Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

25 articles trouves · #luxembourg · Expertise Luxgap

Droits RGPD en entreprise: seule la personne peut agir (Cass. crim., 13 janv. 2026)

La Cour de cassation juge qu’une entreprise ne peut pas invoquer les droits RGPD de ses salariés pour contester une saisie: seuls les intéressés peuvent agir. Enjeu clé pour vos procédures d’accès et de réponse DPO.

DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?

La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.

NIS 2 au Luxembourg: attentes de l’ILR sur les 10 mesures (art. 21)

Depuis la loi du 5 mai 2026, l’ILR détaille les 10 mesures minimales de l’article 21 NIS 2 et leur supervision. Les directions doivent approuver, mettre en œuvre et prouver ces mesures, incluant MFA et chaîne d’approvisionnement.

Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)

L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.

CNPD — Géolocalisation salariés: 2 mois par défaut, AIPD fréquente

La CNPD précise: conservation « 2 mois par défaut », interdiction de suivi hors temps de travail en cas d’usage privé, et AIPD dès qu’il y a contrôle régulier/systématique. Mesures à déployer sans délai.

France Travail sanctionné 5 M€: l’article 32 RGPD sous contrôle

La CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD: des mesures de sécurité prévues dans l’AIPD mais non déployées. Un signal clair pour le Luxembourg.

RGPD: clôture de plainte et absence de recours art. 78 si non concerné

Le Conseil d’État (20 mai 2026) juge qu’une clôture de plainte par la CNIL n’est pas une « décision juridiquement contraignante » ouvrant un recours art. 78 RGPD si le plaignant n’est pas concrètement affecté.

AI Act — Pratiques interdites (art. 5) : précisions 2025 de la Commission

Le 4 février 2025, la Commission a publié ses lignes directrices sur les pratiques d’IA interdites (art. 5 AI Act). Huit usages sont bannis dès le 02/02/2025, avec des amendes jusqu’à 35 M€ ou 7 % du CA.

CJUE (19 mars 2026): un accès peut être refusé s’il est abusif

La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.

DORA art. 28: la CSSF durcit le ton sur le registre des dépendances ICT

Au 16 mars 2026, seules 40% des entités avaient soumis leur registre DORA art. 28. La CSSF prévient: contrôles qualité par les AES, rejets possibles et corrections sous délais, avec un « best effort » au 30 juin pour certaines succursales.

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

Vidéosurveillance au travail: l’affaire Hanako écarte le consentement

Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.

Page 1 / 3 Plus ancien →