Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
64 articles trouves · Expertise Luxgap
Droits RGPD en entreprise: seule la personne peut agir (Cass. crim., 13 janv. 2026)
La Cour de cassation juge qu’une entreprise ne peut pas invoquer les droits RGPD de ses salariés pour contester une saisie: seuls les intéressés peuvent agir. Enjeu clé pour vos procédures d’accès et de réponse DPO.
Vidéosurveillance au travail: l’amende CNIL du 2 avril 2026
Le 02/04/2026, la CNIL a infligé 7 500 € pour manquements en vidéosurveillance. Au Luxembourg, la CNPD impose aussi proportionnalité, AIPD fréquente et information à deux niveaux.
RGPD: une première demande d’accès peut être refusée pour abus (CJUE 19/03/2026)
La CJUE (C‑526/24) admet qu’une première demande d’accès RGPD peut être refusée pour abus au titre de l’article 12(5). Clé pratique: documenter l’intention abusive et un test de proportionnalité en deux branches.
DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?
La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.
AEPD vs AENA: 10,04 M€ pour une AIPD défaillante en biométrie
Le 20 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une AIPD non conforme liée à l’embarquement biométrique. Signal fort: l’AIPD doit désormais être complète, probante et traçable.
Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple
La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.
NIS 2 au Luxembourg: attentes de l’ILR sur les 10 mesures (art. 21)
Depuis la loi du 5 mai 2026, l’ILR détaille les 10 mesures minimales de l’article 21 NIS 2 et leur supervision. Les directions doivent approuver, mettre en œuvre et prouver ces mesures, incluant MFA et chaîne d’approvisionnement.
Enregistrer réunions et appels: 250 000 € — cadrage CNPD 2026
Le 16/10/2025, la CNIL a sanctionné un centre d’appels de 250 000 € pour enregistrements mal encadrés. Depuis avril 2026, la CNPD publie un référentiel dédié aux enregistrements de réunions: base légale, information, durées, sécurité, AIPD.
AIPD obligatoire: CNPD vs CNIL — géolocalisation, deux seuils
Au Luxembourg, la CNPD exige une AIPD pour tout suivi systématique de la localisation. En France, la CNIL ne l’impose qu’en cas de traitement de données de localisation à large échelle.
Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)
L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.
Article 6 RGPD: leçon Intesa/Isybank sur intérêt légitime vs consentement
Le Garante a infligé 17,6 M€ à Intesa pour un transfert de ~2,4 M de clients vers Isybank sans base légale valable. Enseignement clé: l’intérêt légitime ne remplace ni un consentement valable ni la stricte nécessité contractuelle.
CJUE SCHUFA vs ICO: l’article 22, interdiction ou droit ?
La CJUE a qualifié le credit scoring de décision individuelle automatisée au sens de l’article 22 RGPD. L’EDPB défend une interdiction de principe avec exceptions, quand l’ICO privilégie une approche par le « droit » à activer.