Je dois mettre mon organisation luxembourgeoise en conformité au considérant 40 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 40 RGPD — Considérant 40

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 40

Règlement général sur la protection des données · UE 2016/679

(40)

Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d'exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 relative a l'organisation de la Commission nationale pour la protection des donnees et au regime general sur la protection des donnees

Au Luxembourg, la CNPD est l'autorité de contrôle exclusive (et non l'APDL qui n'existe pas) pour apprecier la licite des traitements au sens de l'article 6 RGPD. La loi du 1er aout 2018 relative a l'organisation de la CNPD et au regime general sur la protection des données précisé les conditions de mise en oeuvre du RGPD au niveau national, notamment pour les traitements fondes sur l'article 6.1.c (obligation legale) et 6.1.e (mission d'intérêt public) qui doivent reposer sur une base en droit luxembourgeois claire et previsible.

Pratique Luxgap : lors d'un contrôle CNPD, attendez-vous a devoir produire le test d'intérêt légitime (LIA) ecrit pour chaque traitement fonde sur l'article 6.1.f. L'absence de LIA documente est considérée comme une violation de l'accountability article 5(2), sanctionnable independamment de la licite du traitement lui-meme.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 40 pose le principe que la CNPD et la CNIL appliquent sans relache : aucun traitement n'est licite sans base juridique identifiée et documentee a l'avance. En pratique, les contrôles montrent que les organisations melangent les bases (consentement + intérêt légitime pour le même traitement), changent de base en cours de route, ou invoquent l'exécution contractuelle pour du marketing. Résultat : le traitement entier devient illicite et l'EDPB rappelle dans ses lignes directrices 5/2020 et 2/2019 qu'on ne peut pas switcher de base juridique a posteriori pour rattraper une non-conformite.

Les 6 bases juridiques de l'article 6 et leurs pièges

Consentement (6.1.a) : libre, spécifique, eclaire, univoque, revocable a tout moment. Inutilisable en relation employeur-salarie selon l'EDPB.
Exécution du contrat (6.1.b) : strictement limite aux données nécessaires a l'exécution. La facturation oui, le profilage marketing non.
Obligation légale (6.1.c) : la loi doit être claire, précisé et previsible. Une bonne pratique ou un usage sectoriel ne suffisent pas.
Intérêts vitaux (6.1.d) : réservé aux situations de vie ou de mort, pas un fourre-tout.
Mission d'intérêt public (6.1.e) : réservé au secteur public ou aux delegations explicites.
Intérêt légitime (6.1.f) : exige un test en 3 etapes (LIA) documente, inaccessible aux autorités publiques dans l'exercice de leurs missions.

Le considérant 40 impose une discipline simple : une finalité = une base juridique = une documentation. Le piège courant est d'inscrire dans le registre article 30 une base juridique générique (intérêt légitime) sans avoir realise le test de mise en balance, ou de cocher consentement alors que la personne n'avait aucun choix reel.

Comment Luxgap automatise ce risque

Notre Luxgap Lawful Basis Mapper elimine la zone grise des bases juridiques en attribuant automatiquement la bonne base a chaque traitement de votre registre, avec la justification opposable a la CNPD prete a l'emploi. L'outil interroge vos systèmes connectes (Odoo, M365, Salesforce, HR Suite, Sage BOB 50) pour identifier chaque finalité reelle, puis confronte cette finalité a la grille EDPB et a la jurisprudence CJUE pour proposer la base la plus defendable, et non la plus pratique.

Detecte chaque nouvelle finalité de traitement des qu'un workflow apparait dans Odoo, Salesforce ou M365, sans attendre la prochaine revue annuelle du registre.
Realise automatiquement le test d'intérêt légitime (LIA) en 3 etapes documente, avec ponderation des droits de la personne concernee, opposable en cas de contrôle.
Alerte instantanement par Teams ou email lorsqu'un traitement marketing est bati sur l'exécution contractuelle, erreur la plus sanctionnée par la CNIL et la CNPD.
Genere un registre de consentement horodate, avec preuve cryptographique de l'instant ou la case a ete cochee, conforme aux lignes directrices EDPB 5/2020.
Produit un PDF d'audit de licite scelle, demontrant que chaque traitement repose sur une base juridique reelle et documentee a l'avance, respectant l'esprit du considérant 40.
Bloque automatiquement les changements de base juridique a posteriori, pratique sanctionnée par la CJUE et l'EDPB.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos traitements reels, avec un audit blanc gratuit sous 48h pour mesurer combien de vos traitements reposent aujourd'hui sur une base juridique fragile.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 40

Ils nous font confiance

Avant de discuter