Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

41 articles trouves · Veille Luxgap

Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices

L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.

Italie: 100 000 € contre Lepida pour défauts sur LepidaID

Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.

Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica

Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.

RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82

Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.

CNIL: données de localisation des véhicules — nouvelle recommandation

La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.

AI Act J-31: transparence obligatoire le 2 août, marquage au 2 décembre

Le Conseil de l’UE confirme l’application des obligations de transparence de l’AI Act au 2 août 2026, avec un délai jusqu’au 2 décembre 2026 pour le marquage machine‑lisible des contenus IA.

NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR

Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.

ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations

Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.

EDPB actualise son digest Opposition & Effacement et lance un formulaire

Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.

Démarchage: le Conseil constitutionnel coupe court au triple risque

Le 25 juin 2026, le Conseil constitutionnel a censuré la possibilité de poursuites parallèles CNIL/ARCOM/DGCCRF pour le même démarchage électronique (art. L.34‑5 CPCE). Abrogation au 31 octobre 2027, mais effet immédiat: plus de doubles procédures.

Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC

Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.

DORA — Succursales de pays tiers: registre TIC à remettre d’ici le 30 juin

Dernière ligne droite DORA au Luxembourg: les succursales de banques de pays tiers doivent soumettre leur registre d’informations TIC à la CSSF au plus tard le 30 juin 2026. Voici comment s’y prendre cette semaine.

Page 1 / 4 Plus ancien →