Lois luxembourgeoises sur la protection des données : RGPD, CNPD et l'amende Amazon (2026)

Le droit luxembourgeois de la protection des données repose sur le RGPD de l'Union européenne et sur la loi du 1er août 2018, qui a institué la Commission nationale pour la protection des données (CNPD) en tant qu'autorité de contrôle indépendante. Les manquements graves sont passibles d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Le Luxembourg fait peser un poids réglementaire hors de proportion avec sa taille, un pays de moins de 700 000 habitants. Il accueille les sièges européens d'Amazon, PayPal, Airbnb, Skype, et une large part des opérations européennes de Meta. Il abrite également plus de 120 banques et des milliers de fonds d'investissement, ce qui en fait l'un des deux plus grands centres financiers de l'Union européenne. Cette combinaison de présence technologique mondiale et de puissance financière a placé l'autorité luxembourgeoise de protection des données au cœur de certaines des décisions les plus déterminantes de l'histoire du RGPD.
Ce guide couvre l'ensemble du cadre luxembourgeois de protection des données, des fondements constitutionnels et de la législation nationale de mise en œuvre jusqu'aux pouvoirs d'application de la CNPD, en passant par l'amende Amazon emblématique et son appel contesté, la nouvelle superposition du règlement européen sur l'IA, les règles de secret du secteur financier, les exigences de transfert transfrontalier, et tous les développements significatifs de 2024 à 2026.
Réponse rapide : quelle loi régit la protection des données au Luxembourg ?
Trois instruments interconnectés régissent la protection des données au Luxembourg.
Le Règlement général sur la protection des données (RGPD) de l'Union européenne s'applique directement en tant que droit de l'Union dans chaque État membre, sans nécessiter de transposition nationale. Il constitue la principale source de droits pour les personnes concernées et la principale source d'obligations pour les responsables de traitement et les sous-traitants.
La loi du 1er août 2018 relative à l'organisation de la Commission nationale pour la protection des données et au cadre général de la protection des données est le principal acte national de mise en œuvre du Luxembourg. Elle a établi la structure, les compétences et les procédures d'instruction de la CNPD, et comble les domaines où le RGPD autorise expressément les États membres à exercer une marge de manœuvre nationale.
Une seconde loi du 1er août 2018 met en œuvre la directive européenne 2016/680, qui régit la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention, de détection, d'enquête ou de poursuite d'infractions pénales ou d'exécution de sanctions pénales. Cette seconde loi couvre le traitement des données par les forces de l'ordre et pour la sécurité nationale, des domaines extérieurs au cadre principal du RGPD.
Ensemble, ces trois instruments forment le cadre national complet. Pour les institutions financières, une quatrième couche s'applique : les obligations de secret professionnel en vertu de la loi du 5 avril 1993 sur le secteur financier, assorties de sanctions pénales distinctes.
Fondement constitutionnel de la protection des données
La vie privée et la protection des données se situent au fondement de l'ordre juridique luxembourgeois.
La révision de 2023 de la Constitution luxembourgeoise, entrée en vigueur le 1er juillet 2023, a apporté un changement important. L'article 20 garantit désormais expressément le droit au respect de la vie privée et familiale. L'article 31 garantit séparément le droit à la protection des données à caractère personnel. Il s'agit de droits constitutionnels distincts. Avant 2023, la protection de la vie privée reposait sur l'ancien article 11(3), qui protégeait la vie privée sans traiter explicitement des données en tant que telles.
Ce fondement constitutionnel renforce le statut du RGPD au Luxembourg et fournit une base nationale indépendante pour les recours en matière de protection des données devant les juridictions luxembourgeoises. Il signale également que le législateur luxembourgeois considère les droits relatifs aux données comme fondamentaux, et non simplement administratifs, un signal qui pèse lourd lorsque les tribunaux examinent les décisions d'application.
Le RGPD et la loi du 1er août 2018

Portée et structure
Le RGPD s'applique à toute organisation traitant des données personnelles de personnes situées dans l'Union européenne, quel que soit le lieu où l'organisation elle-même est établie. Pour le Luxembourg, cela signifie que les obligations du RGPD lient les entreprises nationales, les entreprises étrangères disposant d'un établissement au Luxembourg, et les entreprises étrangères ciblant des résidents luxembourgeois par des biens ou services ou surveillant leur comportement.
La loi du 1er août 2018 comporte plusieurs chapitres. La première partie établit la structure et les pouvoirs de la CNPD. La seconde partie contient des règles nationales que le RGPD permet aux États membres d'adopter, notamment l'âge de consentement pour le traitement des données des enfants (fixé à 16 ans), le traitement des catégories particulières de données à des fins de recherche scientifique ou d'archivage, et les règles applicables au traitement dans le contexte professionnel.
Principales dérogations et ajouts nationaux
Le Luxembourg a fixé l'âge numérique de consentement à 16 ans. Un service de la société de l'information destiné aux enfants de moins de 16 ans nécessite le consentement parental ou du tuteur pour le traitement des données personnelles de cet enfant. Le RGPD permettait aux États membres d'abaisser ce seuil à 13 ans, mais le Luxembourg a choisi le seuil le plus élevé.
La loi traite également du traitement des données personnelles dans le contexte de l'emploi. Les responsables de traitement peuvent traiter les données personnelles des salariés dans la mesure nécessaire à l'exécution du contrat de travail, au respect d'une obligation légale, ou lorsque le traitement est nécessaire aux intérêts légitimes de l'employeur, sous réserve que les droits du salarié ne soient pas prépondérants.
Les catégories particulières de données, notamment les données de santé, les données génétiques, l'origine raciale ou ethnique et les opinions politiques, ne peuvent être traitées que dans les conditions énoncées à l'article 9 du RGPD, que la loi nationale complète pour des finalités spécifiques telles que la recherche scientifique, la médecine préventive et la médecine du travail.
