Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
64 articles trouves · Expertise Luxgap
Obligation d’information (art. 14 RGPD) : exception légale précisée en 2026
La Cour de cassation (29 janv. 2026) confirme l’exception de l’article 14(5)(c) RGPD quand une loi prévoit la communication et encadre des garanties appropriées. Enseignement utile pour les flux fiscaux/social et certains partages B2G au Luxembourg.
Boîte mail ex-salarié: 176 000 € et un intérêt légitime bref
APD (décision 101/2026): garder active la messagerie d’un ex-salarié plus d’un an est illicite. L’intérêt légitime ne couvre qu’une redirection très courte (≈ 1 mois), avec transparence, LIA et procédures d’offboarding.
IQVIA sanctionnée 5 M€: pseudonymisation ≠ anonymisation
La CNIL inflige 5 M€ à IQVIA pour des manquements liés à deux entrepôts de données de santé. Enseignement clé: des données pseudonymisées demeurent personnelles et le RGPD s’applique pleinement.
Article 28 RGPD: l’APD sanctionne la SWDE — votre DPA doit être béton
Le 12 mai 2026, l’APD a infligé 86 000 € à la SWDE, dont 1 000 € pour absence de DPA conforme à l’article 28 RGPD. Enseignement clé: sans DPA complet, chaque traitement externalisé met le responsable en défaut.
CNPD — Géolocalisation salariés: 2 mois par défaut, AIPD fréquente
La CNPD précise: conservation « 2 mois par défaut », interdiction de suivi hors temps de travail en cas d’usage privé, et AIPD dès qu’il y a contrôle régulier/systématique. Mesures à déployer sans délai.
France Travail sanctionné 5 M€: l’article 32 RGPD sous contrôle
La CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD: des mesures de sécurité prévues dans l’AIPD mais non déployées. Un signal clair pour le Luxembourg.
Article 28 RGPD: quand un prestataire est sous-traitant (AEPD SEUR/Citibox)
Le 8 juin 2026, l’AEPD a sanctionné SEUR et Citibox pour absence de contrat de sous-traitance conforme à l’article 28 RGPD dans un schéma « transporteur + casiers ». Le libellé contractuel ne suffit pas: la réalité des traitements prime.
RGPD: clôture de plainte et absence de recours art. 78 si non concerné
Le Conseil d’État (20 mai 2026) juge qu’une clôture de plainte par la CNIL n’est pas une « décision juridiquement contraignante » ouvrant un recours art. 78 RGPD si le plaignant n’est pas concrètement affecté.
Free Mobile/Free sanctionnées 42 M€: leçons pour vos 72 h RGPD
CNIL sanctionne Free Mobile (27 M€) et Free (15 M€) après une violation touchant 24 M de contrats. Priorités: sécurité (art. 32), contenu des notifications à l’autorité (art. 33) et des communications aux personnes (art. 34).
AI Act — Pratiques interdites (art. 5) : précisions 2025 de la Commission
Le 4 février 2025, la Commission a publié ses lignes directrices sur les pratiques d’IA interdites (art. 5 AI Act). Huit usages sont bannis dès le 02/02/2025, avec des amendes jusqu’à 35 M€ ou 7 % du CA.
CNPD vs CNIL: vidéosurveillance au travail, 8 jours LU, 30 jours FR
La CNPD fixe « en principe jusqu’à 8 jours » de conservation des images, quand la CNIL admet en pratique jusqu’à un mois. Les entités au Luxembourg doivent ajuster leurs pratiques et leurs registres.
72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg
Le 25 mai 2026, l’UODO a sanctionné le maire de Myślenice pour non‑notification d’une violation de données sous 72 h (art. 33 RGPD). Un rappel utile de ce que la CNPD attend au Luxembourg.