MOLITOR advised on Luxembourg law aspects of the restructuring of OHL group

Posted on 14 October 2025 in News > > Employment, Pensions & Immigration

Newsflash – Faute grave de l’employeur : le délai d’un mois expliqué

Suite au Jugement du Tribunal du travail (Luxembourg), le 23 septembre 2025

Délai d’un mois en cas de faute grave

En cas de faute « continuée », persistant depuis plus d’un mois et connue depuis le début par la partie qui résilie le contrat de travail avec effet immédiat, deux courants jurisprudentiels s’étaient installés : l’un retenant que le délai légal d’un mois prenait cours à partir du début de la commission du comportement fautif constitutif de la faute grave, l’autre retenant que ce délai ne commence à courir qu’à la fin dudit comportement.

Le Tribunal du travail s’appuie sur la jurisprudence de la Cour de cassation rendue par arrêt du 9 février 2023 : le délai d’un mois prévu à l’article L.124-10(6) du Code du travail court à partir du moment où la partie a connaissance des faits fautifs, y compris en cas de faute « continuée ».

Ainsi, lorsque le comportement fautif perdure, le délai ne commence pas à courir à la fin du comportement, mais dès sa première manifestation connue.

Dans l’affaire jugée, le salarié avait démissionné avec effet immédiat pour faute grave de l’employeur, lui reprochant de l’avoir mis en danger pendant toute la durée de la relation de travail (10 ans). Le Tribunal a considéré cette démission non fondée et abusive, le salarié aurait dû agir dans le mois suivant son embauche.

Production de documents en justice : limites rappelées

Un salarié peut, pour assurer sa défense, produire des documents internes dont il a eu connaissance dans l’exercice de ses fonctions.

Toutefois, une transaction confidentielle conclue avec un autre salarié, à un moment où le salarié ne faisait plus partie de l’effectif, ne constitue pas un tel document. Elle n’est donc pas recevable comme preuve.

🔍 À retenir

Le délai d’un mois pour invoquer une faute grave commence dès la connaissance des faits, même en cas de faute prolongée.
Un salarié peut produire en justice, pour défendre ses intérêts, des documents confidentiels que s’il les a obtenus dans l’exercice de ses fonctions.

Posted on 23 September 2025 in News > > Corporate & M&A > German Desk

23. September 2025: Neues Stiftungsrecht wird obligatorisch

Heute, am 23. September 2025, endet die Übergangsfrist für die Anpassung der Satzung von Vereinen ohne Gewinnzweck (ASBL) und Stiftungen an das geänderte Gesetz vom 7. August 2023 (loi du 7 août 2023 sur les associations sans but lucratif et les fondations). Mit dieser Reform wurde das fast hundert Jahre alte Gesetz vom 21. April 1928 (loi du 21 avril 1928, sur les associations et les fondations sans but lucratif) endgültig aufgehoben. Ziel der Reform war es, das Recht zu modernisieren, Transparenz zu stärken und internationale Empfehlungen, insbesondere die des GAFI (Empfehlung VIII), umzusetzen.

Ab dem heutigen Tag gelten für alle bestehenden Strukturen ausschließlich die neuen Vorschriften. Vereine und Stiftungen, die ihre Satzung noch nicht angepasst haben, müssen sich automatisch den zwingenden neuen Bestimmungen fügen.

Nachfolgend folgt zur Erinnerung ein Überblick über die wichtigsten Neuerungen für Stiftungen (für die Neuerungen für Vereine, bitte hier klicken):

1. Errichtung und Zweck einer Stiftung

In Luxemburg kann jede natürliche oder juristische Person mittels notarieller Urkunde und vorbehaltlich der Genehmigung durch großherzoglichen Erlass einen Teil oder die Gesamtheit ihres Vermögens einer zu gründenden Stiftung widmen. Das Anfangsvermögen muss mindestens 100.000 Euro betragen, wobei dieser Mindestbetrag in Form einer Barzahlung zu leisten ist.

Diese Vermögenswerte sowie die daraus entstehenden Einkünfte müssen einem Zweck dienen, der im allgemeinen Interesse liegt und über ein rein lokales Interesse hinausgeht. Er ist in der Satzung präzise zu beschreiben, mitsamt der Angabe der Aktivitäten, die die Stiftung zur Erreichung dieses Zwecks umsetzen möchte. Die Reform von 2023 verlangt zudem, dass der Stiftungszweck dauerhaft verfolgt wird und eine tatsächliche, substanzielle Tätigkeit im Großherzogtum Luxemburg entfaltet wird. Damit wird sichergestellt, dass Stiftungen nicht nur formal existieren, sondern einen echten Beitrag zum Gemeinwohl leisten.

2. Finanzielle Anforderungen und Besitz von Immobilien

Während das alte Gesetz kein Mindestkapital vorsah, schreibt die Reform wie gesagt nun eine Mindestausstattung von 100.000 Euro vor, und es muss eine stimmige Finanzplanung für die Projekte der ersten drei Jahre vorliegen. Zudem darf das Nettovermögen einer Stiftung nicht dauerhaft unter 50.000 Euro sinken (nicht anwendbar auf unter dem alten Gesetz gegründete Stiftungen). Sollte dies doch geschehen, ist der Verwaltungsrat verpflichtet, innerhalb von zwei Monaten zusammenzukommen, um entweder die Auflösung zu beschließen oder Maßnahmen zur Rekapitalisierung, die erfolgreich umzusetzen sind binnen sechs Monaten nach Feststellung der reduzierten Nettoaktiva.

Eine wesentliche Neuerung der Reform betrifft die Möglichkeit, künftig Eigentum an Grundstücken oder Gebäuden zu erwerben und zu besitzen, auch wenn diese nicht unmittelbar zur Erfüllung des satzungsmäßigen Zwecks benötigt werden. Damit wird der Handlungsspielraum deutlich erweitert und den Organisationen mehr Flexibilität bei der Verwaltung ihres Vermögens eingeräumt.

3. Leitung und Organisation

Auch die Leitung von Stiftungen wurde grundlegend modernisiert. Verwaltungsräte können nun sowohl aus natürlichen als auch aus juristischen Personen bestehen. Darüber hinaus ist es möglich, die tägliche Geschäftsführung an Personen zu delegieren, die nicht zwingend dem Verwaltungsrat angehören. Einberufungen müssen mindestens 8 Tage vor der Sitzung versandt werden, dürfen seit der Reform neben Briefform aber auch per E-Mail erfolgen. Ein Verwaltungsratsmitglied kann jeweils nur ein anderes Verwaltungsratsmitglied in einer Sitzung vertreten. Sehr gewünscht, seit die Coronamaßnahmen zur sozialen Distanzierung ausgelaufen sind: Sitzungen können jetzt per Videokonferenz abgehalten werden, und wenn in der Satzung erlaubt, dann ist in Dringlichkeitsfällen auch ein einstimmiger Umlaufbeschluss möglich.

4. Rechnungslegung und Transparenz

Besonders bedeutsam ist die Einführung eines strikten Rechnungslegungssystems. Stiftungen müssen künftig eine doppelte Buchführung haben und eine externe Prüfung durch einen zugelassenen Wirtschaftsprüfer ist obligatorisch. Alle Unterlagen müssen zehn Jahre aufbewahrt werden ab Ende des Geschäftsjahres, auf das sie sich beziehen.

Zugleich bringt die Reform eine wesentliche Entlastung mit sich: Stiftungen müssen sowohl den Jahresabschluss als auch das Budget für das Folgejahr innerhalb von sechs Monaten nach Ende des Geschäftsjahres vom Verwaltungsrat genehmigen lassen, und daraufhin ihre Jahresabschlüsse nur noch beim Handelsregister (RCS) hinterlegen. Damit entfällt die bisherige Pflicht, die Unterlagen binnen zwei Monaten nach Ende des Geschäftsjahres zusätzlich an das Justizministerium zu übermitteln.