Règlements de février 2024 sur la procédure d'instruction
En février 2024, la CNPD a adopté deux nouveaux règlements internes : l'un relatif à la procédure d'instruction, l'autre relatif au règlement intérieur. Ces règlements, publiés le 23 février 2024, apportent une plus grande transparence et une plus grande clarté procédurale à la manière dont la CNPD mène ses audits, traite les plaintes et engage des procédures de sanction. Ils font suite à l'importance croissante accordée par la Cour de justice de l'Union européenne à la rigueur procédurale dans l'application du RGPD, une leçon renforcée avec force par le contentieux Amazon évoqué ci-dessous.
Bases légales du traitement et consentement
Le traitement des données en vertu du RGPD n'est licite que s'il repose sur l'une des six bases légales prévues à l'article 6.
Le consentement doit être libre, spécifique, éclairé et univoque. Il doit être aussi simple à retirer qu'à donner. Les cases précochées et le consentement groupé ne satisfont pas à cette norme. Le consentement convient souvent à des fins de marketing, mais ne constitue pas une solution universelle : lorsque le traitement est véritablement nécessaire à l'exécution d'un contrat ou au respect d'une loi, s'appuyer sur le consentement peut se retourner contre le responsable de traitement, car le retrait du consentement obligerait alors ce dernier à cesser entièrement le traitement.
La nécessité contractuelle couvre le traitement nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles à sa demande. Cette base s'applique au traitement des données d'achat des clients ou des données de paie des salariés.
L'obligation légale couvre le traitement exigé par le droit de l'Union ou le droit national. Les déclarations fiscales, les registres de lutte contre le blanchiment d'argent et la conservation obligatoire des données des salariés relèvent tous de cette base.
Les intérêts vitaux constituent une base restreinte utilisée lorsque le traitement est nécessaire pour protéger la vie ou l'intégrité physique d'une personne.
La mission d'intérêt public s'applique aux autorités et organismes publics exerçant des prérogatives officielles.
Les intérêts légitimes permettent à un responsable de traitement de traiter des données lorsqu'il a un intérêt légitime qui ne prévaut pas sur les intérêts, droits et libertés de la personne concernée. Cela exige un test de mise en balance en trois étapes et ne peut être utilisé par les autorités publiques agissant dans le cadre de leurs prérogatives officielles.
Pour les catégories particulières de données (santé, biométrie, génétique, croyances religieuses, opinions politiques, appartenance syndicale, orientation sexuelle), l'article 9 exige non seulement une base légale au titre de l'article 6, mais également une condition spécifique prévue à l'article 9(2), telle que le consentement explicite, des obligations du droit du travail, ou les intérêts vitaux.
Droits des personnes concernées
Toute personne dont les données personnelles sont traitées par une organisation assujettie au RGPD dispose des droits suivants.
Accès (article 15) : le droit d'obtenir la confirmation qu'un traitement est en cours et, le cas échéant, une copie de ces données ainsi que des informations sur les finalités du traitement, les catégories de données, les destinataires, les durées de conservation et l'existence d'une prise de décision automatisée.
Rectification (article 16) : le droit de faire corriger des données inexactes et compléter des données incomplètes sans délai excessif.
Effacement (article 17) : le droit de faire supprimer des données lorsqu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, que le consentement a été retiré sans autre base légale, que les données ont été traitées illicitement, ou qu'une obligation légale exige leur suppression. Ce droit n'est pas absolu et ne prévaut pas sur les obligations légitimes de conservation.
Limitation (article 18) : le droit de limiter le traitement au seul stockage pendant qu'un litige relatif à l'exactitude ou à la licéité est résolu.
Portabilité (article 20) : le droit de recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement, lorsque le traitement repose sur le consentement ou la nécessité contractuelle et est effectué par des moyens automatisés.
Opposition (article 21) : le droit de s'opposer à un traitement fondé sur l'intérêt légitime ou la mission d'intérêt public, y compris le profilage. Lorsque le responsable de traitement ne peut démontrer de motifs légitimes impérieux prévalant sur les intérêts de la personne concernée, il doit cesser le traitement. L'opposition à la prospection directe est absolue : le responsable de traitement doit cesser.
Droits relatifs à la prise de décision automatisée (article 22) : le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou des effets significatifs similaires, sauf conditions particulières.
Les responsables de traitement doivent répondre aux demandes relatives aux droits dans un délai d'un mois calendaire. Les demandes complexes ou nombreuses peuvent bénéficier d'une prorogation de deux mois supplémentaires, mais le responsable de traitement doit en informer le demandeur dans le premier mois.
Délégués à la protection des données

La désignation d'un délégué à la protection des données (DPO) est obligatoire pour trois catégories d'organismes : les autorités et organismes publics (avec des exceptions restreintes), les organisations dont les activités principales exigent un suivi régulier et systématique des personnes concernées à grande échelle, et les organisations dont les activités principales impliquent un traitement à grande échelle de catégories particulières de données ou de données relatives aux condamnations pénales.
Le Luxembourg ajoute une exigence d'enregistrement au-delà de ce que le RGPD exige à lui seul. Les responsables de traitement et sous-traitants doivent communiquer les coordonnées du DPO à la CNPD lorsque celui-ci entre en fonction, et doivent immédiatement notifier à la CNPD tout changement de DPO. La CNPD n'approuve ni ne certifie les DPO, mais l'obligation d'enregistrement permet à l'autorité de conserver une visibilité sur les personnes exerçant ces fonctions.
Le DPO doit posséder des connaissances spécialisées du droit et des pratiques en matière de protection des données, doit agir en toute indépendance, ne doit recevoir aucune instruction sur l'exercice de ses missions, et ne doit pas être révoqué ni pénalisé pour l'exercice de ses fonctions. Le DPO rend compte au niveau hiérarchique le plus élevé.
La conformité relative au DPO constitue l'une des priorités récurrentes de la CNPD en matière d'application. L'autorité a mené des enquêtes ciblées pour vérifier que les organisations atteignant les seuils obligatoires ont effectivement désigné un DPO et enregistré cette personne auprès de la CNPD. Plusieurs mesures d'application impliquant de petites amendes ont résulté de manquements à la désignation d'un DPO lorsque celle-ci était requise.
Notification des violations de données
Le Luxembourg suit le cadre standard du RGPD en matière de notification des violations, la CNPD fournissant des orientations spécifiques sur le processus.
Une violation de données personnelles est définie comme toute violation de la sécurité entraînant la destruction, la perte, l'altération accidentelle ou illicite, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Notification à la CNPD
Les responsables de traitement doivent notifier les violations de données personnelles à la CNPD dans un délai de 72 heures après en avoir pris connaissance, pourvu que la violation soit susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Les notifications sont adressées à databreach@cnpd.lu. La CNPD envoie un accusé de réception électronique et peut poser des questions complémentaires.
Lorsque le délai de 72 heures ne peut être respecté, la notification doit être accompagnée des motifs du retard. Une notification partielle dans les 72 heures est acceptable lorsque l'information complète n'est pas encore disponible, mais le responsable de traitement doit fournir des informations complémentaires au fur et à mesure qu'elles deviennent disponibles.
Notification aux personnes concernées
Si la violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit également communiquer la violation aux personnes concernées sans délai excessif. La communication doit décrire, en des termes clairs et simples, la nature de la violation, les conséquences probables, et les mesures prises ou envisagées pour y remédier.
Documentation
Chaque violation de données personnelles doit être documentée dans un registre interne des violations, qu'elle soit ou non notifiable. Ce registre doit contenir les faits relatifs à la violation, ses effets et les mesures correctives prises. La CNPD peut demander ce registre lors d'un audit ou d'une enquête.
Les sous-traitants doivent notifier au responsable de traitement, sans délai excessif après en avoir pris connaissance, toute violation, afin de permettre à ce dernier de respecter le délai de 72 heures.
Transferts transfrontaliers de données
Les organisations luxembourgeoises bénéficient de la libre circulation des données personnelles au sein de l'Espace économique européen. Les transferts vers des pays tiers requièrent un mécanisme de transfert approprié.
Les décisions d'adéquation constituent le mécanisme le plus simple : lorsque la Commission européenne a déterminé qu'un pays tiers offre un niveau de protection essentiellement équivalent, les transferts peuvent circuler librement. Au début de 2026, la Commission reconnaît 16 pays et une organisation internationale. Une décision d'adéquation mutuelle entre l'Union européenne et le Brésil a été annoncée en février 2026. Le cadre de protection des données UE-États-Unis, adopté en 2023, demeure en vigueur et permet les transferts vers des entreprises américaines certifiées.
Les clauses contractuelles types (CCT) constituent le mécanisme le plus couramment utilisé pour les transferts vers des pays sans décision d'adéquation. Les CCT modulaires de 2021 ont remplacé les versions antérieures et ont introduit une exigence d'analyses d'impact des transferts (AIT). Une AIT exige du responsable de traitement qu'il évalue si le droit et les pratiques du pays de destination pourraient compromettre les protections prévues par les CCT. Lorsque des risques sont identifiés, des mesures supplémentaires telles que le chiffrement, la pseudonymisation ou des restrictions d'accès contractuelles doivent être ajoutées.
Les règles d'entreprise contraignantes (BCR) permettent aux groupes multinationaux de transférer des données en interne au-delà des frontières selon un ensemble de règles contraignantes de protection des données applicables à l'échelle du groupe et approuvées par une autorité chef de file. Compte tenu du rôle du Luxembourg en tant que siège européen de nombreuses multinationales, la CNPD a approuvé plusieurs programmes de BCR.
Pour les institutions financières luxembourgeoises, les transferts transfrontaliers comportent une contrainte supplémentaire. Les règles de secret professionnel impliquent que le transfert de données de clients à l'étranger exige non seulement un mécanisme de transfert valable au sens du RGPD, mais également l'assurance que la juridiction de destination et l'entité destinataire maintiendront des obligations de confidentialité équivalentes. Cela exige souvent des dispositions contractuelles allant au-delà de ce qu'exigent les CCT.
La CNPD : l'autorité de contrôle luxembourgeoise
La Commission nationale pour la protection des données (CNPD) est l'autorité de contrôle indépendante du Luxembourg. Elle a été initialement instituée par la loi de 2002 et réorganisée par la loi du 1er août 2018 pour s'aligner sur les exigences d'indépendance et de pouvoirs du RGPD.
Structure
La CNPD est un organe collégial composé de quatre membres, dont un président. Les membres portent le titre de commissaire à la protection des données. Ils sont nommés par la Chambre des députés du Grand-Duché et exercent des mandats à durée déterminée. La CNPD agit en toute indépendance vis-à-vis du gouvernement luxembourgeois et des institutions de l'Union européenne, tout en coopérant avec les deux.
Pouvoirs
La CNPD dispose de l'ensemble des pouvoirs que le RGPD exige des autorités de contrôle nationales.
Les pouvoirs d'enquête comprennent la capacité d'exiger l'accès à toutes les données personnelles et à toutes les informations détenues par les responsables de traitement et les sous-traitants, de mener des audits et des contrôles sur place, et d'exiger la notification de toute violation de données personnelles.
Les pouvoirs correctifs comprennent la capacité de prononcer des avertissements, des rappels à l'ordre, des mises en demeure de se conformer, des ordres de suspendre ou d'arrêter le traitement, et des ordres d'effacer ou de rectifier des données. Dans les cas les plus graves, la CNPD peut imposer des interdictions temporaires ou définitives de traitement.
Les pouvoirs d'autorisation et de conseil permettent à la CNPD d'approuver les BCR, d'accréditer des organismes de certification, d'adopter des clauses contractuelles types, et de rendre des avis sur les projets de loi affectant la protection des données.
