Data Privacy

RGPD Luxembourg : guide CNPD et secteur financier

RGPD au Luxembourg : CNPD, loi du 1er août 2018, sanction Amazon 746 M€, spécificités financières. Guide pour entreprises luxembourgeoises.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. Le Luxembourg applique le RGPD via la loi du 1er août 2018 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel. L’autorité de contrôle est la Commission Nationale pour la Protection des Données (CNPD), autorité chef de file pour de nombreux acteurs internationaux ayant choisi le Luxembourg comme siège (Amazon EU, PayPal Europe, Skype, Rakuten Europe). C’est la CNPD qui a infligé la plus grande sanction RGPD jamais prononcée — 746 millions d’euros à Amazon Europe Core en juillet 2021.

Le Luxembourg combine un cadre réglementaire général aligné sur le RGPD et un secteur financier ultra-réglementé où la CSSF (Commission de Surveillance du Secteur Financier) intervient en parallèle de la CNPD. Cette superposition (RGPD + secret bancaire + LBA + outsourcing CSSF) crée des spécificités majeures pour les banques, fonds, et fintechs établis au Grand-Duché.

Pour les autres juridictions : RGPD Belgique, RGPD Suisse, article 28 RGPD sous-traitance.

Points clés

  • CNPD : autorité chef de file pour de nombreux géants tech (Amazon EU, PayPal Europe, etc.).
  • Loi du 1er août 2018 complète le RGPD avec spécificités luxembourgeoises.
  • Sanction Amazon EU Core : 746 M€ (juillet 2021) — record mondial RGPD.
  • Secret bancaire luxembourgeois (art. 41 loi 1993) coexiste avec le RGPD.
  • CSSF impose ses propres exigences en matière d’outsourcing (Circulaire 22/806).

1. Cadre légal luxembourgeois

Trois textes principaux :

  • Règlement (UE) 2016/679 RGPD : directement applicable
  • Loi du 1er août 2018 : portant organisation de la CNPD et mise en œuvre du RGPD
  • Loi du 1er août 2018 : relative à la protection des personnes physiques (volet répressif, transposition directive 2016/680)

S’y ajoute la Constitution luxembourgeoise révisée en 2023 qui consacre le droit à la protection des données (article 16).

2. La CNPD : autorité chef de file majeure

La Commission Nationale pour la Protection des Données, créée en 2002, transformée en autorité indépendante par la loi de 2018. Siège : 15 Boulevard du Jazz, Belval (Esch-sur-Alzette).

Composition : 4 commissaires nommés par le Grand-Duc, sur proposition du gouvernement. Présidente actuelle : Tine A. Larsen (mandat renouvelé 2024).

Pourquoi le Luxembourg attire les sièges européens :

  • Stabilité politique et fiscalité
  • Multilinguisme (FR, DE, EN, LU)
  • Forte tradition de protection de la vie privée (droit luxembourgeois historiquement protecteur)
  • Présence d’institutions européennes (Cour de Justice, BEI, secrétariat du Parlement)

3. Compétence chef de file (one-stop-shop)

Au titre du mécanisme de guichet unique RGPD (article 56), la CNPD est autorité chef de file pour :

  • Amazon EU SARL et entités du groupe
  • PayPal (Europe) S.à r.l. & Cie SCA
  • Skype Communications S.à r.l.
  • Rakuten Europe Bank S.A.
  • Yapital, Mangopay et de nombreuses fintechs
  • Volkswagen Financial Services Europe AG

Cette concentration confère à la CNPD une influence européenne disproportionnée par rapport à la taille du pays.

4. La sanction Amazon : 746 millions d’euros

Décision du 15 juillet 2021 : la CNPD a infligé 746 millions d’euros à Amazon Europe Core. Motifs (synthèse, décision largement caviardée) :

  • Traitement de données à des fins de publicité comportementale sans base légale appropriée
  • Information insuffisante des personnes concernées
  • Manquements relatifs au consentement

Plainte initiale : association La Quadrature du Net (2018, mécanisme de plainte collective française transmise à la CNPD via guichet unique).

Amazon a fait appel — procédure pendante devant les juridictions luxembourgeoises. La sanction reste la plus élevée jamais prononcée au titre du RGPD.

5. Autres sanctions CNPD notables

Date Entité Montant Motif
Juill. 2021 Amazon EU Core 746 000 000 € Publicité comportementale
2022 Société de transport 250 000 € Géolocalisation employés
2023 Plateforme e-commerce 150 000 € Sécurité, droits
2024 Société de recouvrement 75 000 € Information, conservation
2024 Banque 1 200 000 € Sécurité, sous-traitance

Hors Amazon, la CNPD reste relativement modérée en montants.

6. Secteur financier : la complexité multi-réglementaire

Une banque luxembourgeoise doit respecter simultanément :

  • RGPD (CNPD)
  • Loi de 1993 sur le secret bancaire (article 41, “obligation de garder le secret”)
  • Loi LBA/CFT (lutte anti-blanchiment, contrôle CSSF)
  • Circulaire CSSF 22/806 sur l’outsourcing (cloud notamment)
  • DORA depuis janvier 2025

Articulation : la CNPD a compétence sur les données à caractère personnel ; la CSSF sur la stabilité financière, la LBA et l’outsourcing. Les deux autorités coopèrent par protocole.

