Mandat légal · RGPD + AI Act + Lanceur d'alerte

Un mandat DPO qui couvre RGPD, AI Act et le lanceur d'alerte (en option).

Vous nous nommez Délégué à la Protection des Données auprès de la CNPD. Nous tenons votre registre, conduisons les analyses d'impact (AIPD et AI Act), répondons aux demandes des personnes, gérons les éventuelles violations et dialoguons avec la CNPD à votre place.

Configurer mon devis → Nous contacter

En une vue : ce qu'on prend en charge

Quatre volets dans le mandat DPO Luxgap. Le lanceur d'alerte est en option, à activer si vous y êtes soumis.

Conformité RGPD

Registre des traitements, analyses d'impact (AIPD), droits des personnes, notification de violations sous 72h, dialogue continu avec la CNPD.

Tout sur le RGPD →

Conformité AI Act

Inventaire des systèmes d'IA déployés dans votre organisation, classification par niveau de risque, transparence, supervision humaine.

Tout sur l'AI Act →

Représentation

Point de contact unique pour la CNPD et les personnes concernées. En cas de contrôle, c'est nous qui intervenons, pas vous.

Lanceur d'alerte En option

Canal d'alerte interne conforme à la loi luxembourgeoise du 16 mai 2023, obligatoire pour toute organisation de plus de 50 salariés. Procédure d'alerte rédigée, charte interne, gestion des signalements, formation des managers et RH.

Tout sur le lanceur d'alerte →
Feuille de route et plan d'action

Notre méthode en 9 axes.

Chaque mandat suit une feuille de route éprouvée, structurée autour des 9 grands chapitres du RGPD.

01 Formation

Formation générale et formations ciblées par métier. Sensibilisations régulières via notre plateforme e-learning.

02 Analyse des données

Identification des données personnelles par département, registre des traitements (article 30), évaluation de l'intérêt légitime et politique de conservation.

03 Transparence et information

Politique de protection des données, notices site internet, candidats, employés, vidéosurveillance, chaque traitement documenté pour respecter l'article 12.

04 Sécurité des données

Article 32 : revue des mesures techniques et organisationnelles (TOMs), évaluation des risques, accompagnement vers ISO 27001 si pertinent.

05 Acteurs du traitement

Responsables / sous-traitants : analyse des contrats (article 28), évaluation de la conformité technique et juridique des prestataires.

06 Droits des personnes

Procédure de gestion des demandes (accès, rectification, effacement, opposition), accompagnement des équipes pour des réponses dans les délais légaux.

07 Analyse d'impact (AIPD)

Détection des traitements à risque, AIPD réalisées avec notre outil propriétaire, documentation de la décision.

08 Violation de données

Procédure de gestion, documentation des incidents, intervention sur site possible le jour même en cas d'incident grave.

09 Transferts internationaux

Détection des transferts hors UE/EEE (outils, partenaires), encadrement contractuel (CCT, BCR) et procédure dédiée.

Certification européenne

Europrivacy

Europrivacy est le seul schéma de certification RGPD officiellement reconnu par le Comité européen de la protection des données (CEPD), au titre de l'article 42 du RGPD. Une certification Europrivacy démontre publiquement votre conformité, opposable face à un client, un investisseur ou une autorité.

Luxgap accompagne sur tout le parcours : cadrage du périmètre, gap-analysis (146 contrôles), plan de remédiation, préparation à l'audit avec un organisme accrédité, audits de surveillance et renouvellement triennal.

Demander un devis Europrivacy →

Europrivacy est une marque du European Centre for Certification and Privacy (ECCP), reconnue par le CEPD le 17 octobre 2022.

Sanctions en cas de non-conformité

RGPD : jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial. Plus de 30 M€ d'amendes prononcées par la CNPD ces dernières années, y compris à des PME.

AI Act : jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites.

Le mandat dans le temps

Comment se déroule un mandat DPO Luxgap.