Jedoch werden jetzt einige Berichte benötigt. Der Verwaltungsrat ist verpflichtet, dem Justizministerium innerhalb eines Monats nach Hinterlegung der Buchhaltungsunterlagen beim RCS einen detaillierten Tätigkeitsbericht für das abgelaufene Geschäftsjahr einzureichen. Darüber hinaus muss der Anhang zum Jahresabschluss künftig zusätzliche Angaben enthalten: Er muss offenlegen, wie das Finanzierungsvolumen andere Organisationen ist, wie hoch der Anteil der Aktivitäten in Luxemburg, der EU, dem EWR und außerhalb dieser Regionen ist, sowie den Prozentsatz der ins Ausland überwiesenen Gelder.

5. Restrukturierung und Sanktionen

Das neue Gesetz eröffnet zudem die Möglichkeit von Umwandlungen und Fusionen. Stiftungen können ihre Rechtsform ändern oder mit anderen Stiftungen fusionieren, ohne dass ihre Rechtspersönlichkeit erlischt. Eine Fusion mit einem Verein ist allerdings nicht vorgesehen.

Ergänzend hat der Gesetzgeber auch neue Sanktionen eingeführt. Eine Stiftung die wiederholt gegen die gesetzlichen Pflichten verstößt, muss mit einer administrativen Auflösung rechnen, die ohne gerichtliches Verfahren erfolgen kann. Auch die missbräuchliche Verwendung des Begriffs „Fondation“ wird unter Strafe gestellt und kann für einen Gründer oder ein Verwaltungsratsmitglied eine Geldstrafe nach sich ziehen. Auf Bußgeld und/oder Freiheitsstrafe muss sich ein Verwaltungsratsmitglied einstellen, das böswillig das Vermögen, den Kredit oder seine Befugnisse zum Nachteil der Stiftung für eigene Zwecke oder zum Vorteil einer nahestehenden Organisation missbraucht.

Während der vergangenen zwei Jahre hatten alle bestehenden Vereine und Stiftungen Zeit, ihre Satzungen an die neuen Vorschriften anzupassen. Wer dies nicht getan hat, muss sich nun damit abfinden, dass widersprüchliche Bestimmungen automatisch aufgehoben sind bzw. als nicht geschrieben gelten und die zwingenden neuen Regeln ab heute unmittelbar gelten.

Für Stiftungen, die ihre Satzungen noch nicht angepasst haben oder Unterstützung bei der Umsetzung der neuen Vorgaben benötigen, stehen wir gerne beratend zur Seite. Mit unserer langjährigen Expertise begleiten wir Sie von der Analyse bestehender Satzungen über die rechtssichere Anpassung bis hin zur Einreichung beim Handelsregister.

Posted on 23 September 2025 in News > > Corporate & M&A

23 septembre 2025 : Le nouveau régime des fondations devient obligatoire

Aujourd’hui, 23 septembre 2025, marque la fin de la période transitoire pour l’adaptation des statuts des associations sans but lucratif (ASBL) et des fondations à la loi du 7 août 2023 sur les associations sans but lucratif et les fondations, telle que modifiée. Avec cette réforme, la loi du 21 avril 1928 sur les associations et les fondations sans but lucratif, presque centenaire, est définitivement abrogée. L’objectif de la réforme était de moderniser le régime applicable, de renforcer la transparence et de mettre en oeuvre les recommandations internationales, en particulier celles du GAFI (Recommandation VIII).

À compter d’aujourd’hui, toutes les structures existantes seront soumises exclusivement à la nouvelle réglementation. Les associations et fondations qui n’ont pas encore adapté leurs statuts doivent se conformer d’office aux nouvelles dispositions impératives.
Pour rappel, voici un aperçu des innovations les plus importantes pour les fondations (pour les innovations pour les associations, veuillez cliquer ici) :

1. Création et objet d’une fondation

Au Luxembourg, toute personne physique ou morale peut, par acte notarié et sous réserve de l’approbation par arrêté grand-ducal, consacrer tout ou partie de son patrimoine à une fondation à créer. L’avoir initial doit être d’au moins 100.000 euros, ce montant minimum devant être versé en espèces.

Cet actif et les revenus qui en découlent doivent servir une finalité d’intérêt général et aller au-delà d’un intérêt purement local. Elle doit être décrite avec précision dans les statuts et comporter une indication des activités que la fondation souhaite mettre en oeuvre pour atteindre son objectif. La réforme de 2023 exige également que l’objet de la fondation ait un caractère permanent et qu’une activité réelle et substantielle soit exercée au Grand-Duché de Luxembourg. Cela garantit que les fondations n’existent pas seulement formellement, mais qu’elles apportent également une réelle contribution au bien commun.

2. Exigences financières et propriété des biens immobiliers

Alors que l’ancienne loi ne prévoyait pas de capital minimum, la réforme prescrit comme dit une dotation minimale de 100 000 euros, et il doit y avoir un plan de financement cohérent pour les projets des trois premières années. De plus, l’actif net d’une fondation ne doit pas descendre de manière permanente en dessous de 50.000 euros (pas applicable aux fondations constituées sous l’ancienne loi). Si tel est le cas, le conseil d’administration est tenu de se réunir dans un délai de deux mois pour décider soit de la dissolution, soit des mesures de recapitalisation, qui doivent être mises en oeuvre avec succès dans les six mois suivant le constat de la réduction de l’actif net.

L’une des principales innovations de la réforme concerne la possibilité d’acquérir et de posséder à l’avenir des terrains ou des bâtiments, même si ceux-ci ne sont pas directement nécessaires à la réalisation de l’objectif énoncé dans les statuts. Cela élargit considérablement le champ d’action et donne aux fondations plus de flexibilité dans la gestion de leurs actifs.

3. Gestion et organisation

La gestion des fondations a également été fondamentalement modernisée. Le conseil d’administration peut désormais être composé à la fois de personnes physiques et de personnes morales. De plus, il est possible de déléguer la gestion journalière à des personnes qui ne sont pas nécessairement membres du conseil d’administration. Les convocations doivent être envoyées au moins 8 jours avant la réunion, et depuis la réforme, elles peuvent également être envoyées par e-mail en plus de la voie postale. Un administrateur ne peut représenter qu’un seul autre administrateur lors d’une réunion. Très attendu depuis l’expiration des mesures de distanciation sociale pendant la période Covid : les réunions peuvent désormais se tenir par vidéoconférence, et si les statuts l’autorisent, une résolution circulaire unanime est également possible en cas d’urgence.

4. Comptabilité et transparence

Un des changements les plus importants est la mise en place d’un système comptable strict. À l’avenir, les fondations devront avoir une comptabilité en partie double et un audit externe par un réviseur d’entreprises agréé. Tous les documents comptables doivent être conservés pendant dix ans à compter de la fin de l’exercice auquel ils se rapportent.

En même temps, la réforme apporte un allègement significatif : le conseil d’administration doit approuver les comptes annuels et le budget de l’exercice suivant dans les six mois suivant la fin de l’exercice, puis déposer que les comptes annuels au RCS. Cela élimine l’obligation antérieure de soumettre ces documents au ministère de la Justice dans les deux mois suivant la fin de l’exercice social.

Cependant, certains rapports sont maintenant nécessaires. Le conseil d’administration est tenu de soumettre au Ministère de la Justice un rapport d’activité détaillé relatif à l’exercice écoulé dans un délai d’un mois à compter du dépôt des documents comptables au RCS. En outre, l’annexe aux comptes annuels doit à l’avenir contenir des informations supplémentaires : elle doit indiquer le volume de financement d’autres entités, le pourcentage estimé d’activités exercées au Luxembourg, en UE ou en EEE et en dehors et en dehors de ces régions, ainsi que le pourcentage de fonds transférés à l’étranger.

