Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

64 articles trouves · Expertise Luxgap

CJUE (19 mars 2026): un accès peut être refusé s’il est abusif

La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.

Droit d’accès vs purge: l’APD recadre un recruteur (37/2026)

Le 24 février 2026, l’APD belge avertit une entreprise pour avoir effacé une vidéo d’entretien après une demande d’accès. En pratique: la purge doit être suspendue jusqu’au traitement du droit d’accès (art. 12 et 15 RGPD).

Amazon c. CNPD (12 mars 2026) : l’intérêt légitime écarté en AdTech

La Cour administrative luxembourgeoise confirme que la publicité comportementale d’Amazon ne pouvait pas reposer sur l’intérêt légitime et annule l’amende au regard de l’exigence de faute dégagée par la CJUE.

Transferts vers les États-Unis: CNPD acte le DPF, l’EDPB reste réservé

La CNPD confirme des transferts « libres » vers des entités US certifiées DPF (art. 45 RGPD), tandis que l’EDPB maintient des réserves et appelle à une vigilance continue.

DORA art. 28: la CSSF durcit le ton sur le registre des dépendances ICT

Au 16 mars 2026, seules 40% des entités avaient soumis leur registre DORA art. 28. La CSSF prévient: contrôles qualité par les AES, rejets possibles et corrections sous délais, avec un « best effort » au 30 juin pour certaines succursales.

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

Article 6 RGPD: l’amende Poste Italiane éclaire intérêt légitime vs consentement

Le Garante italien inflige 12,5 M€ à Poste Italiane/PostePay pour des accès intrusifs aux terminaux via apps, sans base légale valable. Message clé: ce qui dépasse le strict nécessaire requiert souvent un vrai consentement, pas l’intérêt légitime.

Vidéosurveillance au travail: l’affaire Hanako écarte le consentement

Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.

AEPD vs AENA: 10,043,002 € pour une AIPD déficiente (art. 35 RGPD)

Le 4 mars 2026, l’AEPD a sanctionné AENA de 10 043 002 € pour une AIPD non conforme sur un embarquement biométrique. Leçon clé: une AIPD «pro forma» équivaut à une absence d’AIPD.

Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.

CNPD encadre l’enregistrement des réunions: divergence avec la CNIL

Au 01/04/2026, la CNPD encadre l’audio des réunions: intérêt légitime strict et suppression dès approbation du PV. En France, la CNIL admet l’enregistrement d’appels à des fins probatoires mais interdit l’audio couplé aux caméras.

Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.