Trois phases qui se chevauchent : un onboarding cadré au démarrage, une routine mensuelle continue, et des interventions événementielles dès qu'un sujet l'exige.

1

Onboarding (J0 → J+30)

  • Déclaration officielle à la CNPD comme DPO de votre organisation.
  • Cartographie des traitements existants par département et reprise du registre (article 30).
  • Audit éclair des risques majeurs : transferts hors UE, traitements à risque, contrats sous-traitants.
  • Plan d'action priorisé pour les 6 premiers mois.
2

Routine mensuelle

  • Mise à jour du registre des traitements et de la documentation associée.
  • Réponses aux demandes des personnes concernées (accès, rectification, effacement).
  • Comité trimestriel ou semestriel selon la taille, avec compte-rendu écrit.
  • Veille réglementaire (CNPD, CEPD, jurisprudence) résumée et adressée à votre direction.
3

Interventions événementielles

  • AIPD pour tout nouveau traitement à risque (RH, IA, vidéosurveillance, biométrie…).
  • Gestion des violations de données : qualification, notification CNPD sous 72h, communication aux personnes.
  • Réponse aux contrôles CNPD avec accompagnement sur site si nécessaire.
  • Revue contractuelle de sous-traitants critiques et clauses RGPD.
Notre modèle de mandat

Un mandat, pas une prestation à la journée.

Vous avez une obligation légale : on la prend en charge. Pas de location de personnel, pas de forfait jours-homme, pas de minimum. On engage notre responsabilité sur le résultat, derrière, c'est une équipe.

Engagement de résultat

On ne vous facture pas un nombre de journées. On signe pour tenir votre obligation, registre, AIPD, gouvernance NIS 2, reporting régulateur. Si ça nécessite trois échanges en une semaine, on les fait.

Une équipe, pas une personne

Vous avez un interlocuteur unique. Derrière : juristes (RGPD, AI Act, NIS 2, DORA), ingénieurs cyber (audits, AIPD techniques, BCP, incidents) et développeurs (outils internes registre/AIPD, agents IA d'automatisation). Le bon profil intervient au bon moment.

Disponibles toute l'année

Même un mandat dimensionné pour une journée par mois donne lieu à plusieurs interventions courtes : visio de 30 minutes, réponse écrite, AIPD ponctuelle, comité de pilotage. On répond, on intervient, on ne disparaît pas entre deux factures.

Pointage à la minute

Chaque action est tracée. Une heure de Teams = une heure facturée, rien de plus. Pas de demi-journée minimum, pas de forfait masqué. Vous payez ce qu'on consomme, et seulement ça.

Transparence client + régulateur

Vous accédez à un suivi détaillé : qui a fait quoi, quand, sur quel sujet, combien de temps. En cas de contrôle CNPD, ILR ou CSSF, ce journal est la preuve d'un mandat réellement opéré, pas un simple contrat sur papier.

De la PME à l'État

Nos mandats vont de la PME de douze personnes au groupe industriel de plus de huit cents collaborateurs, en passant par des organisations publiques, communes et institutions. Notre méthode s'adapte au volume, pas l'inverse.

Service additionnel

Canal d'alerte interne (Whistleblowing)

La loi luxembourgeoise du 16 mai 2023 (transposition de la directive UE 2019/1937) impose à toute organisation publique ou privée de plus de 50 salariés un canal d'alerte interne. Cette obligation est complémentaire au RGPD mais n'est pas incluse dans le mandat DPO standard.

Luxgap propose une prestation séparée : rédaction de la procédure d'alerte, charte interne, externalisation partielle ou complète du canal de signalement, formation des managers et RH.

Demander un devis Whistleblowing →

Prêt à formaliser votre mandat DPO ?

Configurez votre devis en cochant ce qui vous concerne (RGPD, AI Act, Europrivacy, Whistleblowing), vous recevez une proposition adaptée sous 24 h ouvrées.

Configurer mon devis →