Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

CSSF — DORA: registre TIC au 31 mars 2026, l’inventaire devient critique

La CSSF ouvre la collecte DORA du registre des services TIC avec des validations durcies. Sans inventaire/CMDB automatisé et fiable, le dépôt risque le rejet et les angles morts supply chain persistent.

Droits RGPD en entreprise: seule la personne peut agir (Cass. crim., 13 janv. 2026)

La Cour de cassation juge qu’une entreprise ne peut pas invoquer les droits RGPD de ses salariés pour contester une saisie: seuls les intéressés peuvent agir. Enjeu clé pour vos procédures d’accès et de réponse DPO.

Italie: 100 000 € contre Lepida pour défauts sur LepidaID

Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.

ILR — Notification NIS 2: 24 h pour alerter, votre SOC doit suivre

En juin 2026, l’ILR publie un guide « Notification d’incident NIS 2 » imposant alerte précoce à 24 h, notification à 72 h et rapport final sous 1 mois. Voici la pile SIEM/SOC pour y parvenir sans panique.

Vidéosurveillance au travail: l’amende CNIL du 2 avril 2026

Le 02/04/2026, la CNIL a infligé 7 500 € pour manquements en vidéosurveillance. Au Luxembourg, la CNPD impose aussi proportionnalité, AIPD fréquente et information à deux niveaux.

Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica

Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.

CSSF — Ivanti EPMM: RCE exploitée, notification DORA obligatoire

Le 10 février 2026, la CSSF alerte sur deux RCE Ivanti EPMM (CVE‑2026‑1281/1340) activement exploitées et rappelle l’obligation de notifier un incident majeur TIC (Circulaires 25/893 et 24/847).

RGPD: une première demande d’accès peut être refusée pour abus (CJUE 19/03/2026)

La CJUE (C‑526/24) admet qu’une première demande d’accès RGPD peut être refusée pour abus au titre de l’article 12(5). Clé pratique: documenter l’intention abusive et un test de proportionnalité en deux branches.

RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82

Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.

BSI v2.0 « Protocole et détection » : impacts sur vos logs et votre SIEM

Le BSI a publié en avril 2026 la v2.0 de son minimum standard « Protokollierung und Detektion ». Voici comment aligner journalisation, détection et investigation avec NIS 2 et DORA, et les attentes ILR/CSSF.

DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?

La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.

Déployer ChatGPT sans consulter le personnel : la justice suspend — et le Luxembourg n'est pas à l'abri

Le 21 mai 2026, la cour d'appel de Paris a suspendu ChatGPT et un assistant IA interne dans un groupe de presse, sous astreinte de 1 000 € par jour : le comité social n'avait pas été consulté avant le déploiement. Quatrième décision du genre en un an. Au Luxembourg, la logique existe déjà — délégation du personnel, codécision dès 150 salariés, AI Act en août 2026. Ce qu'il faut vérifier avant de déployer.

Page 1 / 14 Plus ancien →