Le piège classique
Le considérant 89 acte un changement de paradigme : finie la notification systématique a la CNPD, place a une logique de ciblage par le risque. En pratique, les responsables de traitement croient s'être allegés mais se retrouvent face a une obligation plus exigeante : identifier eux-memes les traitements a risque eleve et déclencher une AIPD (article 35). La CNPD sanctionné aujourd'hui non pas l'absence de notification, mais l'absence de démarché d'identification documentee des traitements necessitant une AIPD, surtout quand de nouvelles technologies (IA, biometrie, scoring) sont deployees sans évaluation préalable.
Les critères déclencheurs a surveiller en continu
- Nouvelles technologies : deploiement d'un modèle IA, d'un outil biometrique, d'un tracker comportemental, d'un nouveau SaaS de scoring RH.
- Traitements d'un type nouveau : aucune AIPD anterieure, aucun précédent sectoriel documente par l'EDPB ou la CNPD.
- évolution dans le temps : un traitement légitime en 2018 peut devenir a risque eleve en 2025 (volumetrie, croisement avec d'autres sources, changement de finalité).
- Combinaison de critères EDPB WP248 : évaluation/scoring, décision automatisée, surveillance systématique, données sensibles, traitement a grande échelle, croisement de jeux de données, personnes vulnerables, usage innovant, empechement d'exercer un droit.
- Liste CNPD du 5 octobre 2018 : 10 types d'opérations qui imposent obligatoirement une AIPD au Luxembourg.
Le piège : croire que la suppression de la notification generale = moins de travail. C'est l'inverse. Le legislateur a delegué au responsable de traitement la charge d'évaluer en permanence ses traitements, et la preuve de cette démarché est exigible a tout moment.
Comment Luxgap automatise ce risque
Notre Luxgap DPIA Radar remplace le tableur Excel statique que personne ne met à jour par un radar continu qui detecte automatiquement, dans votre SI, l'apparition de traitements susceptibles de déclencher une AIPD selon les critères EDPB WP248 et la liste CNPD du 5 octobre 2018. L'outil se connecte a votre Active Directory, vos tenants M365, Salesforce, Workday, Odoo et vos pipelines Azure/AWS pour repérer les nouveaux flux de données, les nouveaux modèles IA deployes, et les changements de périmètre des traitements existants.
- Detecte automatiquement chaque nouveau traitement via les logs M365, Azure AD, Salesforce et les connecteurs Odoo, sans intervention manuelle du DPO.
- Calcule un score de risque sur les 9 critères EDPB WP248 et confronte chaque traitement a la liste CNPD du 5 octobre 2018 pour déclencher automatiquement l'obligation d'AIPD.
- Alerte en temps reel (Teams, Slack, email) des qu'une nouvelle technologie IA, biometrique ou de scoring apparait dans le périmètre connecte.
- Reevalue periodiquement les traitements existants pour détecter les derives de finalité ou de volumetrie qui rendent une AIPD nécessaire compte tenu du temps ecoule.
- Genere une AIPD pre-remplie au format CNPD avec les rubriques obligatoires de l'article 35(7), pretes a être completees par le metier.
- Produit un registre d'arbitrage horodate, opposable a la CNPD, qui démontré pour chaque traitement la démarché d'identification du risque, même quand l'AIPD n'a finalement pas ete jugée nécessaire.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos traitements reels, avec un scan gratuit sous 48h pour identifier les AIPD manquantes dans votre organisation avant tout engagement.
