Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

20 articles trouves · #edpb · Expertise Luxgap

RGPD: une première demande d’accès peut être refusée pour abus (CJUE 19/03/2026)

La CJUE (C‑526/24) admet qu’une première demande d’accès RGPD peut être refusée pour abus au titre de l’article 12(5). Clé pratique: documenter l’intention abusive et un test de proportionnalité en deux branches.

Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple

La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.

Enregistrer réunions et appels: 250 000 € — cadrage CNPD 2026

Le 16/10/2025, la CNIL a sanctionné un centre d’appels de 250 000 € pour enregistrements mal encadrés. Depuis avril 2026, la CNPD publie un référentiel dédié aux enregistrements de réunions: base légale, information, durées, sécurité, AIPD.

Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)

L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.

Obligation d’information (art. 14 RGPD) : exception légale précisée en 2026

La Cour de cassation (29 janv. 2026) confirme l’exception de l’article 14(5)(c) RGPD quand une loi prévoit la communication et encadre des garanties appropriées. Enseignement utile pour les flux fiscaux/social et certains partages B2G au Luxembourg.

72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg

Le 25 mai 2026, l’UODO a sanctionné le maire de Myślenice pour non‑notification d’une violation de données sous 72 h (art. 33 RGPD). Un rappel utile de ce que la CNPD attend au Luxembourg.

Transferts vers les États-Unis: CNPD acte le DPF, l’EDPB reste réservé

La CNPD confirme des transferts « libres » vers des entités US certifiées DPF (art. 45 RGPD), tandis que l’EDPB maintient des réserves et appelle à une vigilance continue.

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

Article 6 RGPD: l’amende Poste Italiane éclaire intérêt légitime vs consentement

Le Garante italien inflige 12,5 M€ à Poste Italiane/PostePay pour des accès intrusifs aux terminaux via apps, sans base légale valable. Message clé: ce qui dépasse le strict nécessaire requiert souvent un vrai consentement, pas l’intérêt légitime.

Vidéosurveillance au travail: l’affaire Hanako écarte le consentement

Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.

Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.

Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.

Page 1 / 2 Plus ancien →