Je dois mettre mon organisation luxembourgeoise en conformité au considérant 96 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 96 RGPD — Considérant 96

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 96

Règlement général sur la protection des données · UE 2016/679

(96)

L'autorité de contrôle devrait également être consultée au stade de la préparation d'une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d'assurer que le traitement prévu respecte le présent règlement et, en particulier, d'atténuer le risque qu'il comporte pour la personne concernée.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données

Au Luxembourg, l'autorité compétente est exclusivement la CNPD (Commission nationale pour la protection des données). La loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données précise à son article 16 que la CNPD est consultée par le Gouvernement sur tout projet de loi ou de règlement grand-ducal relatif au traitement de données à caractère personnel. En pratique, le Conseil d'État vérifie la présence de l'avis CNPD au dossier et peut renvoyer un texte en cas d'omission.

Pratique Luxgap : pour les administrations communales et établissements publics luxembourgeois, nous recommandons d'intégrer la saisine CNPD dès la note au Gouvernement, et non au stade du dépôt à la Chambre des Députés, pour éviter les corrections de dernière minute qui retardent l'adoption du texte de 3 à 6 mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 96 visé une cible souvent ignorée : les administrations, ministères, communes et établissements publics qui rédigent un projet de loi, un règlement grand-ducal, un arrêté ou même une convention collective imposant un traitement de données. La CNPD doit être consultée en amont, au stade de la préparation, pas une fois le texte voté. En pratique, beaucoup de projets arrivent à la CNPD à J-15 de la signature ministérielle, ce qui rend l'avis purement cosmétique et exposé le texte à un recours ultérieur pour défaut de base légale conforme à l'article 6(1)(c) ou (e) RGPD.

Quand déclencher la consultation CNPD au titre du considérant 96

Tout projet de loi ou règlement grand-ducal qui impose, autorise ou organise un traitement de données personnelles (registres, fichiers sectoriels, échanges interadministratifs).
Toute convention de partagé de données entre administrations (ministère de l'Intérieur, CCSS, ADEM, communes, AED).
Tout arrêté ministériel créant un téléservice, une plateforme citoyenne, une application mobile étatique.
Toute mesure d'urgence (sanitaire, sécuritaire) prévoyant une collecte exceptionnelle, même temporaire.
Toute modification d'un texte existant qui élargit la finalité, ajoute un destinataire ou prolonge la durée de conservation.

La consultation s'articule avec l'article 36(4) RGPD, qui rend cette saisine obligatoire pour les autorités publiques. L'avis CNPD doit être joint au dossier législatif transmis au Conseil d'État, sous peine de fragiliser la base légale du traitement.

Comment Luxgap automatise ce risque

Notre Luxgap Legislative Impact Scanner transforme la consultation CNPD au stade préparatoire en réflexe automatique pour les administrations et les acteurs régulés qui co-construisent des textes sectoriels. L'outil ingère votre projet de texte (PDF, Word, OpenDocument), détecte par agent LLM spécialisé les clauses qui impliquent un traitement de données, qualifié la base légale envisagée et génère le dossier de saisine CNPD prêt à transmettre, avec analyse d'impact préliminaire.

Analyse automatiquement chaque article du projet de texte et identifié les passages qui créent, étendent ou modifient un traitement de données personnelles.
Qualifié la base légale appropriée (article 6(1)(c), 6(1)(e), 9(2)) et signale les incohérences entre la finalité affichée et les catégories de données collectées.
Génère le formulaire de consultation préalable CNPD prérempli, avec analyse de proportionnalité et tableau des mesures d'atténuation prévues.
Compare votre projet aux avis CNPD publics antérieurs sur des textes similaires et signale les points qui ont historiquement déclenché des observations.
Suit le calendrier législatif et alerte le service juridique si la saisine CNPD n'a pas été initiée à J-90 du dépôt au Conseil d'État.
Produit un rapport PDF horodaté, opposable, démontrant que le considérant 96 et l'article 36(4) ont été respectés dans le processus.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur un de vos projets de texte en cours, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 96

Ils nous font confiance

Avant de discuter