5. Restructuration et sanctions

La nouvelle loi ouvre également la possibilité de transformations et de fusions. Les fondations peuvent changer de forme juridique ou fusionner avec d’autres fondations sans perdre leur personnalité juridique. Cependant, une fusion avec une association n’est pas prévue.

En outre, le législateur a introduit de nouvelles sanctions. Une fondation qui enfreint à plusieurs reprises ses obligations légales doit s’attendre à une dissolution administrative, sans procédure judiciaire. L’utilisation abusive du terme « fondation » par un fondateur ou administrateur est puni par une amende. Un administrateur qui abuse de mauvaise foi des biens, du crédit ou de ses pouvoirs au détriment de la fondation, à des fins personnelles ou au profit d’une entité liée risque d’être condamné à une amende et/ou à une peine d’emprisonnement.

Au cours des deux dernières années, toutes les associations et fondations existantes ont eu le temps d’adapter leurs statuts à la nouvelle réglementation. Celles qui ne l’ont pas encore fait doivent maintenant accepter le fait que les stipulations statutaires contradictoires sont automatiquement abrogées voire considérées comme non écrites et que les nouvelles règles impératives s’appliquent directement à partir d’aujourd’hui.

Pour les fondations qui n’ont pas encore adapté leurs statuts ou qui ont besoin d’aide pour mettre en oeuvre les nouvelles exigences, nous sommes heureux de les conseiller. Grâce à nos nombreuses années d’expertise, nous vous accompagnons de l’analyse des statuts existants à la modification conforme à la loi en passant par l’inscription au RCS.

Posted on 3 July 2025 in News > > Employment, Pensions & Immigration

La conformité comme outil d’attractivité pour les employeurs

Conformité comme levier d’attractivité employeur : un enjeu stratégique pour l’employeur

Dans un contexte professionnel en pleine mutation, la conformité ne se limite plus à une simple obligation légale. Elle devient un levier essentiel pour renforcer la compétitivité et améliorer la marque employeur.

Me Régis Muller, Partner en Employment & Pension, et Me Thomas Alberti, Counsel en Employment & Pension, analysent dans un article publié dans le dossier Experts RH de Paperjam les enjeux liés aux obligations sociales et réglementaires pour les entreprises. Ces dernières, soucieuses d’attirer et de fidéliser leurs talents, peuvent transformer la conformité en véritable avantage concurrentiel.

Dans un contexte où les candidats sont de plus en plus attentifs aux valeurs et à l’éthique des employeurs, être conforme aux normes sociales et réglementaires devient un critère déterminant dans le choix d’un employeur.

Cet article est une lecture incontournable pour les décideurs RH et les dirigeants qui souhaitent comprendre comment la conformité peut soutenir une stratégie RH durable et performante.

A lire ici en français :

La conformité, un atout pour l’employeur – Paperjam

A lire ici en anglais :

Compliance, an asset for the employer – Paperjam

Un contenu essentiel pour les décideurs RH et les employeurs en recherche de performance durable.

Vous souhaitez en savoir plus ? Rendez-vous sur notre page Employment, Pensions & Immigration.

Posted on 24 June 2025 in News > > Real Estate, Construction & Urban Planning

Coliving au Luxembourg : cadre légal et points de vigilance

Le coliving au Luxembourg : entre innovation résidentielle et incertitudes juridiques

Le coliving connaît un développement croissant en Europe et s’implante progressivement au Luxembourg. Ce modèle d’habitat partagé, combinant espaces privés meublés et services collectifs, attire une population variée : jeunes actifs, expatriés, nomades numériques. Si son potentiel est certain, son encadrement juridique reste encore flou.

Dans un article publié dans la Revue luxembourgeoise de droit immobilier (RLDI n°23/2025), Stéphanie Juan et Live Mayanga Letre, avocats à la Cour chez MOLITOR Avocats à la Cour, proposent une analyse structurée du cadre applicable aux projets de coliving au Grand-Duché.

Cette étude met en lumière les incertitudes juridiques qui entourent encore le coliving, en l’absence de régime spécifique. Elle souligne la nécessité d’une anticipation juridique rigoureuse pour les opérateurs, investisseurs ou propriétaires souhaitant se positionner sur ce marché émergent.

Article complet disponible ici.

Posted on 28 May 2025 in News > > Real Estate, Construction & Urban Planning

Coliving : entre opportunité urbaine et défis juridiques

Le coliving au Luxembourg attire de plus en plus d’investisseurs et d’opérateurs immobiliers. Cette nouvelle forme d’habitat collectif, flexible et communautaire répond à une demande croissante, en particulier dans les zones urbaines à forte tension locative.
Pourtant, le développement du coliving soulève de nombreuses questions d’ordre juridique, fiscal et réglementaire. De la définition du statut du bien aux contraintes d’urbanisme, en passant par les incertitudes sur le traitement en TVA, il est essentiel de sécuriser son projet dès la phase de conception.

Quels freins légaux et réglementaires ?
Comment sécuriser son projet dès la conception ?
Pourquoi le cadre fiscal et TVA reste incertain ?

Me Stéphanie Juan – Partner Real Estate, Construction and Urban Planning fait le point dans cette vidéo et l’article associé :

Pour une lecture en français : https://paperjam.lu/article/coliving-maitriser-les-defis-juridiques

Pour une lecture en anglais : https://en.paperjam.lu/article/coliving-mastering-the-legal-challenges

Un contenu indispensable pour les professionnels de l’immobilier.

Vous souhaitez en savoir plus sur le coliving au Luxembourg ? Rendez-vous sur notre page Real Estate, Construction and Urban Planning.

Et n’hésitez plus à nous contacter à contact@molitorlegal.lu

immeubles-de-bureaux - Fanjianhua
Le coliving au Luxembourg

Posted on 24 March 2025 in News > > Corporate & M&A

LUXEMBOURG IMPLEMENTS EU MOBILITY DIRECTIVE: NEW LEGAL FRAMEWORK FOR CROSS-BORDER RESTRUCTURING (EN / DE)

The long-awaited implementation of EU Directive 2019/2121 regarding cross-border conversions, mergers and demergers into Luxembourg law has finally taken place. The law of 17 February 2025, amending both the law of 10 August 1915 on commercial companies and the law of 19 December 2002 on the Trade and Companies Register, the accounting and annual accounts of undertakings, was published in the Luxembourg Official Gazette (Mémorial) on 26 February 2025.

The new law became effective on 2 March 2025 and it applies to all EU-cross-border transactions whose terms are published as from 1 April 2025.

With this legislative update, Luxembourg can now fully participate in the harmonised legal framework for corporate mobility within the EU, catching up with other member states in implementing these rules. Migrations of companies, as well as cross-border mergers and demergers, now benefit from a more secure and predictable legal environment.

This new enhanced legal framework on corporate mobility applies only to cross-border corporate restructuring within the EU involving a Luxembourg SA, SCA or SARL, while the old Luxembourg legal framework continues to exist with some simplifications and express provisions for certain best practices relating to (i) EU restructuring of other legal forms of companies, (ii) international restructuring implicating a non-EU entity, and (iii) domestic mergers and demergers. Key changes introduced by the law include:

Rights of Minority Shareholders

Those who oppose a particular EU cross-border transaction are now entitled to exit the company in exchange for a monetary payout. Furthermore, shareholders who opt to stay in the company retain a legal right to dispute the share exchange ratio and can claim additional financial compensation.

