Sanctions importantes prononcées par la CNPD : mise en garde quant au respect des dispositions du RGPD – 19 novembre 2021

KLEYR GRASSO > Newsletter > Sanctions importantes prononcées par la CNPD : mise en garde quant au respect des dispositions du RGPD – 19 novembre 2021

Sanctions importantes prononcées par la CNPD : mise en garde quant au respect des dispositions du RGPD – 19 novembre 2021

Sanctions importantes prononcées par la CNPD : mise en garde quant au respect des dispositions du RGPD !

La Commission Nationale pour la Protection des Données « CNPD » a récemment publié [1] de nouvelles décisions prononçant des amendes importantes et/ou des mesures correctrices pour non-respect des dispositions du RGPD [2].

Ci-dessous un récapitulatif de l’ensemble des manquements constatés et des sanctions prononcées par l’autorité de contrôle depuis mars 2021 :

Vidéosurveillance et/ou géolocalisation
Manquement(s) constaté(s)Sanction(s) prononcée(s)
Non-respect du principe de limitation de la conservation des données

Non-respect du principe de minimisation des données (not. champ de vision disproportionné)

Information insuffisante des personnes concernées (not. des salariés, des clients, des fournisseurs etc.)

Défaut de mise en place de mesures de sécurité appropriées
Amendes administratives allant de 1.000 EUR à 12.500 EUR

Injonction de mise en conformité du traitement dans des délais allant de 2 à 3 mois
Campagne d’enquête thématique lancée par la CNPD sur la fonction du délégué à la protection des données (« DPD »)
Manquement(s) constaté(s)Sanction(s) prononcée(s)
Manquement à l’obligation de désigner le DPD sur la base de ses qualités professionnelles

Manquement à l’obligation de communiquer les coordonnées du DPD à l’autorité de contrôle

Manquement à l’obligation d’associer le DPD à toutes les questions relatives à la protection des données à caractère personnel

Manquement à l’obligation de fournir les ressources nécessaires au DPD

Manquement relatif à la mission d’information et de conseil du DPD

Manquement à l’obligation de garantir l’autonomie du DPD

Manquement relatif à la mission de contrôle du DPD

Manquement relatif à l’obligation de veiller à ce que les autres missions et tâches du DPD n’entrainent pas de conflit d’intérêts
Amende administrative allant de 6.600 EUR à 18.000 EUR

Injonction de mise en conformité dans un délai de 4 mois
Violation de données à caractère personnel
Manquement(s) constaté(s)Sanction(s) prononcée(s)
Manquement lié à l’obligation de documenter une violation de données à caractère personnel

Défaut de mise en place de mesures de sécurité appropriées

Manquement lié à l’obligation de garantir la sécurité des traitements de données à caractère personnel

Manquement lié à l’obligation de notifier une violation de données à caractère personnel à l’autorité de contrôle

Manquement à l’obligation de communiquer les coordonnées du DPO à la CNPD
Amende administrative de 135.000 EUR

Injonction de mise en conformité dans un délai de 2 mois

Les décisions prises par l’autorité de contrôle peuvent faire l’objet d’un recours en réformation dans les trois mois qui suivent leur notification à l’entreprise. Le recours doit être porté devant le Tribunal administratif et doit obligatoirement être introduit par le biais d’un avocat à la Cour.

Le département « Protection des données » gère la mise en conformité, les procédures de mise en cause pour violation en matière de protection des données et les recours éventuels contre les décisions prises à l’encontre de l’entreprise.


[1] Les décisions prises par la CNPD sont disponibles à l’adresse suivante : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.


Erhebliche Sanktionen seitens der CNPD: Wichtigkeit der Einhaltung der Bestimmungen der DSGVO!

Die nationale Kommission für Datenschutz (CNPD) hat neulich Entscheidungen veröffentlicht [1], in welchen sie Geldstrafen und/oder Korrekturmaßnahmen wegen Missachtung der Bestimmungen der DSGVO [2] ausgesprochen hat.

Untenstehend eine Übersicht der festgestellten Verstöße und die von der CNPD seit März 2021 verhängten Sanktionen:

Videoüberwachung und/oder Geolokalisierung
Festgestellte VerstößeStrafen
Nichteinhaltung des Prinzips der Speicherbegrenzung der Daten

Nichteinhaltung des Prinzips der Datenminimierung (z.B. unverhältnismäßige Sichtweise)

Unzureichende Informationen der betroffenen Personen (z.B. der Arbeitnehmer, der Kunden, der Zulieferer etc.)