7. Outsourcing CSSF et cloud computing

La Circulaire CSSF 22/806 (remplaçant la 12/552) régit l’externalisation par les acteurs financiers luxembourgeois :

  • Notification préalable à la CSSF pour outsourcing critique
  • Cloud public autorisé sous conditions strictes
  • Préférence pour hébergeurs avec présence européenne
  • Obligation d’audit du fournisseur

Conséquence pratique : les fintechs et banques luxembourgeoises auditent les CMP, hébergeurs et SaaS aussi rigoureusement que la CNPD le ferait pour le RGPD.

8. DPO au Luxembourg

Obligations RGPD + spécificités :

  • DPO obligatoire pour autorités publiques
  • Recommandé pour la plupart des PSF (Professionnels du Secteur Financier)
  • Mutualisation possible au sein d’un groupe
  • Formation continue documentée recommandée

Le marché du DPO au Luxembourg est très tendu — rémunérations parmi les plus élevées d’Europe (80-150 k€ pour un DPO senior en banque).

9. Spécificités linguistiques et culturelles

Documentation conforme typiquement disponible en :

  • Français (langue administrative et juridique principale)
  • Allemand (deuxième langue administrative)
  • Anglais (langue des affaires)
  • Parfois luxembourgeois pour le grand public

La CNPD publie ses décisions principalement en français, parfois traduites en anglais pour les affaires d’envergure internationale.

10. Notification de violation au Luxembourg

Procédure :

  • 72 heures à la CNPD via formulaire en ligne
  • Si plusieurs autorités concernées : guichet unique applicable
  • Pour les acteurs financiers : notification parallèle à la CSSF si impact prudentiel

La CNPD reçoit environ 300 à 500 notifications/an (chiffres en hausse depuis 2020).

11. Coopération européenne intense

Le Luxembourg étant un hub réglementaire, la CNPD :

  • Pilote des procédures conjointes via l’EDPB
  • Subit la pression d’autres autorités contestant certaines décisions (notamment IE, FR)
  • Participe au mécanisme de règlement des litiges (article 65 RGPD)
  • A déclenché plusieurs avis contraignants EDPB

La CNPD est statistiquement l’une des autorités les plus actives en procédures transfrontalières.

12. Conseils pratiques

Pour une entreprise s’établissant au Luxembourg :

  1. Identifier l’autorité chef de file (souvent CNPD si siège LU)
  2. Anticiper la double régulation CNPD + CSSF si secteur financier
  3. Documentation multilingue (FR + EN minimum)
  4. DPO senior bilingue budgété
  5. Veille des décisions CNPD publiées sur cnpd.public.lu
  6. Audit cloud renforcé (CSSF + RGPD + DORA si applicable)
  7. Politique secret bancaire intégrée à la politique de confidentialité

FAQ

Quelle est l’autorité RGPD au Luxembourg ?

La Commission Nationale pour la Protection des Données (CNPD), créée en 2002 et indépendante depuis la loi du 1er août 2018. Site : cnpd.public.lu. Elle est chef de file pour de nombreuses entités tech internationales établies au Luxembourg.

Pourquoi le Luxembourg a-t-il sanctionné Amazon 746 millions d’euros ?

La CNPD est autorité chef de file pour Amazon EU Core, dont le siège européen est à Luxembourg. La sanction (15 juillet 2021) portait sur la publicité comportementale sans base légale appropriée. C’est la plus grande sanction RGPD jamais prononcée. Amazon a fait appel — procédure pendante.

Le secret bancaire luxembourgeois empêche-t-il le RGPD ?

Non, les deux coexistent. Le secret bancaire (article 41 loi 1993) protège la confidentialité des informations client vis-à-vis des tiers ; le RGPD encadre le traitement par la banque elle-même. La banque doit respecter les deux régimes simultanément. En cas de demande d’accès RGPD, le secret bancaire ne peut être opposé au client lui-même.

Faut-il notifier les violations à la CNPD ET à la CSSF ?

Pour un acteur financier : oui dans la plupart des cas. La CNPD reçoit la notification RGPD (72h), la CSSF peut exiger une notification prudentielle distincte si l’incident affecte la stabilité ou la continuité opérationnelle. Depuis DORA (janvier 2025), un cadre unifié pour les incidents TIC est en place côté CSSF.

Quelles différences entre le RGPD français et luxembourgeois ?

Le RGPD est identique (règlement européen directement applicable). Les différences viennent des lois nationales de mise en œuvre : âge du consentement numérique (16 ans LU vs 15 ans FR), modalités de désignation du DPO public, traitements à des fins journalistiques, conservation des données pénales. Pour le secteur financier, le Luxembourg ajoute le secret bancaire et l’outsourcing CSSF.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →