Ce qui s’applique à toi si tu exerces au Luxembourg ou si tu traites des données de personnes résidant au Luxembourg.
Le Luxembourg applique le RGPD européen (2018), avec des précisions nationales prévues par la loi luxembourgeoise du 1er août 2018. La Commission nationale pour la protection des données (CNPD) est l’autorité nationale. L’AI Act européen (2024/1689) s’applique directement. Le Luxembourg, place financière importante, a des exigences renforcées pour le secteur bancaire et les fonds d’investissement, supervisés par la CSSF. La CNPD est réputée pragmatique, avec un dialogue ouvert avec les entreprises et un soutien actif aux PME.
La Commission nationale pour la protection des données reçoit les notifications, instruit les plaintes, publie des lignes directrices. Elle a un rôle de conseil actif : beaucoup de PME luxembourgeoises l’utilisent comme ressource avant déploiement d’outils IA.
La Commission de surveillance du secteur financier supervise les banques, les fonds d’investissement et les professionnels du secteur financier. Elle a publié plusieurs circulaires sur l’usage de l’IA en gestion d’actifs et dans la conformité, imposant des contrôles renforcés.
Registre des traitements (obligatoire), base légale documentée, politique de confidentialité claire, notifications de violations sous 72 h, respect des droits des personnes. Le Luxembourg applique les règles européennes sans durcissement spécifique hors secteurs régulés.
Trois langues officielles : luxembourgeois, français, allemand. En pratique, les politiques de confidentialité et les documents clients sont souvent en français ou en allemand. L’anglais est accepté pour les entreprises à activité internationale, mais une version dans une langue officielle reste recommandée pour les clients particuliers.
La CNPD a publié un guide pratique sur l’IA pour les PME en 2025, avec recommandations concrètes sur les outils du marché. Les pratiques interdites (art. 5) s’appliquent depuis février 2025. Les obligations sur les systèmes à haut risque sont progressivement applicables jusqu’en 2027.
Identique au RGPD : toute information relative à une personne physique identifiée ou identifiable. Les données sensibles (santé, origine, opinions, religion, orientation sexuelle, biométrie identifiante, données génétiques) sont soumises à l’article 9 RGPD. La loi du 1er août 2018 précise certains cadres (recherche scientifique, recherche historique, sécurité sociale).
Les six bases légales du RGPD s’appliquent. Le consentement reste la base principale pour le marketing B2C, les cookies non essentiels, les données sensibles. Pour les relations clients B2B et les obligations contractuelles, l’exécution du contrat ou l’intérêt légitime sont souvent suffisants, à documenter.
Le Luxembourg a un tissu dense de fournisseurs cloud souverains. L’usage d’un outil IA hébergé hors UE nécessite la vérification des mécanismes de transfert (décision d’adéquation, clauses contractuelles types, analyse d’impact). Pour le secteur financier, la CSSF impose souvent un hébergement au sein de l’Espace économique européen ou dans un pays adéquat.
Mêmes droits qu’en France et en Belgique : accès, rectification, effacement, limitation, portabilité, opposition, refus de décision exclusivement automatisée. Délai d’un mois, prolongeable de deux mois. La CNPD traite les plaintes avec une célérité variable selon la complexité.
Notification à la CNPD sous 72 heures en cas de risque pour les droits et libertés. Notification aux personnes concernées si le risque est élevé. Registre interne des violations obligatoire. Les entreprises du secteur financier doivent aussi notifier la CSSF selon sa circulaire sur la cyber-résilience.
Plafonds RGPD (20 M€ ou 4 % du CA mondial). Plafonds AI Act (jusqu’à 35 M€ ou 7 % du CA pour les pratiques interdites). La CNPD privilégie la pédagogie et les mises en demeure. Sanctions financières rares mais possibles pour les manquements graves ou répétés. Le secteur financier peut cumuler des sanctions CNPD et CSSF.
Cette fiche résume les obligations principales au Luxembourg. Pour les cas complexes (secteur financier régulé, fonds d’investissement, clientèle internationale, traitements médicaux), un accompagnement par un juriste luxembourgeois ou un DPO est fortement recommandé. La CNPD est reconnue pour son ouverture au dialogue : en cas de doute sur un projet IA, un échange préalable avec elle peut prévenir bien des difficultés.