Je dois mettre mon organisation luxembourgeoise en conformité au considérant 85 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 85 fixe l'intention derrière l'article 33 : les 72 heures ne sont pas un délai administratif, c'est une obligation matérielle de réaction. La CNPD et la CNIL sanctionnent systématiquement deux écarts : le démarrage tardif du compteur (organisations qui prétendent ne pas avoir 'pris connaissance' alors que le SOC avait alerté 5 jours avant) et l'absence totale de traçabilité pour les violations non notifiées (où le responsable doit pourtant démontrer que le risque était improbable, conformément au principe de responsabilité).Les dommages listés par le considérant 85 et leur traduction opérationnelleLe législateur énumère des préjudices précis qui doivent guider votre analyse de risque : perte de contrôle, discrimination, usurpation d'identité, perte financière, renversement de pseudonymisation, atteinte à la réputation, rupture du secret professionnel. Chacun appelle un seuil de notification différent :Renversement de pseudonymisation (fuite de clé de réidentification) : notification quasi automatique car le risque est intrinsèque.Secret professionnel (avocat, médecin, banquier) : la CNPD considère que la perte de confidentialité est en soi un dommage notable.Usurpation d'identité : dès qu'une combinaison nom + date de naissance + numéro national ou IBAN fuit, le risque est présumé élevé.Discrimination : données de santé, origine, opinions, orientation, casier, situation financière dégradée.Perte financière directe : credentials bancaires, tokens de paiement, données de carte.Le considérant autorise expressément la notification échelonnée : vous n'avez pas besoin d'attendre d'avoir toutes les informations pour notifier. Mieux vaut une notification initiale à H+24 enrichie à H+72 qu'un silence prolongé suivi d'une notification tardive parfaitement documentée.Comment Luxgap automatise ce risqueNotre Luxgap Breach Clock démarre automatiquement le compteur 72h dès qu'un signal de compromission apparaît dans votre SI, et produit la notification CNPD préremplie en moins de 4 heures. L'outil ingère en continu les alertes de Microsoft Defender XDR, Azure Sentinel, CrowdStrike Falcon, Wazuh et Microsoft Purview DLP, puis qualifié chaque incident contre la grille EDPB 9/2022 pour décider en temps réel s'il franchit le seuil de notification.Détecte le point de départ exact du délai 72h en croisant les logs SIEM, les tickets ServiceNow et les emails du SOC, pour éliminer la zone grise de la 'prise de connaissance'.Classifie automatiquement la violation selon les sept catégories de dommages du considérant 85 (usurpation, discrimination, perte financière, renversement de pseudonymisation, atteinte réputation, secret professionnel, autre dommage économique) et calcule un score de risque opposable.Génère le formulaire de notification CNPD prérempli, ainsi que les versions CNIL et APD/GBA en cas de traitement transfrontalier, avec identification automatique de l'autorité chef de file.Produit la notification échelonnée : draft in...

Considérant 85 RGPD — Considérant 85

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 85

Règlement général sur la protection des données · UE 2016/679

(85)

Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

Spécificité Luxembourg

loi du 1er août 2018 portant organisation de la CNPD ; circulaire CSSF 24/847

Au Luxembourg, l'autorité compétente pour la notification est la CNPD (et non APDL), via son guichet électronique dédié aux violations de données. La loi du 1er août 2018 portant organisation de la CNPD confirme le délai de 72h et la possibilité d'une notification échelonnée. Pour les acteurs financiers régulés CSSF, une double notification s'impose : CNPD au titre du RGPD et CSSF au titre de la circulaire 24/847 sur les incidents TIC (DORA), avec des délais et des formulaires distincts qu'il ne faut pas confondre.

Pratique Luxgap : notre Breach Clock route automatiquement chaque incident vers la CNPD, la CSSF ou les deux selon la qualification de l'entité (PSF, établissement de crédit, assurance, OIV NIS 2), et conserve les accusés de réception horodatés des deux autorités dans un coffre opposable.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 85 fixe l'intention derrière l'article 33 : les 72 heures ne sont pas un délai administratif, c'est une obligation matérielle de réaction. La CNPD et la CNIL sanctionnent systématiquement deux écarts : le démarrage tardif du compteur (organisations qui prétendent ne pas avoir 'pris connaissance' alors que le SOC avait alerté 5 jours avant) et l'absence totale de traçabilité pour les violations non notifiées (où le responsable doit pourtant démontrer que le risque était improbable, conformément au principe de responsabilité).

Les dommages listés par le considérant 85 et leur traduction opérationnelle

Le législateur énumère des préjudices précis qui doivent guider votre analyse de risque : perte de contrôle, discrimination, usurpation d'identité, perte financière, renversement de pseudonymisation, atteinte à la réputation, rupture du secret professionnel. Chacun appelle un seuil de notification différent :

Renversement de pseudonymisation (fuite de clé de réidentification) : notification quasi automatique car le risque est intrinsèque.
Secret professionnel (avocat, médecin, banquier) : la CNPD considère que la perte de confidentialité est en soi un dommage notable.
Usurpation d'identité : dès qu'une combinaison nom + date de naissance + numéro national ou IBAN fuit, le risque est présumé élevé.
Discrimination : données de santé, origine, opinions, orientation, casier, situation financière dégradée.
Perte financière directe : credentials bancaires, tokens de paiement, données de carte.

Le considérant autorise expressément la notification échelonnée : vous n'avez pas besoin d'attendre d'avoir toutes les informations pour notifier. Mieux vaut une notification initiale à H+24 enrichie à H+72 qu'un silence prolongé suivi d'une notification tardive parfaitement documentée.

Comment Luxgap automatise ce risque

Notre Luxgap Breach Clock démarre automatiquement le compteur 72h dès qu'un signal de compromission apparaît dans votre SI, et produit la notification CNPD préremplie en moins de 4 heures. L'outil ingère en continu les alertes de Microsoft Defender XDR, Azure Sentinel, CrowdStrike Falcon, Wazuh et Microsoft Purview DLP, puis qualifié chaque incident contre la grille EDPB 9/2022 pour décider en temps réel s'il franchit le seuil de notification.

Détecte le point de départ exact du délai 72h en croisant les logs SIEM, les tickets ServiceNow et les emails du SOC, pour éliminer la zone grise de la 'prise de connaissance'.
Classifie automatiquement la violation selon les sept catégories de dommages du considérant 85 (usurpation, discrimination, perte financière, renversement de pseudonymisation, atteinte réputation, secret professionnel, autre dommage économique) et calcule un score de risque opposable.
Génère le formulaire de notification CNPD prérempli, ainsi que les versions CNIL et APD/GBA en cas de traitement transfrontalier, avec identification automatique de l'autorité chef de file.
Produit la notification échelonnée : draft initial à H+24, version enrichie à H+72, complément final dans les 30 jours, chaque étape horodatée et signée cryptographiquement.
Alerte les personnes concernées via votre canal habituel (email transactionnel, SMS, courrier postal généré) dès que le risque est qualifié d'élevé au sens de l'article 34.
Archive un registre des violations non notifiées avec la justification documentée du caractère improbable du risque, opposable à la CNPD en cas de contrôle.

Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur un scénario d'incident calqué sur votre SI réel, avec un audit blanc gratuit sous 48h pour mesurer votre temps de détection actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 85

Ils nous font confiance

Avant de discuter