Je dois mettre mon organisation luxembourgeoise en conformité au considérant 62 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 62 RGPD — Considérant 62

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 62

Règlement général sur la protection des données · UE 2016/679

(62)

Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.

Spécificité Luxembourg

loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la loi du 1er aout 2018 portant organisation de la CNPD ne deroge pas au regime des exceptions du considérant 62, mais la CNPD luxembourgeoise est particulièrement attentive aux secteurs typiques de la place (banque privée, fonds, family offices) qui invoquent l'effort disproportionne pour ne pas reinformer les beneficiaires effectifs ou ayants droit historiques apres migration de leur core banking. La CNPD attend une balance documentee par client institutionnel, pas une politique generique groupe.

Pratique Luxgap : lors de toute migration de core banking ou de PMS, declenchez la balance article 14(5)(b) avant la bascule et conservez la trace horodatee dans le dossier d'audit CSSF, qui sera consulte conjointement par CNPD et CSSF en cas de contrôle croise.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 62 ouvre quatre exceptions a l'obligation d'information des articles 13 et 14 RGPD : information deja détenue, obligation légale d'enregistrement, impossibilite, et efforts disproportionnes. En pratique, la CNPD et la CNIL sanctionnent les organisations qui invoquent l'effort disproportionne comme excuse générique pour ne pas informer leurs prospects scrapes, leurs bases B2B achetees ou leurs historiques clients migres. L'EDPB rappelle dans ses lignes directrices sur la transparence (WP260 rev.01) que cette exception est d'interprétation stricte et exige une mise en balance documentee, pas une déclaration de principe.

Les 3 critères a documenter avant d'invoquer l'exception

Nombre de personnes concernees : informer 50 personnes n'est jamais disproportionne, informer 2 millions de contacts historiques peut l'être selon le contexte.
Anciennete des données : plus les données sont anciennes, plus le cout de re-contact est eleve et plus le bénéfice pour la personne diminue.
Garanties appropriees adoptees : publication d'une notice generale sur le site, information collective via presse, pseudonymisation, restriction d'accès, suppression a echeance courte.

Le piège : invoquer l'exception sans tracer la balance. La CNPD attend un document ecrit, date, signe par le DPO, qui démontré le raisonnement pour chaque base de données concernee. A defaut, l'exception tombe et l'absence d'information devient une violation autonome de l'article 14, sanctionnable jusqu'à 20 millions d'euros ou 4% du CA mondial.

Comment Luxgap automatise ce risque

Notre Luxgap Exception Balance Engine transforme l'invocation floue de l'effort disproportionne en dossier defendable opposable a la CNPD. L'outil est un agent IA qui interroge automatiquement vos bases CRM (Salesforce, HubSpot, Odoo, Dynamics), calcule en temps reel les trois critères du considérant 62 et produit un mémoire de balance signe cryptographiquement, pret a presenter en cas de contrôle.

Recense automatiquement chaque base contenant des données collectees indirectement (achat de fichiers, scraping, fusion-acquisition, migration legacy) en scannant les origines declarees dans le CRM et les contrats fournisseurs.
Calcule pour chaque base le ratio cout d'information / bénéfice pour la personne, en croisant volume, anciennete moyenne, taux de bounce email historique et cout unitaire d'envoi postal.
Propose automatiquement les garanties compensatoires adaptees : notice generale enrichie, communication presse type, pseudonymisation differee, purge anticipee, droit d'opposition simplifié.
Genere le mémoire de balance article 14(5)(b) horodate, signe par le DPO, qui démontré le raisonnement chiffre pour chaque base et constitue la preuve d'accountability article 5(2).
Alerte des qu'une base bascule au-dessus du seuil de disproportion (volume, anciennete) ou au-dessous (re-information devenue faisable après migration vers un nouveau CRM).
Publie automatiquement la notice generale /sources-indirectes/ sur votre site, mise à jour des qu'une nouvelle base entre dans le périmètre d'exception.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos bases reelles, avec un audit blanc gratuit sous 48h pour identifier les exceptions article 14(5) que vous invoquez sans le savoir.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 62

Ils nous font confiance

Avant de discuter