Je dois mettre mon organisation luxembourgeoise en conformité au considérant 95 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 95 RGPD — Considérant 95

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 95

Règlement général sur la protection des données · UE 2016/679

(95)	Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données

Au Luxembourg, la consultation préalable visée à l'article 36 RGPD se fait auprès de la CNPD (et non APDL), qui a publié des lignes directrices sur les seuils d'AIPD applicables aux secteurs régulés (santé, finance, RH). La loi du 1er août 2018 portant organisation de la CNPD précise les pouvoirs d'enquête de l'autorité, qui peut exiger directement du sous-traitant établi au Luxembourg les éléments techniques nécessaires à l'instruction.

Pratique Luxgap : pour les acteurs CSSF, anticipez que la CNPD coordonne ses demandes avec la circulaire CSSF 22/806 sur les arrangements d'externalisation, ce qui démultiplie les pièces à produire en cas de consultation préalable.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 95 éclaire l'article 28(3)(f) RGPD : le sous-traitant doit aider le responsable du traitement à conduire ses AIPD et à gérer une consultation préalable de la CNPD. En pratique, la CNPD et la CNIL sanctionnent les responsables qui découvrent, le jour de l'AIPD, que leur prestataire SaaS refuse de communiquer son architecture, ses sous-traitants ultérieurs ou ses mesures de sécurité techniques. Le piège : avoir signé un DPA générique sans clause d'assistance opérationnelle chiffrée (délais de réponse, livrables attendus, points de contact), ce qui rend l'AIPD impossible à finaliser et exposé le responsable seul.

Ce que l'assistance du sous-traitant doit couvrir concrètement

Fourniture de la documentation technique et organisationnelle (architecture, chiffrement, localisation, sous-traitants ultérieurs) dans un délai contractuel.
Description précise des flux de données transfrontaliers et des garanties article 46 (CCT 2021, BCR, DPF).
Communication des résultats de tests de pénétration, audits SOC 2, certifications ISO 27001 et HDS le cas échéant.
Participation active à l'analyse des risques pour les personnes concernées, et non simple validation tacite du questionnaire fourni.
Disponibilité d'un interlocuteur technique nommé lors d'une éventuelle consultation préalable de la CNPD au titre de l'article 36.

Comment Luxgap automatise ce risque

Notre Luxgap DPIA Co-Pilot élimine l'angle mort de l'assistance sous-traitant en transformant chaque AIPD en chantier collaboratif tracé, avec vos prestataires embarqués dès le premier jour. L'outil envoie automatiquement aux sous-traitants concernés un questionnaire structuré aligné EDPB WP248, relance par email et Teams, et agrège leurs réponses dans un dossier AIPD opposable, sans que votre DPO ait à courir derrière les comptes clients Salesforce, AWS ou Microsoft.

Identifié automatiquement, à partir de votre registre article 30 et de vos contrats Odoo, quels sous-traitants doivent être sollicités pour chaque AIPD déclenchée.
Envoie un questionnaire technique pré-rempli adapté à la typologie du prestataire (IaaS, SaaS RH, marketing, paie) et trace les délais de réponse contractuels.
Détecte les écarts entre les déclarations du sous-traitant et ses certifications publiques (ISO 27001, SOC 2, HDS, DPF) via une vérification automatique des registres officiels.
Génère le dossier de consultation préalable CNPD article 36, avec annexes techniques fournies par les sous-traitants, prêt à déposer en cas de risque résiduel élevé.
Produit un rapport PDF horodaté et cryptographiquement scellé qui démontre la diligence du responsable et l'effectivité de l'assistance reçue, opposable en cas de contrôle.
Alerte instantanément quand un sous-traitant ne répond pas dans les délais contractuels, matérialisant un manquement article 28(3)(f) exploitable contractuellement.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos sous-traitants réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 95

Ils nous font confiance

Avant de discuter