Rights of Creditors

Creditors, whose claims exist prior to the publication of the draft terms and have not fallen due at that time, may ask the court for adequate securities if they deem their claims are at stake despite the securities offered in the draft terms. Such court action is open to them for 3 months following the publication of the draft terms, but it has no suspensive effect on the relevant transaction. The debtor company may dismiss court action by paying the creditor, even in the case of a term debt.

Shareholder Communication

The company’s management is required to prepare a detailed report for shareholders, which must outline key aspects of the transaction, including the share exchange ratio and any cash-out compensation, as well as the valuation methods used to determine them. The report must also clarify the broader impact of the transaction on shareholders. The shareholders may, however, unanimously waive this requirement, and this requirement does not exist for companies with a sole shareholder.

Employee Communication

The management must also provide employees with a report detailing the anticipated restructure. This report should explain how the transaction will affect employment relationships and what measures will be implemented to protect them, and whether there will be significant changes in employment conditions, workplace locations, or company operations. Additionally, the report should outline any potential consequences for the company’s subsidiaries. This report is, however, not required if neither the company nor its possible subsidiaries have no employees other than those forming part of a relevant management body.

Independent Expert Evaluation

An independent auditor (réviseur d’entreprises) must conduct an assessment to ensure the equitability of both the proposed exchange ratio and the cash compensation offered. However, the shareholders may unanimously waive this requirement, and this requirement does not exist for companies with a sole shareholder.

Anti-abuse Oversight

Notaries will have a crucial supervisory role in ensuring compliance with all legal requirements. Their role includes verifying that every procedural step has been properly executed by Luxembourg-based companies involved in such transactions, and in the case of a positive result, notaries are responsible for issuing a relevant certificate prior to completion of the transaction.

Migration under such regime

An EU migration is called an EU cross-border conversion and entails basically all of the above (except that there is of course no share exchange ratio), and it becomes also subject to a one month waiting period between the publication of the terms of the conversion into a foreign company type and the actual delocalisation.

Meanwhile, the framework for national transactions and for cross-border transactions outside the EU has been streamlined, rendering certain processes more efficient. Notable improvements include:

A simplified procedure now applies to mergers involving sister companies.
Companies with a single shareholder are no longer required to obtain an independent expert’s report for mergers and demergers.
Reduced disclosure obligations in the draft transaction terms and the board’s explanatory report for non-EU cross-border mergers and demergers.

The above summarises the main innovations and does not list any exceptions or nuances. But it can be said that as a result of the new law, Luxembourg companies now have a robust legal infrastructure at their disposal that enables them to adapt dynamically to market conditions while ensuring compliance with EU-wide harmonisation efforts. This legislative evolution marks a significant step forward in facilitating seamless cross-border corporate transformations within the European single market.

—

Umsetzung der EU-Mobilitätsrichtlinie in Luxemburg:
Neuer rechtlicher Rahmen für grenzüberschreitende Umstrukturierungen

Die lang erwartete Umsetzung der EU-Richtlinie 2019/2121 zur grenzüberschreitenden Umwandlung, Verschmelzung und Spaltung in das luxemburgische Recht hat endlich stattgefunden.

Das Gesetz vom 17. Februar 2025, das sowohl das Gesetz vom 10. August 1915 über Handelsgesellschaften als auch das Gesetz vom 19. Dezember 2002 über das Handels- und Unternehmensregister, die Buchführung und Jahresabschlüsse von Unternehmen ändert, wurde am 26. Februar 2025 im luxemburgischen Amtsblatt (Mémorial) veröffentlicht.

Das neue Gesetz trat am 2. März 2025 in Kraft und gilt für alle grenzüberschreitenden Transaktionen der EU, deren Plan ab dem 1. April 2025 veröffentlicht wird.

Mit dieser Gesetzesänderung kann Luxemburg nun vollständig am harmonisierten Rechtsrahmen für die Unternehmensmobilität innerhalb der EU teilnehmen und zieht im Hinblick auf die Umsetzung dieser Vorschriften mit anderen Mitgliedstaaten gleich. Die Unternehmensmigrationen sowie grenzüberschreitende Verschmelzungen und Spaltungen profitieren nun von einem sichereren und vorhersehbareren rechtlichen Umfeld.

Dieser neue, erweiterte rechtliche Rahmen zur Unternehmensmobilität gilt nur für grenzüberschreitende Unternehmensumstrukturierungen innerhalb der EU, die eine luxemburgische SA, SCA oder SARL betreffen, während der alte luxemburgische Rechtsrahmen, jedoch mit einigen Vereinfachungen und ausdrücklichen Bestimmungen zu bestimmten bewährten Verfahren (Best Practices) im Zusammenhang mit (i) EU-Umstrukturierungen anderer Gesellschaftsformen, (ii) internationalen Umstrukturierungen, die ein Nicht-EU-Unternehmen betreffen, sowie (iii) nationalen Verschmelzungen und Spaltungen, weiterhin fortbesteht. Wichtige Änderungen, die durch das Gesetz eingeführt wurden, umfassen:

Rechte der Minderheitsaktionäre

Aktionäre, die einer bestimmten grenzüberschreitenden EU-Transaktion widersprechen, haben nun das Recht, das Unternehmen gegen eine monetäre Auszahlung zu verlassen. Darüber hinaus behalten Aktionäre, die sich entscheiden im Unternehmen zu bleiben, das Recht, das Umtauschverhältnis der Aktien zu beanstanden und zusätzliche finanzielle Entschädigungen zu verlangen.

Rechte der Gläubiger

Gläubiger, deren Ansprüche vor der Veröffentlichung des anwendbaren Plans bestehen und zu diesem Zeitpunkt noch nicht fällig sind, können beim Gericht einen Antrag auf angemessene Sicherheiten stellen, wenn sie der Ansicht sind, dass ihre Ansprüche trotz der im Plan angebotenen Sicherheiten gefährdet sind. Eine solche gerichtliche Maßnahme ist für 3 Monate nach der Veröffentlichung des Plans möglich, hat jedoch keine aufschiebende Wirkung auf die betreffende Transaktion. Das Schuldnerunternehmen kann die gerichtliche Maßnahme durch Zahlung an den Gläubiger abwenden, auch im Falle einer befristeten Schuld.

Aktionärskommunikation

Die Geschäftsführung des Unternehmens ist verpflichtet, einen detaillierten Bericht für die Aktionäre zu erstellen, der die wichtigsten Aspekte der Transaktion, einschließlich des Umtauschverhältnisses der Aktien und etwaiger Barausgleichszahlungen, sowie die Bewertungsmethoden, die zur Bestimmung dieser Aspekte verwendet wurden, darlegt. Der Bericht muss auch die umfassenderen Auswirkungen der Transaktion auf die Aktionäre klären. Aktionäre können jedoch auf diese Anforderung einstimmig verzichten. Diese Anforderung entfällt für Unternehmen mit einem Alleinaktionär.

Mitarbeiterkommunikation

Die Geschäftsführung muss den Mitarbeitern ebenfalls einen Bericht zur geplanten Umstrukturierung vorlegen. Dieser Bericht soll erläutern, wie sich die Transaktion auf die Arbeitsverhältnisse auswirken wird, welche Maßnahmen zum Schutz der Mitarbeiter ergriffen werden und ob es wesentliche Änderungen in den Arbeitsbedingungen, den Arbeitsorten oder den Unternehmensabläufen geben wird. Zudem sollte der Bericht potenzielle Auswirkungen für die Tochtergesellschaften des Unternehmens darlegen. Dieser Bericht ist jedoch nicht erforderlich, wenn weder das Unternehmen noch seine eventuellen Tochtergesellschaften Mitarbeiter haben, die nicht Teil eines relevanten Verwaltungsorgans sind.

