inter-tenant pour reconstituer la chaîne de contrôle reelle.

Scanne le RCS et les registres beneficiaires effectifs (RBE Luxembourg) pour détecter automatiquement les liens capitalistiques entre toutes les entités de votre périmètre.
Calcule un score d'influence dominante pour chaque relation en combinant detention directe, droits de vote, pouvoir de nomination et clauses des pactes d'actionnaires.
Detecte les filiales orphelines : entités operationnellement intégrées au groupe mais sans rattachement juridique formel, source numéro un de litige avec la CNPD.
Genere la convention intra-groupe de partagé de données prete a signer, avec annexes par typologie (RH, CRM, finance, IT shared services).
Produit un rapport PDF horodate opposable a la CNPD lors d'un contrôle, demontrant que votre invocation du considérant 37 repose sur des faits documentes et non sur une auto-declaration.
Alerte en temps reel quand une cession, une fusion ou un changement de pacte modifie le périmètre, pour eviter de continuer a invoquer un groupe qui n'existe plus.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre structure capitalistique reelle, avec un audit blanc gratuit sous 48h pour mesurer la solidite juridique de votre périmètre groupe avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 37

Ils nous font confiance

Avant de discuter