La CNPD peut imposer des amendes administratives en vertu de l'article 83 du RGPD, comme indiqué dans la section sur les sanctions ci-dessous. Elle peut également engager des procédures judiciaires devant les juridictions luxembourgeoises.
Mécanisme du guichet unique
Étant donné que le RGPD confère le statut d'autorité de contrôle chef de file à l'autorité du pays où un responsable de traitement a son établissement principal dans l'Union européenne, la CNPD agit en tant qu'autorité chef de file pour chaque grande entreprise technologique constituée au Luxembourg. Cela inclut Amazon Europe Core S.à r.l., plusieurs entités PayPal, Skype Communications S.à r.l., et de nombreuses autres plateformes servant des utilisateurs à travers l'ensemble de l'Union européenne.
Cela explique pourquoi la CNPD, une autorité relativement petite dans un petit pays, a traité des affaires d'une ampleur extraordinaire. Une plainte concernant un traitement de données affectant des millions de résidents de l'Union européenne dans plusieurs pays peut atterrir sur le bureau de la CNPD parce que l'entreprise concernée est enregistrée au Luxembourg.
Les autres autorités de contrôle de l'Union européenne (dites autorités concernées) ont le droit de formuler des objections aux projets de décision dans les affaires transfrontalières. Si ces objections ne peuvent être résolues, le Comité européen de la protection des données (CEPD) rend une décision contraignante. Ce mécanisme de coopération a façonné l'affaire Amazon, où la décision initiale du CEPD en 2021 a conduit à la sanction finale de la CNPD.
Priorités d'application
Les priorités thématiques d'enquête de la CNPD ont évolué au fil des ans. Entre 2021 et 2022, l'autorité s'est concentrée sur la conformité relative à la désignation des DPO, les systèmes de vidéosurveillance (CCTV) et le suivi des véhicules. Les autorités municipales, les écoles et les entreprises du secteur privé ont été les principaux sujets d'enquête.
En 2023, la CNPD s'est concentrée sur le traitement des données par les autorités publiques dans le cadre d'enquêtes pénales, notamment l'usage de caméras-piétons par les policiers. Cette année-là, la CNPD a prononcé 8 mesures correctrices, dont 3 amendes totalisant 6 500 euros, principalement pour des manquements à l'information adéquate des personnes concernées et pour des manquements des autorités municipales à désigner un DPO.
En 2024, l'intelligence artificielle est devenue le thème dominant. La CNPD a lancé le programme Sandkëscht, un bac à sable réglementaire sécurisé permettant aux entreprises de tester des innovations en matière d'IA et autres technologies numériques dans un environnement conforme au RGPD. Elle a publié des orientations sur l'IA et la protection des données, lancé le cours de formation DP4AI, organisé six ateliers DaProLabs pour les professionnels de l'IA et de la protection des données, et approuvé son premier code de conduite sectoriel dédié au travail intérimaire. Le rapport annuel 2024 a décrit l'IA comme étant au cœur des missions de la CNPD.
L'amende Amazon : historique, appel et statut actuel
La mesure d'application la plus marquante du Luxembourg est l'amende de 746 millions d'euros infligée à Amazon. Son histoire procédurale constitue l'une des séquences les plus instructives de l'existence du RGPD, et son statut actuel est important pour tout lecteur qui aurait pu voir des rapports antérieurs.

La décision initiale (juillet 2021)
Le 15 juillet 2021, la CNPD a infligé une amende de 746 millions d'euros à Amazon Europe Core S.à r.l. pour avoir traité des données personnelles à des fins de publicité ciblée sans base légale valable. L'affaire trouve son origine dans une plainte collective déposée par La Quadrature du Net, une organisation française de défense des droits numériques, agissant au nom de plus de 10 000 personnes. La plainte alléguait que la publicité comportementale d'Amazon reposait sur des données personnelles traitées sans le consentement adéquat des utilisateurs.
La CNPD a constaté des manquements à plusieurs articles du RGPD : Amazon n'avait pas de base légale valable pour son traitement à des fins de publicité ciblée, n'avait pas assuré une transparence adéquate envers les utilisateurs quant à l'utilisation de leurs données, et n'avait pas pleinement respecté les droits des personnes concernées, notamment l'accès, la rectification, l'effacement et le droit d'opposition. La sanction de 746 millions d'euros a dépassé largement toutes les amendes RGPD antérieures. Avant cette décision, l'amende unique la plus élevée était de 50 millions d'euros, infligée par la CNIL française à Google en 2019.
L'appel d'Amazon et le tribunal administratif (mars 2025)
Amazon a contesté la décision devant le tribunal administratif du Luxembourg. Une audience s'est tenue le 9 janvier 2024. Le 18 mars 2025, le tribunal administratif a rejeté intégralement l'appel d'Amazon et a confirmé la décision de la CNPD, y compris l'amende de 746 millions d'euros. Le jugement a confirmé les manquements au RGPD et a approuvé les mesures correctrices de la CNPD.
Le jugement a accordé à Amazon 40 jours pour décider de faire appel devant la Cour administrative d'appel. Les effets de la décision de la CNPD sont demeurés suspendus pendant toute période d'appel.
L'annulation par la Cour d'appel (mars 2026)
Amazon a effectivement fait appel, et dans un arrêt rendu le 12 mars 2026, publié le 13 mars 2026, la Cour administrative d'appel du Luxembourg a annulé l'amende de 746 millions d'euros infligée par la CNPD. L'annulation reposait sur des motifs procéduraux, et non sur une conclusion selon laquelle Amazon n'aurait rien fait de répréhensible.