Unabhängige Expertenbewertung

Ein unabhängiger Wirtschaftsprüfer (Réviseur d’entreprises) muss eine Bewertung durchführen, um die Angemessenheit des vorgeschlagenen Umtauschverhältnisses und der angebotenen Barausgleichszahlung zu gewährleisten. Aktionäre können jedoch einstimmig auf diese Anforderung verzichten, und diese Anforderung entfällt für Unternehmen mit einem Alleinaktionär.

Missbrauchsbekämpfungsaufsicht

Notare werden eine entscheidende Aufsichtsrolle bei der Sicherstellung der Einhaltung aller gesetzlichen Anforderungen spielen. Ihre Aufgabe besteht darin, zu überprüfen, ob alle Verfahrensschritte ordnungsgemäß von den in solche Transaktionen involvierten luxemburgischen Unternehmen ausgeführt wurden. Bei positivem Überprüfungsergebnis sind Notare für die Ausstellung eines entsprechenden Zertifikats vor Abschluss der Transaktion verantwortlich.

Migration unter diesem Regime

Eine EU-Migration wird als grenzüberschreitende EU-Umwandlung bezeichnet und umfasst im Wesentlichen alle oben genannten Aspekte (außer dass es natürlich kein Umtauschverhältnis für Aktien gibt) und unterliegt auch einer einmonatigen Wartefrist zwischen der Veröffentlichung des Plans der Umwandlung in eine ausländische Gesellschaftsform und der tatsächlichen Verlagerung.

Daneben wurde der Rahmen für nationale Transaktionen und grenzüberschreitende Transaktionen außerhalb der EU optimiert, sodass bestimmte Prozesse effizienter gestaltet wurden. Bemerkenswerte Verbesserungen umfassen:

Ein vereinfachtes Verfahren für Verschmelzungen von Schwestergesellschaften.
Unternehmen mit einem Alleinaktionär müssen für Verschmelzungen und Spaltungen keinen unabhängigen Expertenbericht mehr einholen.
Reduzierte Offenlegungspflichten im Plan für das jeweilige Umstrukturierungsvorhaben und dem Bericht des Vorstands für grenzüberschreitende Verschmelzungen und Spaltungen außerhalb der EU.

Obiges fasst die wichtigsten Neuerungen zusammen und listet jetzt keine Ausnahmen oder Nuancen auf. Es kann auf jeden Fall festgestellt werden, dass durch das neue Gesetz luxemburgische Unternehmen nun über eine robuste Rechtsgrundlage verfügen, die es ihnen ermöglicht, sich dynamisch an Marktbedingungen anzupassen und gleichzeitig von den EU-weiten Harmonisierungsvorgaben zu profitieren.

Diese gesetzgeberische Entwicklung stellt einen bedeutenden Schritt nach vorne dar, um nahtlose grenzüberschreitende Unternehmensumwandlungen im Binnenmarkt der Europäischen Union zu erleichtern.

Posted on 5 March 2025 in News > > Insurance > Media, Data & Technologies

INSURANCE – HEALTH DATAPROCESSING – A LEGAL FRAMEWORK AT LAST!

The new law of 6 February 2025 amending the law of 7 December 2015 on the insurance sector creates a legal basis for the processing of health data in insurance matters.

This legislative change puts an end to the legal uncertainty which insurance companies have faced since the General Data Protection Regulation (GDPR) came into force in May 2018.

Flashback

Prior to the GDPR, the law of 2 August 2002 on the protection of individuals with regard to the processing of personal data explicitly provided that insurance companies could process health data if they were subject to professional secrecy obligations.

At the time of the entry into force of the GDPR and the Luxembourg law of 1 August 2018 on the organisation of the National Commission for Data Protection and the implementation of the GDPR, the 2002 authorisation had not been taken up.

Since 2018, insurance companies have been placed in a delicate situation facing legal uncertainty in terms of processing their policyholders’ health data.

Under Article 9 of the GDPR [1], the processing of health data as sensitive data was prohibited, with certain exceptions [2].

Health data is defined very broadly as “ all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status” [3].

Without a clear legal framework, insurance companies were finding it difficult to process the health data needed for underwriting and claims management. They had to navigate through various exceptions in the GDPR, which were not always clear or applicable.

Insurance companies often relied on their customers’ consent to process their health data [4], but this legal basis was far from adequate.

There are two major difficulties surrounding the use of consent:

By basing the processing of personal data on consent, this implies that the policyholder has the option of withdrawing consent at any time [5]. The processing of health data is essential for the performance of a contract (life, health and accident insurance). If policyholders were to withdraw their consent during the term of their policy, the insurer would no longer have a legal basis for continuing to process their health data, which would jeopardise the proper management and compensation of the policy. This legal uncertainty is even more worrying given that the insurer must guarantee continuity of service and meet its contractual obligations in all circumstances.
Under the GDPR, to be valid, the expression of consent must be genuinely free [6]. This implies that the data subject has a genuine choice to grant or refuse it, without pressure or imbalance of power. In practice, however, an insured person wishing to take out a life or health insurance policy, for example, can hardly avoid providing his/her health data, at the risk of being denied the policy. This relationship of dependence, where the policyholder needs cover, which can sometimes be compulsory or strongly recommended, and where the insurer has decision-making power, calls into question the real freedom of consent [7].

The absence of a national provision posed major problems of legal uncertainty, compliance with the GDPR, operational difficulties, and risks of non-compliance for insurance companies.

High-level summary of the new law

The new law aims to close this legal loophole, authorising insurers to process health data where it is essential for the conclusion or performance of an insurance contract. However, such processing remains subject to the provisions on professional secrecy set out in Article 300 of the amended law of 7 December 2015 on the insurance sector (LIS).

The new law introduces a new chapter to the LIS, explicitly legitimising the processing of health data by insurance companies, and giving the sector:

an explicit and stable legal basis for data processing, specifically for pre-contractual measures and the performance of insurance contracts; and
justification for the processing of health data for important public interest reasons inherent in insurance contracts, in which the health of the data subject is a determining factor [8].

In return, the law requires the implementation of the following strict data protection measures:

Appointment of a Data Protection Officer (DPO);
Carrying out Data Protection Impact Assessments (DPIA);
Anonymisation or Pseudonymisation of Health Data;
Encryption of data in transit;
Restricting access to health data;
Regular audits and adoption of sectoral codes of conduct.

This major change for the insurance sector will require businesses to update their data protection procedures and policies.

Our Insurance Department and the Media, Data, Technologies & IP Department are ready and available to analyse the practical impact of this law and to help you implement the necessary changes to ensure compliance.

[1] Article 9 of the GDPR.

[2] Article 9, paragraph 2 of the GDPR.

[3] Recital 35 GDPR; see also in this regard the CJEU judgment No C-21/23 of 4 October 2024 and the CJEU judgment No C-184/20 of 1 August 2022.

[4] Article 9(2)(a) of the GDPR.

[5] Article 7.3 of the GDPR.

[6] Article 4, point 11 of the GDPR.

[7] Article 29 Working Party – Guidelines on consent under Regulation 2016/679 p. 6.

[8] Article 181-3 of the amended law of 7 December 2015 on the insurance sector.

ASSURANCE – TRAITEMENT DES DONNEES DE SANTE – ENVIN UN CADRE LEGAL !

La nouvelle loi du 6 février 2025 portant modification de la loi du 7 décembre 2015 sur le secteur des assurances crée une base légale pour les traitements des données de santé en matière d’assurance.

Cette modification législative met un terme à l’insécurité juridique dans laquelle se trouvaient les compagnies d’assurance depuis l’entrée en application du Règlement général sur la protection des données (RGPD) en mai 2018.

