Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
Foxconn visée par Nitrogen: 8 To volés, usines ralenties — SOC/NIS 2 en 24 h
Le rançongiciel « Nitrogen » revendique 8 To et 11M+ de fichiers volés chez Foxconn, avec des usines nord-américaines perturbées. En Europe, un SOC/SIEM managé est clé pour détecter vite et notifier l’ILR sous 24 h (NIS 2, art. 23).
Criteo: le Conseil d’État confirme 40 M€ — le consentement prime en AdTech
Le 4 mars 2026, le Conseil d’État a confirmé l’amende de 40 M€ infligée à Criteo pour publicité personnalisée sans consentement valable. Message clé en AdTech: pour les traceurs de ciblage, la base légale est (presque toujours) le consentement.
Rapport CNIL 2025 : 487 M€ d'amendes, 1 violation sur 2 = piratage, ce qu'il faut retenir
Rapport annuel CNIL 2025 : 20 150 plaintes (record), 487 M€ d'amendes (dont Google 325 M€ et Shein 150 M€), 1 violation sur 2 résulte d'un piratage. Le vrai signal pour 2026 et 4 actions concrètes pour DPO et CISO.
DPO externe : 7 leçons après 200+ mandats au Luxembourg et en Europe
200+ mandats DPO externe dans tous les secteurs : les 7 constats récurrents qu'on fait à la reprise d'un mandat, et comment Luxgap remet les choses en ordre. Tarifs concrets, exemples sectoriels, ce qui change vraiment.
FICOBA: 1,2 M de comptes exposés — IAM et moindre privilège
Un compte à hauts privilèges compromis a permis l’accès à ~1,2 M de comptes FICOBA. Voici ce qui s’est passé et comment un IAM fondé sur le moindre privilège répond aux exigences RGPD art. 25 et NIS 2 art. 21.
CSSF: DORA prime et précise l’externalisation TIC (avril 2025)
La CSSF a acté la primauté de DORA dès le 17 janvier 2025 et publie la circulaire 25/882 pour encadrer l’usage de services TIC tiers, le registre d’informations (art. 28) et les notifications via eDesk.
CNIL vs Free: 42 M€ — pourquoi un SOC 24/7 pour tenir NIS 2 art. 23
Après 42 M€ d’amende infligés à Free/Free Mobile, la détection lente coûte cher. Avec NIS 2 art. 23, détecter et notifier en 24 h devient une obligation opérationnelle au Luxembourg.
DORA — TLPT encadré par le règlement délégué (UE) 2025/1190
La Commission a précisé le TLPT sous DORA via le règlement délégué (UE) 2025/1190. Au Luxembourg, la CSSF est l’autorité TLPT: le calendrier, le périmètre et la méthode sont désormais clairs.
Audit NIS 2 : méthode, pièges et critères qualité des mesures
Méthode d'audit NIS 2 en 7 phases, les 5 pièges les plus fréquents, et la grille de 6 critères pour distinguer un vrai SOC d'un produit marketing. Pour les 1 200+ entités luxembourgeoises concernées.
Google Groups détourné: campagne Lumma Stealer/Ninja Browser
CTM360 alerte sur une campagne exploitant Google Groups pour diffuser Lumma (Windows) et le « Ninja Browser » (Linux). Mesures NIS 2, DMARC/SPF/DKIM et passerelle e‑mail recommandées.
CJUE 19 mars 2026 (Brillen Rottler) : premier accès refusé pour abus
La CJUE admet qu’une première demande d’accès (art. 15 RGPD) puisse être refusée comme « excessive » en cas d’intention abusive prouvée (art. 12(5)). Le refus reste exceptionnel, motivé et dans les délais.
OVG NRW (20 fév. 2025) : pas d’obligation générale d’E2E
L’OVG Nordrhein‑Westfalen confirme qu’un chiffrement « approprié » au sens de l’art. 32 RGPD peut se limiter à une transport encryption robuste (TLS), selon les risques. Comment s’aligner juridiquement et techniquement.