La cour a identifié trois manquements procéduraux précis de la part de la CNPD. Premièrement, la CNPD avait appliqué une approche proche de la responsabilité stricte en n'évaluant jamais véritablement la négligence comme condition préalable à l'imposition d'une amende, alors que la jurisprudence de l'Union européenne exige désormais cette analyse. Deuxièmement, la CNPD n'avait jamais correctement évalué si une amende constituait une mesure proportionnée compte tenu des circonstances de l'époque, ce qui constitue une étape distincte du simple calcul du montant de l'amende. Troisièmement, la CNPD avait constaté un manquement à l'article 21 (droit d'opposition) sans avoir donné à Amazon l'occasion de répondre à cette conclusion pendant l'instruction, en violation des droits procéduraux d'Amazon.
La cour a noté qu'elle rejoignait largement la CNPD sur les manquements sous-jacents au RGPD eux-mêmes. L'affaire a été renvoyée à la CNPD afin qu'elle réalise les analyses manquantes depuis le début et, le cas échéant, prononce une nouvelle sanction. La CNPD a confirmé dans son communiqué officiel qu'elle avait déjà obtenu d'Amazon une mise en conformité effective de ses traitements de données : lors d'une audience tenue le 8 janvier 2026, les deux parties ont confirmé qu'Amazon avait mis ses pratiques en conformité avec les exigences initiales de la CNPD.
La question pratique désormais posée à la CNPD est plus restreinte : compte tenu du fait qu'Amazon a depuis remédié aux manquements, quelle amende, le cas échéant, est proportionnée pour la conduite passée ? Aucun calendrier n'a été annoncé pour cette nouvelle décision.
Les enseignements pour l'application du RGPD
L'affaire Amazon comporte plusieurs enseignements pour les organisations.
Les manquements eux-mêmes ont été confirmés à chaque étape du contrôle juridictionnel. Les pratiques de publicité ciblée d'Amazon ont été jugées contraires au RGPD dès l'origine. L'amende a été annulée non pas parce qu'Amazon a été mise hors de cause, mais parce que la procédure de sanction de la CNPD n'avait pas suivi les étapes procédurales désormais exigées par les juridictions de l'Union européenne des autorités de contrôle.
L'affaire illustre que l'application du RGPD est soumise à un contrôle juridictionnel et que les autorités de contrôle doivent suivre des procédures précises lorsqu'elles imposent des amendes. La CNPD a réagi en mettant à jour ses règlements sur la procédure d'instruction en février 2024, du moins en partie pour répondre aux exigences procédurales émergentes que les juridictions de l'Union énonçaient.
Pour les entreprises, l'enseignement est symétrique : les manquements au RGPD peuvent survivre à des années de contentieux même lorsque les amendes sont procéduralement viciées, et la conformité demeure en définitive incontournable.
La superposition du règlement européen sur l'IA
Le règlement européen sur l'IA (règlement (UE) 2024/1689) est entré en vigueur le 2 août 2024. Il est directement applicable dans toute l'Union européenne sans transposition nationale, mais les États membres doivent désigner des autorités de contrôle nationales et adopter des dispositions pénales nationales.
La mise en œuvre luxembourgeoise
Le 23 décembre 2024, le gouvernement luxembourgeois a déposé le projet de loi n° 8476, qui désigne la CNPD comme l'autorité principale de surveillance du marché au Luxembourg pour le règlement sur l'IA. La CNPD servira d'autorité par défaut pour la surveillance du règlement sur l'IA, coordonnera les activités des autorités sectorielles, et servira de point de contact principal du Luxembourg avec les institutions européennes en matière d'IA. Le projet de loi établit également les sanctions administratives nationales pour les manquements au règlement sur l'IA.
Cette désignation s'appuie sur l'expertise existante de la CNPD en matière de protection des données et étend son mandat à la gouvernance de l'IA, une évolution naturelle compte tenu de la mesure dans laquelle les systèmes d'IA dépendent des données personnelles.
Calendrier de mise en œuvre
Le règlement sur l'IA s'applique par phases. Depuis le 2 février 2025, les interdictions visant les pratiques d'IA à risque inacceptable sont en vigueur. Elles couvrent la notation sociale par les autorités publiques, l'identification biométrique en temps réel dans les espaces publics par les forces de l'ordre (avec des exceptions restreintes), la manipulation subliminale des comportements, et l'exploitation des vulnérabilités de groupes spécifiques. Les organisations utilisant des systèmes d'IA relevant de ces catégories devaient s'y conformer obligatoirement à compter de cette date.
Des obligations supplémentaires applicables aux systèmes d'IA à haut risque entrent en vigueur progressivement au cours de 2025 et 2026. À compter du 2 août 2025, une nouvelle vague d'obligations pour les fournisseurs et déployeurs de systèmes d'IA à haut risque est entrée en vigueur.
Intersection avec le RGPD
Le règlement sur l'IA et le RGPD s'appliquent en parallèle. Un système d'IA traitant des données personnelles doit respecter les deux textes. Le RGPD régit la qualité des données, la limitation des finalités, la minimisation des données et les droits des personnes concernées relativement aux données utilisées pour entraîner ou faire fonctionner des modèles d'IA. Le règlement sur l'IA régit la classification des risques, la transparence, l'évaluation de conformité et les exigences de contrôle humain pour le système d'IA lui-même.
En pratique, un système d'IA à haut risque prenant des décisions consécutives concernant des personnes, telles que des évaluations de solvabilité, la présélection de candidatures ou la notation de risque, doit satisfaire aux exigences du RGPD relatives aux données personnelles utilisées, réaliser une analyse d'impact relative à la protection des données en vertu de l'article 35 du RGPD, et respecter les obligations d'évaluation de conformité et d'enregistrement du règlement sur l'IA. La CNPD, désignée autorité pour les deux cadres, sera le point de contact principal pour les entreprises naviguant cette intersection.
Règles de protection des données du secteur financier
La position du Luxembourg en tant que grand centre financier de l'Union européenne crée des obligations de protection des données allant bien au-delà du RGPD.
