Je dois mettre mon organisation luxembourgeoise en conformité au considérant 87 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 87 RGPD — Considérant 87

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 87

Règlement général sur la protection des données · UE 2016/679

(87)

Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

Spécificité Luxembourg

CNPD - lignes directrices sur la notification des violations de données (portail cnpd.public.lu)

Au Luxembourg, la notification de violation se fait via le formulaire en ligne dédié de la CNPD (et non par courrier ou e-mail). La CNPD a publié des lignes directrices internes qui précisent qu'une violation impliquant des données bancaires, de santé ou des identifiants nationaux luxembourgeois (matricule) doit être considérée comme à risque élevé par défaut, déclenchant une notification aux personnes concernées au titre de l'article 34.

Pratique Luxgap : configurez votre outil de détection pour pousser automatiquement le dossier prérempli au format CNPD et tenez un journal des incidents qualifiés et non qualifiés, car la CNPD demande systématiquement la traçabilité des décisions de non-notification.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 87 éclaire l'article 33 : la CNPD ne sanctionné pas seulement le retard de notification, elle sanctionné surtout l'incapacité à détecter la violation. Quand une organisation découvre une fuite trois mois après les faits via un client mécontent ou un journaliste, c'est la preuve que les mesures techniques et organisationnelles de détection étaient insuffisantes. La CNIL a publiquement rappelé que le délai de 72h court à partir du moment où la violation aurait dû être détectée avec des moyens raisonnables, pas à partir de la découverte effective.

Le test de détectabilité : ce que la CNPD vérifie réellement

Lors d'un contrôle post-incident, l'autorité reconstitue la chronologie complète et pose systématiquement ces questions :

Avez-vous un SIEM ou un EDR qui journalise les accès anormaux aux données personnelles ?
Vos logs sont-ils conservés assez longtemps pour reconstituer l'incident (minimum 6 mois recommandé) ?
Existe-t-il une procédure documentée de qualification d'un événement de sécurité en violation RGPD, avec un délai cible ?
Les équipes IT et le DPO ont-ils un canal d'escalade clair, testé au moins une fois par an ?
Pouvez-vous démontrer la date et l'heure exactes de la prise de connaissance, et non une fourchette floue ?
Vos sous-traitants ont-ils l'obligation contractuelle de vous notifier sous 24h (article 33(2)) et le respectent-ils en pratique ?

Si une seule de ces briques manque, le considérant 87 se retourne contre vous : la notification tardive devient une circonstance aggravante, pas une excuse.

Comment Luxgap automatise ce risque

Notre Luxgap Breach Détection Clock rend impossible le scénario de la violation découverte trop tard. L'outil branche un agent IA sur vos sources de télémétrie (Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, M365 Audit Log, AWS CloudTrail, Active Directory) et qualifié en temps réel chaque événement de sécurité en incident RGPD potentiel, déclenchant un chronomètre 72h horodaté cryptographiquement dès la première alerte pertinente.

Détecte automatiquement les exfiltrations anormales (volumétrie, horaires, destinations cloud) sur vos environnements M365 et Azure sans configuration manuelle de règles.
Classifie chaque alerte selon la grille EDPB 9/2022 (confidentialité, intégrité, disponibilité) et propose une qualification préliminaire en moins de 5 minutes.
Démarre un chronomètre 72h scellé blockchain dès la prise de connaissance, opposable à la CNPD pour démontrer la diligence article 33.
Alerte le DPO et le RSSI sur Teams ou Slack avec un dossier d'incident prérempli (nature, catégories de données, volumétrie estimée, mesures de confinement).
Génère le projet de notification CNPD au format attendu par le portail luxembourgeois, prêt à valider en une session de 30 minutes.
Produit un rapport PDF horodaté qui démontre la chaîne complète détection-qualification-notification, opposable lors d'un contrôle.

Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez votre démonstration et nos équipes branchent l'outil sur vos sources réelles sous 48h pour mesurer votre temps de détection actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 87

Ils nous font confiance

Avant de discuter