Je dois mettre mon organisation luxembourgeoise en conformité au considérant 90 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'AIPD bâclée est l'un des griefs les plus fréquemment relevés par la CNPD et la CNIL lors des contrôles. Le considérant 90 précise que l'analyse doit être préalable, ce qui exclut les AIPD rédigées a posteriori pour combler un dossier. Autre piège récurrent : une AIPD qui décrit le traitement mais n'évalue ni la probabilité ni la gravité du risque, ou qui liste des mesures génériques sans démontrer leur effet d'atténuation réel. L'EDPB (lignes directrices WP248 rev.01) insiste sur le caractère démontrable et opposable du raisonnement.Ce que le considérant 90 exige concrètement de votre AIPDAntériorité : l'AIPD doit être datée avant le démarrage du traitement, idéalement avant les choix d'architecture (privacy by design, article 25).Évaluation à deux axes : probabilité d'occurrence ET gravité de l'impact pour les personnes, pas seulement pour l'entreprise.Sources du risque identifiées : interne (collaborateur malveillant, erreur), externe (attaquant, sous-traitant défaillant), accidentelle (perte, mauvaise configuration).Mesures d'atténuation chiffrées : chaque mesure doit faire baisser la probabilité ou la gravité d'un cran, avec justification.Garanties pour les personnes : information renforcée, mécanismes d'opposition, pseudonymisation, minimisation effective.Démonstration de conformité : l'AIPD est elle-même une pièce d'accountability au sens de l'article 5(2), elle doit pouvoir être présentée telle quelle à la CNPD.Itération : revue à chaque évolution significative du traitement (nouveau sous-traitant, nouvelle finalité, nouveau pays d'hébergement).Comment Luxgap automatise ce risqueNotre Luxgap DPIA Reasoner transforme l'AIPD d'un document Word de 40 pages rédigé une fois par an en un raisonnement vivant, opposable et reproductible. L'outil embarque un agent IA spécialisé qui interroge votre registre de traitements, vos cartographies Microsoft Purview, vos flux Azure et vos contrats sous-traitants Odoo pour construire automatiquement le scénario de risque, en s'appuyant sur la méthodologie CNIL PIA et les lignes directrices EDPB WP248.Détecte automatiquement les traitements qui franchissent les seuils des critères EDPB (évaluation systématique, données sensibles à grande échelle, surveillance, croisement) et déclenche une AIPD obligatoire avant mise en production.Calcule la matrice probabilité × gravité pour chaque scénario de menacé en croisant votre posture de sécurité réelle (vulnérabilités Defender, configurations Azure, certifications sous-traitants) avec les bases de menacés ENISA et MITRE ATT&CK.Génère le rapport AIPD complet horodaté et cryptographiquement scellé, structuré selon la trame attendue par la CNPD, avec traçabilité des hypothèses et des sources.Propose pour chaque risque résiduel élevé les mesures d'atténuation chiffrées et leur effet attendu, avec citation des standards applicables (ISO 27001, ANSSI, NIST).Alerte en temps réel via Teams ou Slack dès qu'un changement matériel survient (nouveau sous-t...

Considérant 90 RGPD — Considérant 90

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 90

Règlement général sur la protection des données · UE 2016/679

(90)

Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2018 portant organisation de la CNPD et décision CNPD du 16 octobre 2018 sur la liste des traitements soumis à AIPD

Au Luxembourg, la CNPD a publié sa propre liste de traitements soumis à AIPD obligatoire (décision du 16 octobre 2018), qui complète les critères EDPB avec des cas spécifiques au tissu économique luxembourgeois (traitements transfrontaliers, big data financier, profilage RH systématique). La loi du 1er août 2018 portant organisation de la CNPD confirme par ailleurs le pouvoir d'injonction de l'autorité, qui peut exiger la production d'une AIPD lors d'un contrôle, même a posteriori.

Pratique Luxgap : pour tout traitement à risque opéré par une entité luxembourgeoise (banque privée, fintech CSSF, assurance CAA, fonds d'investissement), nous calons systématiquement la trame AIPD sur la liste CNPD du 16 octobre 2018, et non uniquement sur les critères EDPB, afin de garantir l'opposabilité directe en cas de contrôle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'AIPD bâclée est l'un des griefs les plus fréquemment relevés par la CNPD et la CNIL lors des contrôles. Le considérant 90 précise que l'analyse doit être préalable, ce qui exclut les AIPD rédigées a posteriori pour combler un dossier. Autre piège récurrent : une AIPD qui décrit le traitement mais n'évalue ni la probabilité ni la gravité du risque, ou qui liste des mesures génériques sans démontrer leur effet d'atténuation réel. L'EDPB (lignes directrices WP248 rev.01) insiste sur le caractère démontrable et opposable du raisonnement.

Ce que le considérant 90 exige concrètement de votre AIPD

Antériorité : l'AIPD doit être datée avant le démarrage du traitement, idéalement avant les choix d'architecture (privacy by design, article 25).
Évaluation à deux axes : probabilité d'occurrence ET gravité de l'impact pour les personnes, pas seulement pour l'entreprise.
Sources du risque identifiées : interne (collaborateur malveillant, erreur), externe (attaquant, sous-traitant défaillant), accidentelle (perte, mauvaise configuration).
Mesures d'atténuation chiffrées : chaque mesure doit faire baisser la probabilité ou la gravité d'un cran, avec justification.
Garanties pour les personnes : information renforcée, mécanismes d'opposition, pseudonymisation, minimisation effective.
Démonstration de conformité : l'AIPD est elle-même une pièce d'accountability au sens de l'article 5(2), elle doit pouvoir être présentée telle quelle à la CNPD.
Itération : revue à chaque évolution significative du traitement (nouveau sous-traitant, nouvelle finalité, nouveau pays d'hébergement).

Comment Luxgap automatise ce risque

Notre Luxgap DPIA Reasoner transforme l'AIPD d'un document Word de 40 pages rédigé une fois par an en un raisonnement vivant, opposable et reproductible. L'outil embarque un agent IA spécialisé qui interroge votre registre de traitements, vos cartographies Microsoft Purview, vos flux Azure et vos contrats sous-traitants Odoo pour construire automatiquement le scénario de risque, en s'appuyant sur la méthodologie CNIL PIA et les lignes directrices EDPB WP248.

Détecte automatiquement les traitements qui franchissent les seuils des critères EDPB (évaluation systématique, données sensibles à grande échelle, surveillance, croisement) et déclenche une AIPD obligatoire avant mise en production.
Calcule la matrice probabilité × gravité pour chaque scénario de menacé en croisant votre posture de sécurité réelle (vulnérabilités Defender, configurations Azure, certifications sous-traitants) avec les bases de menacés ENISA et MITRE ATT&CK.
Génère le rapport AIPD complet horodaté et cryptographiquement scellé, structuré selon la trame attendue par la CNPD, avec traçabilité des hypothèses et des sources.
Propose pour chaque risque résiduel élevé les mesures d'atténuation chiffrées et leur effet attendu, avec citation des standards applicables (ISO 27001, ANSSI, NIST).
Alerte en temps réel via Teams ou Slack dès qu'un changement matériel survient (nouveau sous-traitant, nouvelle finalité, transfert hors UE) et déclenche la mise à jour de l'AIPD concernée.
Produit le dossier de consultation préalable article 36 prêt à transmettre à la CNPD lorsque le risque résiduel reste élevé.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur l'un de vos traitements à risque réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 90

Ils nous font confiance

Avant de discuter