Secret professionnel en vertu de la loi sur le secteur financier
L'article 41 de la loi du 5 avril 1993 sur le secteur financier impose une obligation de secret professionnel à toute personne travaillant pour ou avec des établissements de crédit, des entreprises d'investissement, des établissements de paiement, et tous les autres professionnels du secteur financier réglementés par la CSSF. Cette obligation couvre toutes les informations confiées dans le cadre des activités professionnelles, s'étend aux anciens salariés, et s'applique aux informations concernant les clients comme les contreparties.
La portée de cette obligation est notablement large. Toute personne qui, dans l'exercice de ses fonctions professionnelles, a connaissance des affaires, actes ou faits d'un client ou d'une contrepartie doit garder ces informations strictement confidentielles. Cela s'applique aux employés, aux analystes, aux comptables et à tout autre professionnel de la chaîne.
Sanctions pénales
Les manquements au secret professionnel sont poursuivis en vertu de l'article 458 du Code pénal luxembourgeois. La divulgation non autorisée d'informations confidentielles de clients est passible d'une peine d'emprisonnement de 8 jours à 6 mois et d'une amende de 500 à 5 000 euros. Ces sanctions pénales sont distinctes des amendes administratives RGPD que la CNPD peut imposer, et s'y ajoutent.
Cela crée un risque de double sanction pour les institutions financières luxembourgeoises. Une violation de données affectant les données financières d'un client pourrait déclencher à la fois une enquête de la CNPD en vertu du RGPD et des poursuites pénales en vertu du Code pénal, menées dans le cadre de procédures entièrement distinctes.
Divulgations autorisées
Le secret professionnel n'est pas absolu. La divulgation est autorisée ou exigée dans plusieurs circonstances : lorsqu'une disposition législative spécifique l'exige (par exemple, les obligations de déclaration en matière de lutte contre le blanchiment d'argent), lorsqu'elle est ordonnée par une juridiction luxembourgeoise dans le cadre d'une procédure judiciaire, lorsqu'elle est exigée par les autorités fiscales en vertu d'accords internationaux d'échange de renseignements tels que la Norme commune de déclaration ou le FATCA, et lorsqu'elle est exigée dans le cadre de procédures de surveillance de la CSSF.
Le rôle de surveillance de la CSSF
La Commission de Surveillance du Secteur Financier (CSSF) supervise le respect à la fois des exigences prudentielles et des obligations de secret professionnel pour toutes les entités du secteur financier luxembourgeois. La CSSF a adopté les lignes directrices de l'Autorité bancaire européenne sur les modalités d'externalisation et les services d'informatique en nuage. Les institutions financières doivent s'assurer que les contrats d'informatique en nuage et d'externalisation comportent des dispositions traitant à la fois du RGPD et des obligations de secret professionnel, y compris les contrôles d'accès, les obligations de confidentialité et les droits d'audit.
Lorsque les institutions financières reçoivent des demandes d'accès de personnes concernées au titre du RGPD, elles doivent mettre en balance le droit d'accès de la personne et les obligations de secret professionnel dues à des tiers. En pratique, cela signifie caviarder les informations relatives à des tiers dans les réponses aux demandes d'accès plutôt que de fournir des données brutes de compte ou de transaction.
Sanctions
Amendes administratives RGPD
La CNPD peut imposer des amendes selon deux paliers.
Pour les manquements moins graves, notamment ceux relatifs aux obligations des responsables de traitement et des sous-traitants en vertu des articles 8, 11, 25 à 39, 42 et 43 du RGPD, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé étant retenu.
Pour les manquements graves, notamment les violations des principes fondamentaux du traitement (articles 5, 6, 7, 9), des droits des personnes concernées (articles 12 à 22), des règles de transfert international (articles 44 à 49), ou le non-respect d'une décision de la CNPD, les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Comment les amendes sont calculées
La CNPD applique les critères de l'article 83(2) du RGPD et suit les lignes directrices 04/2022 du CEPD sur les amendes administratives. Les facteurs pertinents comprennent la nature, la gravité et la durée du manquement ; son caractère intentionnel ou négligent ; les mesures prises pour atténuer le préjudice ; le degré de coopération avec la CNPD ; les catégories de données personnelles concernées ; et les manquements antérieurs éventuels.
L'affaire Amazon a ajouté une exigence procédurale supplémentaire que la CNPD doit désormais formuler expressément : une véritable analyse de proportionnalité pondérant les circonstances spécifiques, y compris la question de savoir si l'organisation a depuis remédié au manquement, avant d'arrêter un montant définitif.
Au-delà des amendes administratives
Des sanctions pénales s'appliquent dans des circonstances spécifiques. L'article 458 du Code pénal couvre les manquements au secret professionnel dans le secteur financier. La loi du 1er août 2018 régissant les matières pénales établit des sanctions supplémentaires pour les manquements à la protection des données par les autorités répressives. Dans les cas les plus graves, les tribunaux peuvent également accorder des dommages-intérêts civils aux personnes concernées affectées.
Autres mesures correctrices
La CNPD recourt régulièrement à des mesures correctrices en deçà des amendes. Des avertissements et rappels à l'ordre sont prononcés lorsque les manquements sont mineurs ou ont été rapidement corrigés. Les ordres de mise en conformité exigent d'un responsable de traitement qu'il mette son traitement en conformité avec le RGPD dans un délai précisé. Dans les cas les plus graves, des interdictions temporaires ou définitives de traitement peuvent être imposées.
Développements récents : 2024 à 2026
Annulation de l'amende Amazon (mars 2026)
Le développement le plus significatif est l'annulation par la Cour d'appel de l'amende de 746 millions d'euros pour des motifs procéduraux, comme indiqué ci-dessus. La CNPD réalise les analyses manquantes afin de déterminer une nouvelle sanction pour des manquements passés auxquels Amazon a déjà remédié.
Stratégie de souveraineté numérique
En mai 2025, le gouvernement luxembourgeois a lancé « Accélérer la souveraineté numérique 2030 », une stratégie nationale identifiant les données, l'intelligence artificielle et les technologies quantiques comme les trois piliers de l'avenir numérique du Luxembourg. La stratégie souligne l'ambition du Luxembourg de demeurer un centre européen majeur en matière de données et de finance tout en veillant à ce que la souveraineté des données et les protections relatives à la vie privée demeurent au cœur de son économie numérique.