Retour en arrière

Avant le RGPD, la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel prévoyait explicitement que les compagnies d’assurance pouvaient traiter des données de santé lorsqu’elles étaient soumises au secret professionnel.

Au moment de l’entrée en application du RGPD et de la loi luxembourgeoise du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du RGPD, l’autorisation de 2002 n’avait pas été reprise.

Depuis 2018, les sociétés d’assurance étaient dans une situation délicate d’insécurité juridique en traitant les données de santé de leurs assurés.

En effet, aux termes de l’article 9 du RGPD [1], le traitement des données de santé en tant que données sensibles était interdit, sauf exception [2].

Or, les données de santé sont définies de manière très large à savoir « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur son état de santé physique ou mentale passé, présent ou futur » [3].

Sans cadre juridique clair, les compagnies d’assurance rencontraient des difficultés pour traiter les données de santé nécessaires à la souscription et à la gestion des sinistres. Elles devaient naviguer à travers diverses exceptions prévues par le RGPD, qui n’étaient pas toujours claires ou applicables.

Les compagnies d’assurance s’appuyaient souvent sur le consentement de leurs clients pour traiter leurs données de santé [4], cette base légale était loin d’être adéquate.

En effet, deux difficultés majeures entourent l’utilisation du consentement :

En fondant un traitement de donnée personnelle sur le consentement, cela implique que l’assuré dispose de la faculté de retirer son consentement à tout moment [5]. Or, le traitement des données de santé est indispensable pour l’exécution d’un contrat (assurances vie, maladie, accident). Si l’assuré retire son consentement en cours de contrat, l’assureur n’aurait plus de base légale pour continuer à traiter ses données de santé, ce qui remettrait en cause la bonne gestion et l’indemnisation liées au contrat. Cette insécurité juridique est d’autant plus préoccupante que l’assureur doit garantir une continuité de service et répondre à ses obligations contractuelles en toutes circonstances.
Aux termes du RGPD, pour être valable, l’expression du consentement doit être véritablement libre [6]. Cela implique que la personne concernée dispose d’un véritable choix de l’accorder ou de le refuser, sans pression ou déséquilibre de pouvoir. Or, en pratique, l’assuré qui souhaite souscrire une police d’assurance vie ou maladie, par exemple, peut difficilement se soustraire à la communication de ses données de santé, au risque de se voir refuser le contrat. Cette relation de dépendance, où l’assuré a besoin d’une couverture, parfois obligatoire ou fortement recommandée, et où l’assureur détient un pouvoir décisionnel, remet en question la réelle liberté de son consentement [7].

L’absence d’une disposition nationale posait des problèmes majeurs d’incertitude juridique, de conformité avec le RGPD, de difficultés opérationnelles et de risques de non-conformité pour les compagnies d’assurance.

Apports de la nouvelle loi

La nouvelle loi vise à combler ce vide juridique, en autorisant les assureurs à traiter des données de santé lorsqu’elles sont indispensables à la conclusion ou à l’exécution d’un contrat d’assurance. Ce traitement demeure toutefois soumis aux dispositions en matière de secret professionnel énoncées à l’article 300 de la loi du 7 décembre 2015 sur le secteur des assurances (LSA).

La nouvelle loi introduit un nouveau chapitre (2ter) dans la LSA, légitimant explicitement le traitement des données de santé par les compagnies d’assurance, et conférant au secteur :

Une base juridique explicite et stable pour le traitement des données, spécifiquement pour les mesures précontractuelles et l’exécution des contrats d’assurance.
Le traitement des données de santé est justifié par des motifs d’intérêt public important, inhérents aux contrats d’assurance et pour lesquels la santé de la personne concernée constitue un élément déterminant [8].

En contrepartie, la loi impose la mise en œuvre de mesures strictes de protection des données, à savoir :

Désignation d’un Délégué à la Protection des Données (DPO) ;
Réalisation d’Analyses d’Impact sur la Protection des Données (AIPD) ;
Anonymisation ou Pseudonymisation des Données de Santé ;
Chiffrement des données en transit ;
Restriction de l’accès aux données de santé ;
Audits réguliers et adoption de codes de conduite sectoriels.

Cette modification majeure pour le secteur des Assurances va impliquer une mise à jour des procédures et politique de protection des données.

Nos équipes du département Assurance et du département Media, Data, Technologies & IP se tiennent à votre disposition pour analyser l’incidence concrète de cette loi et vous accompagner dans sa mise en œuvre pratique.

[1] Article 9 du RGPD.

[2] Article 9, paragraphe 2 du RGPD.

[3] Considérant 35 RGPD ; voir également en ce sens l’arrêt CJUE n° C-21/23 du 4 octobre 2024 et l’arrêt CJUE n° C‑184/20 du 1^er aout 2022.

[4] Article 9, paragraphe 2, point a) du RGPD.

[5] Article 7.3 du RGPD.

[6] Article 4, point 11 du RGPD.

[7] Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 p. 6.

[8] Article 181-3 de la loi modifiée du 7 décembre 2015 sur le secteur des assurances.

Posted on 19 December 2024 in News > > Media, Data & Technologies

Do not let a faulty product spoil your New Year’s Eve

Every year in the run-up to Christmas, millions of gifts are carefully wrapped and distributed around the world, and these often include increasingly sophisticated and intelligent tech gifts.

However, these technologies are not risk-free.

Imagine a new product – an autonomous robot called “GreenBot” that can look after your garden, by planting, pruning trees and lawns, and recommending treatments for your soil. GreenBot has been produced and assembled outside the European Union and is equipped with artificial intelligence (“AI”).

Now let’s assume that the AI system integrated into GreenBot has not been subjected to the risk analysis and assessment processes in accordance with the new Artificial Intelligence Regulations [1].

When it was activated the day after Christmas Eve, you noticed a power surge. Suddenly, GreenBot suffers a major malfunction: instead of mowing your lawn, it removes all the hedges in your garden, fortunately causing only material damage. You assume that your gardening assistant has probably suffered a programming error or a failure in its functional algorithm.

What rules will apply?

At present, national liability rules are not adapted to legal action for damage caused by AI products. These rules require the victim to prove a prejudicial act or omission by the liable person, whereas specific AI characteristics – including complexity, autonomy and opacity (the “black box” effect) – can make it very difficult to identify the liable person and to provide the necessary evidence [2].

It is against this backdrop that two new closely related European laws [3] should soon see the light of day:

the proposal (not yet adopted) for a directive on liability in the field of AI (the “AILD“) [4]; and
the Product Liability Directive (the “PLD“) [5], which recently came into force on 8 December 2024.

The PLD replaces Directive 85/374/EEC on liability for defective products [6] in order to adapt liability rules to new technologies, new circular economy models and new global supply chains [7].

Defective products

The PLD enshrines a natural person’s right to compensation where they have suffered damage caused by virtually any type of defective “product” [8]. The concept of product now encompasses all types of movable property, including components, even if they are integrated into or interconnected with other property.

Software, applications and AI systems are explicitly covered by the PLD. Their manufacturers may be held liable for defects present at the time their software or AI system is placed on the market, including defects that arise following an update.

Damage

The PLD provides for a broadening of the damage covered, i.e. bodily, injury and psychological health damage, as well as damage to property [9].

A product is considered defective when it does not offer the safety that an average person would expect, taking into account in particular the presentation of the product (including the installation, use and maintenance instructions) and the foreseeable use of the product [10].

The manufacturer of the defective product will then be liable for damage caused by the product as a result of the defect.

If this manufacturer is established outside the EU (as is the case with our example of GreenBot), the importer of the defective product, or even its agent, or the service provider responsible for fulfilling orders may be held liable for damage caused [11]. Where none of these persons can be identified, the distributor of the defective product may be held liable for damage caused [12].

