Règlement UE 2016/679 · CNPD
Conformité RGPD au Luxembourg.
Le RGPD impose à toute organisation luxembourgeoise qui traite des données personnelles une vingtaine d'obligations précises. La CNPD (Commission Nationale pour la Protection des Données) contrôle activement depuis 2018, avec plus de 30 millions d'euros d'amendes prononcées au Luxembourg ces dernières années.
Qui est concerné par le RGPD au Luxembourg ?
Toutes les organisations, quelle que soit leur taille, qui traitent des données personnelles de résidents européens. Aucune exception de taille. Si vous avez un fichier Excel avec des noms, le RGPD s'applique.
Au Luxembourg, sont systématiquement contrôlés : banques, fonds, fiduciaires, professions médicales, e-commerce, transporteurs, RH externalisée, hôtels, restaurants. La CNPD agit aussi sur plainte de salariés, clients, ex-conjoints, journalistes.
Au Luxembourg, sont systématiquement contrôlés : banques, fonds, fiduciaires, professions médicales, e-commerce, transporteurs, RH externalisée, hôtels, restaurants. La CNPD agit aussi sur plainte de salariés, clients, ex-conjoints, journalistes.
Les obligations principales du RGPD
Registre des traitements (article 30) : décrire chaque traitement avec finalité, base légale, durée. Désignation d'un DPO (article 37) si traitement régulier à grande échelle. Analyses d'impact AIPD (article 35) pour les traitements à risque (vidéosurveillance, biométrie, profilage). Notification des violations à la CNPD dans les 72h (article 33). Droits des personnes à respecter dans le mois (accès, rectification, effacement, portabilité). Contrats sous-traitants conformes (DPA, article 28). Transferts hors UE encadrés (clauses contractuelles types, BCR).
Sanctions de la CNPD luxembourgeoise
L'article 83 RGPD prévoit des sanctions administratives jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le plus élevé). Au Luxembourg, la CNPD a déjà prononcé plus de 30 M€ d'amendes : Amazon (746 M€ initialement, contesté), Sumup, banques, PME. Aucune taille n'est trop petite : des associations à 5 personnes ont aussi été sanctionnées.
S'ajoutent les actions civiles (article 82) des personnes concernées et la responsabilité personnelle des dirigeants en cas de manquement avéré.
S'ajoutent les actions civiles (article 82) des personnes concernées et la responsabilité personnelle des dirigeants en cas de manquement avéré.
Comment Luxgap met votre RGPD en conformité ?
Notre mandat DPO externalisé couvre les 9 axes RGPD de bout en bout : nommé officiellement à la CNPD, nous portons la responsabilité opérationnelle. Démarrage en 2 semaines, audit initial, plan d'action priorisé, mise en place du registre, AIPD pour les traitements à risque, formation des équipes, gestion des demandes des personnes et des éventuelles violations.
Pour les organisations déjà équipées d'un DPO, nous proposons un accompagnement à la carte (audit ponctuel, formation, AIPD spécifique, gestion d'incident).
Pour les organisations déjà équipées d'un DPO, nous proposons un accompagnement à la carte (audit ponctuel, formation, AIPD spécifique, gestion d'incident).
Discutons de votre situation.
Devis sous 24 heures ouvrées. Sans engagement, sans pression commerciale.