Keine Einführung der angemessenen Sicherheitsmaßnahmen
Bußgeld von 1.000 EUR bis 12.500 EUR

Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 2 bis 3 Monaten  
Umfragekampagne der CNPD über die Funktion des Datenschutzbeauftragten („DSB“)
Festgestellte VerstößeStrafen
Verstoß gegen die Pflicht den DSB auf der Grundlage seiner beruflichen Befugnisse zu bestellen

Verstoß gegen die Pflicht, die Kontaktdaten des DSB an die Aufsichtsbehörde zu übermitteln

Verstoß gegen die Pflicht, den DSB in allen Fragen im Zusammenhang mit dem Schutz von personenbezogenen Daten einzubeziehen

Verstoß gegen die Pflicht, dem DSB alle notwendigen Ressourcen zur Verfügung zu stellen

Verletzung im Zusammenhang mit der Informations- und Beratungsaufgabe des DSB

Verstoß gegen die Pflicht zur Gewährleistung der Unabhängigkeit des DSB

Verstoß gegen die Pflicht zur Vermeidung von Interessenkonflikte in der Ausführung der anderen Funktionen und Aufgaben des DSB
Bußgeld von 6.600 EUR bis 18.000 EUR

Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 4 Monaten
Verletzung von personenbezogenen Daten
Festgestellte VerstößeStrafen
Verstoß gegen die Pflicht, eine Verletzung der personenbezogenen Daten zu dokumentieren

Versäumnis, angemessene Sicherheitsmaßnahmen einzuführen

Verstoß gegen die Pflicht, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten

Verstoß gegen die Pflicht, der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten zu melden

Verstoß gegen die Pflicht, der CNPD die Kontaktdaten des DSB zu übermitteln
Bußgeld in Höhe von 135.000 EUR

Anordnung zur Beachtung der Bestimmungen innerhalb einer Frist von 2 Monaten

Gegen die Entscheidungen der Aufsichtsbehörde kann innerhalb einer Frist von drei Monaten nach Zustellung der Entscheidung an das Unternehmen eine Berufungsklage (recours en réformation) eingereicht werden. Die Klage muss vor dem Verwaltungsgericht und  zwingend über einen in Luxemburg ansässigen Anwalt eingereicht werden.

Unsere Abteilung “Datenschutz” setzt sich mit der Einhaltung der Vorschriften auseinander, sowie mit den Verfahren zur Feststellung von Datenschutzverstößen und bei möglichen Rechtsbehelfen gegen Entscheidungen, die gegen das Unternehmen ausgesprochen wurden.


[1] Die Entscheidungen der CNPD sind unter folgendem Link abrufbar : https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.


Substantial sanctions pronounced by the CNPD: warning about compliance with the provisions of the GDPR!

The National Commission for Data Protection (“Commission Nationale pour la Protection des Données” “CNPD”) has recently published [1] new decisions pronouncing substantial fines and/or corrective measures due to non-compliance with the provisions of the GDPR [2].

Below a summary of the breaches and the sanctions pronounced by the regulatory authority since March 2021:

Video surveillance and/or geolocation
Breache(s)Sanction(s) pronounced
Failure to comply with the principle of limitation of data retention

Failure to comply with the principle of data minimisation (e.g. disproportionate field of vision)

Insufficient information to data subjects (e.g. employees, customers, suppliers etc.)

Failure to put in place appropriate security measures
Administrative fines between 1,000 EUR and 12,500 EUR

Injunction to ensure compliance of the processing within a period of 2 to 3 months
Survey campaign launched by the CNPD on the function of the Data Protection Officer (“DPO”)
Breache(s)Sanction(s) pronounced
Failure to appoint the DPO on the basis of his/her professional qualifications

Failure to communicate the DPO’s contact details to the regulatory authority

Failure to involve the DPO in all matters relating to the protection of personal data

Failure to provide the necessary resources to the DPO

Failure to provide information and advice to the DPO

Failure to ensure the autonomy of the DPO

Failure to fulfil the DPO’s regulatory role

Failure to ensure that the DPO’s other tasks and duties do not lead to a conflict of interest
Administrative fines between 6,600 EUR and 18,000 EUR

Injunction to ensure compliance within a period of4 months
Personal data Breach
Breache(s)Sanction(s) pronounced
Failure to document a personal data breach

Failure to put in place appropriate security measures

Failure to ensure the security of personal data processing

Failure to notify a personal data breach to the regulatory authority

Failure to communicate the contact details of the DPO to the CNPD
Administrative fine of 135,000 EUR

Injunction to ensure compliance within a period of2 months

Decisions taken by the regulatory authority may be appealed within three months of their notification to the company. The appeal must be brought before the Administrative Court and must be submitted through a qualified lawyer (“Avocat à la Cour”).

The “Data Protection” Department deals with compliance, data protection infringement proceedings and possible appeals against decisions taken against the company.


[1] Decisions taken by the CNPD are available under the following address: https://cnpd.public.lu/fr/decisions-sanctions.html.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.