Je dois mettre mon organisation luxembourgeoise en conformité au considérant 97 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 97 RGPD — Considérant 97

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 97

Règlement général sur la protection des données · UE 2016/679

(97)

Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la loi du 1er aout 2018 portant organisation de la CNPD et la pratique constante de la CNPD imposent que la désignation du DPO soit notifiée via le formulaire en ligne dedie, et que tout changement soit declare sous 8 jours. La CNPD vérifié activement l'effectivite de l'independance lors de ses contrôles thematiques, en particulier dans le secteur financier ou le cumul DPO et responsable conformité LCB-FT est frequent et problematique au regard de la CSSF circulaire 12/552.

Pratique Luxgap : pour les entités régulées CSSF, nous recommandons une separation stricte entre le DPO et le Chief Compliance Officer LCB-FT, avec une lettre de mission DPO signee par le CEO qui garantit l'acces direct au conseil d'administration et un budget formation annuel documente.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 97 eclaire les critères de l'article 37 : activités de base, grande échelle, suivi régulier et systématique, et surtout independance et expertise du DPO. La CNPD et la CNIL sanctionnent régulièrement deux derives : la nomination d'un DPO de complaisance (DAF, DSI, responsable juridique qui cumule sans temps reel) et le DPO sans expertise reelle (formation de 3 jours, aucune veille EDPB). L'EDPB rappelle dans ses lignes directrices WP243 que le niveau de connaissances spécialisées doit être proportionné a la sensibilite des traitements : un DPO de banque privée ou d'hôpital n'a pas le même bagage qu'un DPO de PME e-commerce.

Les 4 tests d'expertise et d'independance derives du considérant 97

Test d'expertise proportionnée : le DPO maitrise-t-il les lignes directrices EDPB récentes, la jurisprudence CJUE (Schrems II, Bindl), les sanctions CNPD applicables a votre secteur ?
Test d'independance fonctionnelle : le DPO rapporte-t-il directement au plus haut niveau hierarchique (CEO, COMEX) sans filtre du DSI ou DAF ?
Test d'absence de conflit d'intérêts : le DPO ne decide pas des finalités des traitements qu'il contrôle (donc pas de cumul DPO + DSI + RSSI + DAF dans une même personne).
Test de moyens : temps alloue documente, budget formation, accès aux opérations, droit de saisir l'autorité de contrôle sans demander la permission.

Sur ce dernier point, la CNPD a publie en 2022 une analyse rappelant que le simple titre de DPO sans temps reel ni rattachement direct ne suffit pas, et que la sanction frappe le responsable du traitement, pas le DPO.

Comment Luxgap automatise ce risque

Notre Luxgap DPO Independence Monitor materialise en temps reel les quatre tests du considérant 97 et produit une preuve opposable d'independance et d'expertise du DPO en cas de contrôle CNPD. L'outil se connecte a votre Active Directory, votre SIRH (Sopra HR, Workday LU, Cegid), votre suite Microsoft 365 et votre outil de ticketing pour reconstituer mecaniquement le périmètre reel, le temps passe et la chaîne de reporting du DPO, sans questionnaire déclaratif.

Detecte les conflits d'intérêts en croisant l'organigramme AD et les delegations Odoo ou SAP (alerte instantanee si le DPO est aussi DSI, RSSI, DAF ou responsable marketing).
Calcule un score d'expertise actualise mensuellement en croisant les formations suivies, les certifications (CIPP/E, AFCDP, ISO 27701 LI), la veille EDPB consultee et l'historique des avis rendus.
Mesure le temps reel passe au DPO via l'analyse des calendriers M365 et des tickets, et alerte si l'allocation chute sous le seuil contractuel.
Trace chaque rapport du DPO au COMEX dans un journal horodate immuable, demontrant la ligne de reporting directe exigee par l'article 38.
Genere un rapport PDF scelle cryptographiquement, opposable a la CNPD, qui démontré la conformité aux exigences du considérant 97 et de l'article 38.

Disponible en complement d'un mandat DPO Luxgap (le DPO externe est intégré nativement a l'outil) ou en brique SaaS dediee pour les organisations ayant un DPO interne. Demandez une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h qui mesure le niveau d'independance effectif de votre DPO actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 97

Ils nous font confiance

Avant de discuter