Désignation au titre du règlement sur l'IA (fin 2024 à 2025)
À la suite du dépôt du projet de loi 8476 en décembre 2024, la CNPD a été officiellement désignée comme l'autorité nationale de surveillance du Luxembourg pour le règlement sur l'IA. À compter du 2 août 2025, l'ensemble des obligations applicables aux systèmes d'IA à haut risque est entré en vigueur. La CNPD a publié des orientations sur les pratiques d'IA interdites et sur la manière dont les organisations peuvent établir un contrôle significatif sur les systèmes d'IA. Le bac à sable Sandkëscht demeure disponible pour les entreprises souhaitant tester des systèmes d'IA dans un environnement supervisé conforme au RGPD avant leur déploiement.
Décision d'adéquation UE-Brésil (février 2026)
La Commission européenne et le Brésil ont conclu une décision d'adéquation mutuelle en février 2026. Pour les organisations luxembourgeoises transférant des données personnelles vers le Brésil, cette décision simplifie ce qui exigeait auparavant des CCT ou d'autres mécanismes de transfert.
Règlements de la CNPD sur la procédure d'instruction (février 2024)
L'adoption de règlements détaillés sur la procédure d'instruction en février 2024 a modernisé la manière dont la CNPD mène ses audits et ses procédures de sanction. Ces règlements intègrent les garanties procédurales que les juridictions de l'Union européenne ont soulignées dans des jugements récents, y compris l'analyse de négligence et l'analyse de proportionnalité que l'appel Amazon a identifiées comme absentes de la décision de sanction de 2021.
Guide de conformité pour les entreprises
Les organisations exerçant leurs activités au Luxembourg, qu'elles y soient établies ou simplement assujetties au RGPD parce qu'elles servent des résidents luxembourgeois, doivent gérer plusieurs domaines pratiques de conformité.
Considérations relatives à l'autorité de contrôle chef de file
Une entreprise dont l'établissement principal au sein de l'Union européenne se situe au Luxembourg sera principalement supervisée par la CNPD. Toutes les mesures d'application transfrontalières, les plaintes de résidents de l'Union européenne d'autres États membres et les principales décisions d'application transiteront par la CNPD en tant qu'autorité chef de file. Les organisations devraient bâtir leurs programmes de conformité au RGPD en considérant la CNPD comme leur relation réglementaire principale.
Enregistrement du DPO
Toute organisation atteignant le seuil obligatoire de désignation d'un DPO doit communiquer les coordonnées du DPO à la CNPD promptement lors de sa nomination et à chaque changement ultérieur. L'enregistrement est simple, mais le manquement à cette formalité constitue un risque d'application. La CNPD considère la conformité relative au DPO comme une priorité récurrente d'audit.
Registres des activités de traitement
Les responsables de traitement comptant plus de 250 salariés, ou dont le traitement est susceptible d'engendrer un risque pour les personnes concernées, ou dont le traitement implique des catégories particulières de données ou des données relatives aux condamnations pénales, doivent tenir un registre détaillé des activités de traitement et le mettre à disposition de la CNPD sur demande.
Analyses d'impact relatives à la protection des données
Une AIPD est obligatoire avant tout traitement susceptible d'engendrer un risque élevé pour les personnes concernées. La CNPD a publié une liste des types de traitement exigeant une AIPD. Les systèmes d'IA à haut risque exigent généralement une AIPD en vertu de l'article 35 du RGPD, en plus de leurs obligations d'évaluation de conformité au titre du règlement sur l'IA.
Conformité en matière de cookies
La loi modifiée du 30 mai 2005 mettant en œuvre la directive ePrivacy exige un consentement préalable pour tout cookie ou technologie de suivi similaire qui n'est pas strictement nécessaire à la fourniture du service demandé par l'utilisateur. Le consentement doit satisfaire aux normes du RGPD : libre, spécifique, éclairé et univoque. Les options de refus total doivent être aussi accessibles que les options d'acceptation totale.
Double conformité du secteur financier
Les institutions financières doivent traiter chaque décision de conformité comme une question à deux volets. Ce processus respecte-t-il le RGPD ? Respecte-t-il également les obligations de secret professionnel prévues à l'article 41 de la loi sur le secteur financier ? Les migrations vers l'informatique en nuage, les contrats fournisseurs, les réponses aux demandes d'accès des personnes concernées, et les transferts transfrontaliers exigent tous les deux analyses.
Avis de non-responsabilité : Cet article fournit des informations générales sur les lois luxembourgeoises en matière de protection des données à des fins éducatives uniquement. Il ne constitue pas un avis juridique. Le droit de la protection des données est complexe et évolue. Les organisations devraient consulter un avocat ou un professionnel qualifié en protection des données pour obtenir des conseils adaptés à leurs obligations de conformité particulières.
Pour un contenu connexe, consultez nos guides sur les lois luxembourgeoises sur l'enregistrement et les lois de l'Union européenne sur la protection des données.
Frequently Asked Questions
Quelle est la principale loi sur la protection des données au Luxembourg ?
Le cadre luxembourgeois de protection des données repose sur le RGPD de l'Union européenne, directement applicable, et sur la loi nationale du 1er août 2018. Cette loi nationale établit la structure et les pouvoirs de la CNPD, fixe des règles nationales là où le RGPD laisse une marge de manœuvre aux États membres, et fixe l'âge numérique de consentement à 16 ans. Une seconde loi du 1er août 2018 couvre le traitement des données en matière pénale et de sécurité nationale, mettant en œuvre la directive européenne 2016/680. La Constitution de 2023 garantit désormais expressément à la fois le droit à la vie privée (article 20) et le droit à la protection des données à caractère personnel (article 31).