Easing the burden of proof

A person claiming to have suffered such damage must currently prove (i) that the product is defective, (ii) that damage has been suffered, and (iii) that there is a causal link between the defect and the damage [13]. This burden of proof has not changed under the new PLD.

However, to make things easier for victims, the PLD provides for the following:

Victims will be able to apply to the competent court in their place of residence or in the place where the damage was suffered for an order for manufacturers to provide the relevant evidence relating to the product concerned; and
In certain circumstances, the PLD allows the existence of a defect or a causal link to be presumed, unless the manufacturer can prove otherwise, in particular if:
The product does not comply with mandatory safety standards;
The damage is caused by a malfunction under normal conditions of use;
There are certain circumstances to be taken into account that give rise to a presumption of this, such as the fact that the product concerned is described as complex in such a way that the victim encounters disproportionate difficulties in proving the defect or the causal link.

Other rules could still be added, as Member States have until 9 December 2026 to transpose the PLD at national level.

But beware of the limitation period: the right to bring an action for damages lapses 3 years after the date of damage, the defect or the identification of the person liable [14].

Extra-contractual fault

Finally, the AILD has not yet been adopted by the European institutions. It should apply specifically to AI systems [15] and to actions for damages caused by extra-contractual fault – particularly in cases where there is no contractual link between the party who suffered the damage and the party who manufactured the AI system [16]. In such cases, special rules will apply.

Courts will have the power to order the disclosure of evidence relating to high-risk AI systems suspected of causing harm [17], as well as to impose specific measures to ensure the preservation of that evidence [18].

In the event that the party responsible for the AI system fails to comply with the order to disclose or preserve the above-mentioned evidence, the courts could then presume that they have breached a duty of care [19].

The causal link between the fault of the party responsible for the AI system, for example, and the result produced by the AI system would be presumed when three conditions are met: (i) the fault of this party following a breach of a duty of care; (ii) the fault is likely to have influenced the result of the AI system; and (iii) the victim would be able to demonstrate that the result of the AI system caused damage [20].

However, we will have to wait for the European institutions to continue their discussions on AILD before the current legal framework can be adapted to meet new technological challenges.

In anticipation of these future technological and legal advances, the Media, Data, Technologies & IP team at MOLITOR Avocats à la Cour wishes you a very happy festive season!

Ne laissez pas un produit défectueux vous gâcher votre Réveillon

Chaque année, à l’approche de Noël, des millions de cadeaux sont soigneusement emballés et distribués à travers le monde lesquels s’avèrent de de plus en plus sophistiqués et intelligents.

Cependant, ces technologies ne sont pas exemptes de risques.

Imaginons un nouveau produit — un robot autonome dénommé « GreenBot » permettant d’entretenir votre jardin, réalisant les plantations, taillant des arbres et des pelouses, et faisant des recommandations de traitements pour vos sols. GreenBot a été produit et assemblé en dehors de l’Union européenne et est doté d’intelligence artificielle.

Supposons maintenant que le système d’IA dont GreenBot est composé n’a pas été soumis aux processus d’analyse et d’évaluation des risques conformément au nouveau Règlement sur l’intelligence artificielle [1],

Lors de son activation, le lendemain du Réveillon de Noël, vous constatez une surcharge de puissance. Soudainement, GreenBot subit un dysfonctionnement majeur puisqu’au lieu de tondre votre pelouse, celui-ci a enlevé toutes les haies de votre jardin, ne causant heureusement que des dégâts matériels. Vous supposez que votre assistant jardinier a vraisemblablement dû subir une erreur de programmation ou une défaillance de son algorithme fonctionnel.

Quelles seront les règles applicables ?

Actuellement, les règles nationales en matière de responsabilité ne sont pas adaptées aux actions en réparation des dommages causés par des produits dotés d’intelligence artificielle (l’« IA »). Ces règles requièrent que la victime prouve un acte préjudiciable ou une omission de la part de la personne responsable, alors que les caractéristiques spécifiques de l’IA — dont la complexité, l’autonomie et l’opacité (l’effet de « boîte noire ») — peuvent rendre très difficile l’identification du responsable et l’apport des preuves nécessaires [2].

C’est dans ce contexte que deux nouvelles lois européennes, étroitement liées [3], devraient bientôt voir le jour :

la proposition (non encore adoptée) de directive sur la responsabilité en matière d’IA (la « DRIA ») [4] et,
la directive relative à la responsabilité du fait des produits défectueux (la « DRP ») [5], qui est récemment entrée en vigueur le 8 décembre 2024.

Cette nouvelle directive remplace la directive 85/374/CEE relative à la responsabilité du fait des produits défectueux [6] afin d’adapter les règles de la responsabilité aux nouvelles technologies, aux nouveaux modèles de l’économie circulaire et aux nouvelles chaînes d’approvisionnement mondiales [7].

Produit défectueux

La DRP consacre le droit à réparation de toute personne physique ayant subi un dommage causé par quasiment tout type de « produit » défectueux [8]. La notion de produit englobe désormais tous types de biens mobiliers, y compris les composants, même s’ils sont intégrés ou interconnectés à d’autres biens.

Les logiciels, les applications et systèmes d’IA sont explicitement couverts par la DRP. Leurs fabricants pourront être tenus responsables des défauts présents au moment de la mise sur le marché de leur logiciel ou système d’IA, y compris des défauts qui surviendraient à l’issue d’une mise à jour.

Dommages

La DRP prévoit un élargissement des dommages couverts, à savoir aussi bien les dommages corporels et psychologiques, que les dommages matériels [9].

Un produit est considéré comme défectueux lorsqu’il n’offre pas la sécurité à laquelle une personne moyenne peut s’attendre, compte tenu notamment de la présentation du produit (y compris les instructions d’installation, d’utilisation et d’entretien) et de l’utilisation prévisible du produit [10].

Le fabricant du produit défectueux sera alors responsable du dommage causé.

Si ce fabricant est établi hors de l’UE (comme c’est le cas pour GreenBot), l’importateur du produit défectueux, voire son mandataire, ou encore le prestataire de services d’exécution des commandes, peuvent être tenus responsables du dommage causé [11]. Lorsque l’on ne peut identifier aucune de ces personnes, c’est le distributeur du produit défectueux qui pourra être tenu pour responsable des dommages causés [12].

Assouplissement de la charge de la preuve

Celui qui prétend avoir subi un tel dommage doit actuellement prouver trois éléments : (i) la défectuosité du produit, (ii) le dommage subi, et (iii) le lien de causalité entre la défectuosité et le dommage [13]. Ce principe ne changera pas avec la DRP.

Cependant, afin de faciliter la tâche des victimes, la DRP prévoit le suivant :

Vous serez en mesure de solliciter au Tribunal compétent du lieu de votre domicile ou du lieu où le dommage a été subi d’ordonner aux fabricants de fournir les preuves pertinentes relatives au produit concerné ;
Dans certaines circonstances, la DRP permet de présumer l’existence d’un défaut ou d’un lien de causalité, sauf si le fabricant peut prouver le contraire, notamment si :
Le produit ne respecte pas des normes de sécurité obligatoires ;
Le dommage est causé par un dysfonctionnement dans des conditions normales d’utilisation ;
Certaines circonstances à prendre en compte font présumer cela, telles que le fait que le produit concerné soit qualifié de complexe de telle sorte que la victime rencontre des difficultés disproportionnées pour prouver le défaut ou le lien de causalité.

D’autres règles pourraient encore être ajoutées puisque les Etats Membres disposent d’un délai jusqu’au 9 décembre 2026 pour transposer la DRP au niveau national.

