Certains estiment qu’une entreprise sur trois seulement est conforme au RGPD. L’un des pans souvent négligé est la conduite des analyses d’impact relatives à la protection des données (Data Protection Impact Assessment ou « DPIA »). Les entreprises manquant souvent des moyens humains nécessaires pour toutes les réaliser en même temps, il apparait donc utile de définir un ordre de priorité entre les différents traitements nécessitant la conduite d’une DPIA. Pour réaliser cette tâche, il convient d’identifier les traitements les plus sensibles qui visent des données hautement personnelles.

Au Luxembourg, si la liste des traitements pour lesquels une DPIA est obligatoire a été adoptée par la Commission national pour la protection des données (la CNPD), la liste des traitements pour lesquels elles ne le sont pas n’est pas encore en ligne.

Pour définir l’ordre de priorité des DPIA à conduire, vous pouvez toutefois vous aider de celle établie par l’autorité française pour la protection des données, la Commission nationale de l’informatique et des libertés (la CNIL) et publiée le 22 octobre 2019. Même si elle n’est pas applicable directement au Luxembourg, il faut garder en tête que le contrôle de cohérence prévu par le RGPD permet de s’inspirer par les travaux réalisés par les autres autorités de surveillance.


Notre équipe Digital reste à votre disposition pour vous accompagner dans votre mise en conformité ainsi que pour vous aider à répondre aux personnes concernées et aux autorités de contrôle. Découvrez notre Tableau périodes de rétention RGPD à Luxembourg – octobre 2019.

Pour plus d’informations veuillez contacter Me Renaud Le Squeren ou Me Héloïse Cuche.