Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
13 articles trouves · #expertise · Expertise Luxgap
CNPD — Vidéosurveillance au travail: proportionnalité, AIPD et droits
Installer des caméras au travail reste possible au Luxembourg, mais sous conditions strictes: base légale, proportionnalité, AIPD fréquente, information L.261‑1 et respect des droits. Documentez tout, caméra par caméra.
RGPD – Article 28: le contrat sous-traitant sans angle mort
En 2026, chaque DPO/CISO doit savoir blinder ses contrats de sous-traitance. Clauses obligatoires, doctrine EDPB/CNPD et mode opératoire d’audit pour un article 28 sans angle mort.
NIS 2 au Luxembourg: dirigeants, formation obligatoire et risques personnels
Sous NIS 2, les organes de direction doivent approuver et superviser les mesures cyber (art. 20), se former régulièrement et peuvent être tenus personnellement responsables en cas de manquements. L’ILR a publié des lignes directrices concrètes.
NIS 2 et supply chain: obligations concrètes et certification
La sécurisation de la chaîne d’approvisionnement ICT devient un contrôle clé sous NIS 2. Ce guide résume vos obligations (art. 21(2)(d)), le rôle de l’ILR au Luxembourg et quand utiliser la certification européenne (art. 24).
AI Act – Annexe III: passer au haut risque sans se tromper
Systèmes d’IA à haut risque: comment décider si vous relevez de l’Annexe III et constituer un dossier conforme (gestion des risques, Annexe IV, CE) au Luxembourg, en mai 2026.
NIS 2 – Article 21 au Luxembourg: que contrôle réellement l’ILR ?
Article 21 NIS 2 impose 10 familles de mesures minimales. L’ILR annonce un contrôle ex ante/ex post centré sur ces mesures et la responsabilité des dirigeants. Voici comment s’y conformer efficacement.
NIS 2 au Luxembourg: loi du 5 mai 2026 publiée, que faire avant le 10 mai
La loi luxembourgeoise transposant NIS 2 est publiée (5 mai 2026) et entre en vigueur le 10 mai. Périmètre élargi, gouvernance renforcée, notification d’incident sous 24 h/72 h à l’ILR via SERIMA. Actions prioritaires et sources officielles.
AI Act – Article 50: transparence pour chatbots et deepfakes d’ici 2026
Dès le 2 août 2026, toute interaction IA, tout contenu synthétique et tout système de reconnaissance d’émotions/catégorisation biométrique devront être signalés. Amendes jusqu’à 15 M€ ou 3% du CA mondial.
RGPD art. 33: notifier une violation à la CNPD en 72 h, sans paniquer
Méthode opérationnelle, fondée sur les textes officiels et la position de la CNPD, pour décider, notifier et documenter correctement une violation de données en 72 heures.
Transferts UE‑USA après Schrems II et DPF: attentes CNPD 2026
Sécurisez vos flux transatlantiques sans sur‑conformité: le DPF facilite les transferts vers les entités US certifiées, mais l’art. 46 et les mesures supplémentaires restent clés hors DPF. Gouvernance fournisseurs et documentation AIPD en priorité.
NIS 2 au Luxembourg: notifier un incident à l’ILR en 24h/72h/1 mois
NIS 2 impose une alerte sous 24h, une notification à 72h et un rapport final sous 1 mois. Au Luxembourg, l’ILR et le CSIRT national (CIRCL) sont vos interlocuteurs clés.
DORA, article 28 : le « registre des dépendances ICT » attendu par la CSSF
Depuis le 17 janvier 2025, toutes les entités financières soumises à DORA doivent tenir un registre structuré de leurs contrats ICT. La CSSF a précisé le calendrier et les modalités de soumission au Luxembourg.