Mais attention : la possibilité d’introduire une action en réparation d’un dommage prescrit 3 ans à compter du dommage, de la défectuosité ou de l’identification de la personne responsable [14].

Faute extracontractuelle

Enfin, concernant la DRIA, elle n’a pas encore été adoptée par les institutions européennes. Elle devrait s’appliquer spécifiquement aux systèmes d’IA [15] et aux actions en réparation de dommages causés par une faute extracontractuelle – notamment dans les cas où il n’y a pas de lien contractuel entre la personne ayant subi le dommage et celle ayant fabriqué le système d’IA [16]. Dans ces cas, certaines règles spéciales s’appliqueront.

Les tribunaux auront le pouvoir d’ordonner la divulgation des preuves relatives au système d’IA à haut risque soupçonné d’avoir causé un dommage [17], ainsi que des mesures spécifiques pour assurer la conservation de ces preuves [18].

Dans le cas où la personne responsable pour le système d’IA ne respecterait pas l’ordre de divulguer ou conserver les preuves précitées, les tribunaux pourraient alors présumer son manquement à un devoir de vigilance [19].

Le lien de causalité entre la faute de la personne responsable pour le système d’IA par exemple et le résultat produit par le système d’IA serait présumé lorsque trois conditions seraient réunies : (i) la faute de cette personne à la suite d’un manquement d’un devoir de vigilance ; (ii) la faute ait vraisemblablement influencé le résultat du système d’IA, et (iii) la victime serait en mesure de démontrer que le résultat du système d’IA est à l’origine de son dommage [20].

Il faudra néanmoins attendre la poursuite des discussions à l’égard de la DRIA, par les institutions européennes, pour que le cadre juridique actuel puisse être adapté aux nouveaux défis technologiques.

En attendant ces futures avancées technologiques et juridiques, l’équipe Media, Data, Technologies & IP de l’Etude MOLITOR Avocats à la Cour vous souhaite de très belles fêtes de fin d’année !

[1] End of recital (12) of Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence.

[2] Proposal for a Directive on adapting non-contractual civil liability rules to artificial intelligence, Explanatory Memorandum, COM(2022) 496 final, p.1.

[3] op.cit, end p.3.

[4] Proposal for a Directive on adapting non-contractual civil liability rules to artificial intelligence, COM(2022) 496 final.

[5] Directive (EU) 2024/2853 of 23 October 2024 on liability for defective products and repealing Council Directive 85/374/EEC.

[6] Art. 21 of the PLD.

[7] Recitals (3) to (5) of the PLD.

[8] Art. 5 of the PLD.

[9] Art. 6.1 of the PLD.

[10] Arts. 7.1 and 7.2 of the PLD.

[11] Art. 8.1 of the PLD.

[12] Art. 8.3 of the PLD.

[13] Art. 10.1 of the PLD.

[14] Art. 16.1 of the PLD.

[15] Art. 1.1 of the AILD.

[16] Art. 1.2 of the AILD.

[17] Art. 3.1 of the AILD.

[18] Art. 3.3 of the AILD.

[19] Art. 3.5 of the AILD.

[20] Art. 4.1 of the AILD.

Posted on 3 December 2024 in News > > Media, Data & Technologies

DORA’S ENTRY INTO FORCE IS FAST APPROACHING : HAVE YOU UPDATED YOUR IT CONTRACTS?

Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (DORA) will come into effect on 17 January 2025, imposing new obligations on financial and insurance entities regarding digital operational resilience.

Article 30 of DORA is particularly crucial, as it details the contractual requirements between these entities and their third-party ICT (Information and Communication Technologies) service providers.

Article 30 applies to all financial entities, including insurance companies, that outsource ICT services to third-party providers. It aims to ensure that contracts with these providers are clear, comprehensive, and compliant with the new standards of digital operational resilience.

Mapping and Reviewing Existing Contracts
Companies must undertake a comprehensive mapping of their current contracts with third-party ICT service providers.

The objectives are to:

Identify old contracts affected by the new obligations.
Review and amend contracts to ensure compliance with Article 30.
Integrate DORA’s requirements into all future contracts.

Contractual Provisions from Article 30

1^st layer: General Obligations Compliance

To be compliant, each contract must include at least the following elements:

1- Description of ICT Services:

Does the contract contain a clear and complete description of all ICT services and functions to be provided by the supplier?
Does it indicate whether subcontracting of these services is permitted and, if so, the applicable conditions?

2- Location of Services and Data:

Does the contract specify the locations (regions or countries) where the ICT services will be provided and where the data will be processed?
Is the supplier obliged to inform the financial entity in advance if it plans to change these locations?

3- Data Protection:

Does the contract include provisions on the availability, authenticity, integrity, and confidentiality of data, including personal data?

4- Access and Recovery of Data:

Does the contract provide for access, recovery, and return of data in the event of insolvency, resolution, discontinuation of the business operations, or termination of the contract?
Do these provisions ensure that data will be provided in an easily accessible format?

5- Descriptions of Service Levels:

Does the contract include descriptions of service levels, including updates and revisions?

6- Assistance in the Event of ICT Incidents:

Is the supplier obliged to provide assistance to the financial entity, at no additional cost or at a pre-determined cost, in the event of an ICT-related incident?

7- Cooperation with Competent Authorities:

Does the contract require the supplier to fully cooperate with the financial entity’s competent authorities and resolution authorities, including persons appointed by them?

8- Termination Rights:

Does the contract specify the termination rights and related minimum notice periods, in line with the expectations of competent authorities and resolution authorities?

9- Participation in Security Programmes:

Is the supplier required to participate in ICT security awareness programs and digital operational resilience training developed by the financial entity?

2^nd layer: Critical or Important Functions

Additional requirements apply if the ICT services support a critical or important function, which is defined as a function whose disruption could seriously impair a financial entity’s financial performance, or the soundness or continuity of its services and activities, or where an interruption, defect, or failure in its execution could seriously undermine the financial entity’s ability to continuously comply with the conditions and obligations of its authorisation, or its other obligations under applicable financial services law.

Again, each contract must include at least the following elements:

1- Comprehensive Descriptions of Service Levels:

Does the contract provide comprehensive and detailed descriptions of service levels, with precise quantitative and qualitative performance targets?
Do these descriptions enable effective monitoring by the financial entity and the ability to take appropriate corrective measures without undue delay?

2- Notification of Impacting Developments:

Is the supplier obliged to notify the financial entity of any developments that could significantly affect its ability to provide the ICT services?

3- Emergency Plans and ICT Security:

Is the supplier required to implement and test business contingency plans?
Has it established measures, tools, and ICT security policies that provide an appropriate level of security?

4- Participation in Penetration Testing:

Is the supplier obliged to participate and fully cooperate in threat-led penetration testing carried out by the financial entity?

5- Audit and Inspection Rights:

Does the contract grant the financial entity unlimited rights of access, inspection, and auditing, and the right to agree on alternative assurance levels if other clients’ rights are affected?
Is the supplier required to fully cooperate during on-site inspections and audits?
Does the contract provide details on the scope, and procedures to be followed, and the frequency of these inspections and audits?

6- Exit Strategies:

Does the contract include exit strategies, notably:

– An obligatory adequate transition period during which the supplier continues to provide the services to reduce disruption risk?

– A plan to migrate to another supplier or to utilise suitable in-house solutions?

3^rd layer: Register Requirements

Regardless of the criticality of functions, all financial entities must maintain and update a detailed register of information in relation to all contractual arrangements on the use of ICT services provided by third-party ICT service providers.

Be prepared and ensure your contractual arrangements are compliant with DORA by 17 January 2025!

MOLITOR Avocats à la Cour is ready to assist you in this complex process to ensure a smooth transition towards DORA regulatory compliance.