Qu'est-il advenu de l'amende RGPD de 746 millions d'euros infligée à Amazon ?
La CNPD a infligé l'amende à Amazon Europe Core S.à r.l. le 15 juillet 2021 pour avoir traité des données personnelles à des fins de publicité ciblée sans base légale valable. Le tribunal administratif du Luxembourg a intégralement confirmé l'amende le 18 mars 2025. Amazon a ensuite fait appel devant la Cour d'appel, qui a annulé l'amende le 12 mars 2026 pour des motifs procéduraux : la CNPD n'avait pas évalué la négligence, n'avait pas réalisé de véritable analyse de proportionnalité, et avait constaté un manquement sans donner à Amazon la possibilité d'y répondre. Les manquements sous-jacents au RGPD ont été largement confirmés à chaque étape. L'affaire a été renvoyée à la CNPD pour une nouvelle analyse et éventuellement une nouvelle sanction. Amazon a déjà mis ses pratiques en conformité.
Quelles sont les exigences de notification des violations de données au Luxembourg ?
Les responsables de traitement doivent notifier la CNPD dans un délai de 72 heures après avoir pris connaissance d'une violation de données personnelles susceptible d'engendrer un risque pour les personnes. Les notifications sont adressées à databreach@cnpd.lu. Si la violation présente un risque élevé pour les droits et libertés des personnes, les personnes concernées doivent également être notifiées sans délai excessif. Toutes les violations doivent être documentées dans un registre interne, qu'elles soient ou non notifiables. Les sous-traitants doivent notifier le responsable de traitement sans délai excessif afin que celui-ci puisse respecter le délai de 72 heures.
Quelles règles particulières de protection des données s'appliquent au secteur financier luxembourgeois ?
Les institutions financières doivent respecter à la fois le RGPD et les obligations de secret professionnel prévues à l'article 41 de la loi du 5 avril 1993 sur le secteur financier. L'article 458 du Code pénal luxembourgeois fait de la divulgation non autorisée de données de clients une infraction pénale, passible d'une peine d'emprisonnement de 8 jours à 6 mois et d'amendes de 500 à 5 000 euros. Ces sanctions pénales s'appliquent en sus des amendes administratives RGPD. Des exceptions autorisent la divulgation à des fins de lutte contre le blanchiment d'argent, sur ordonnance judiciaire, et pour les obligations fiscales d'échange de renseignements, mais les institutions financières doivent vérifier chaque divulgation au regard des deux cadres.
Quel est le rôle de la CNPD dans le règlement européen sur l'IA ?
Le projet de loi luxembourgeois n° 8476, déposé en décembre 2024, désigne la CNPD comme l'autorité nationale principale de surveillance du marché du Luxembourg pour le règlement européen sur l'IA (règlement (UE) 2024/1689). La CNPD supervisera les systèmes d'IA déployés au Luxembourg, coordonnera les autorités sectorielles, et servira de point de contact principal avec les institutions européennes en matière d'IA. Cette désignation s'appuie sur l'expertise de la CNPD en matière de protection des données, étant donné que les systèmes d'IA dépendent fortement du traitement des données personnelles.
Quelles sont les amendes RGPD maximales pouvant être imposées au Luxembourg ?
La CNPD peut imposer des amendes selon deux paliers. Pour les manquements aux obligations des responsables de traitement et des sous-traitants (articles 8, 11, 25 à 39, 42, 43), le maximum est de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les manquements aux principes fondamentaux, aux droits des personnes concernées ou aux règles de transfert international (articles 5 à 7, 9, 12 à 22, 44 à 49), le maximum est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La CNPD applique également les lignes directrices 04/2022 du CEPD sur le calcul des amendes et doit désormais réaliser une analyse expresse de proportionnalité, comme l'a confirmé l'appel Amazon.
Comment fonctionnent les transferts transfrontaliers de données depuis le Luxembourg ?
Au sein de l'Union européenne et de l'Espace économique européen, les données personnelles circulent librement. Les transferts vers des pays tiers requièrent l'un des mécanismes suivants : (1) une décision d'adéquation de la Commission européenne (au début de 2026, 16 pays sont couverts, y compris les États-Unis en vertu du cadre de protection des données UE-États-Unis et, depuis février 2026, le Brésil) ; (2) des clauses contractuelles types accompagnées d'une analyse d'impact des transferts ; (3) des règles d'entreprise contraignantes approuvées par la CNPD ; ou (4) d'autres dérogations prévues à l'article 49. Les institutions financières doivent également s'assurer que les transferts respectent les obligations de secret professionnel, ce qui peut exiger des protections contractuelles supplémentaires au-delà des CCT.
Sources and References
- CNPD, aperçu de la législation nationale(cnpd.public.lu).gov
- CNPD, communiqué officiel sur l'arrêt de la Cour d'appel dans l'affaire Amazon (mars 2026)(cnpd.public.lu).gov
- CNPD, annonce de la décision Amazon (mars 2025)(cnpd.public.lu).gov
- CNPD, orientations sur la notification des violations de données(cnpd.public.lu).gov
- CNPD, rapports annuels(cnpd.public.lu).gov
- CNPD, obligations du règlement sur l'IA (août 2025)(cnpd.public.lu).gov
- CNPD, mise en œuvre nationale du règlement sur l'IA (novembre 2024)(cnpd.public.lu).gov
- EUR-Lex, Règlement général sur la protection des données(eur-lex.europa.eu).gov
- EUR-Lex, règlement européen sur l'IA (règlement 2024/1689)(eur-lex.europa.eu).gov
- CEPD, lignes directrices 04/2022 sur le calcul des amendes administratives(edpb.europa.eu).gov
- CSSF, Commission de Surveillance du Secteur Financier(cssf.lu).gov
- Arendt, projet de loi luxembourgeois 8476 et règlement sur l'IA(arendt.com)
- Commission européenne, décisions d'adéquation pour les pays tiers(commission.europa.eu).gov