Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
38 articles trouves · #luxembourg · Veille Luxgap
Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices
L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.
Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica
Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.
RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82
Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.
CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
AI Act J-31: transparence obligatoire le 2 août, marquage au 2 décembre
Le Conseil de l’UE confirme l’application des obligations de transparence de l’AI Act au 2 août 2026, avec un délai jusqu’au 2 décembre 2026 pour le marquage machine‑lisible des contenus IA.
NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR
Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.
EDPB actualise son digest Opposition & Effacement et lance un formulaire
Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.
Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC
Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.
DORA — Succursales de pays tiers: registre TIC à remettre d’ici le 30 juin
Dernière ligne droite DORA au Luxembourg: les succursales de banques de pays tiers doivent soumettre leur registre d’informations TIC à la CSSF au plus tard le 30 juin 2026. Voici comment s’y prendre cette semaine.
EDPB — Recherche scientifique : dernière chance pour commenter
Le CEPD clôt ce 25 juin 2026 sa consultation sur les Lignes directrices 1/2026 dédiées au traitement de données à des fins de recherche scientifique. Des clarifications majeures sur la base légale, le « broad consent » et l’art. 89 RGPD.
Preuve et données perso: la Cour de cassation trace une ligne claire
Le 17 juin 2026, la Cour de cassation admet un rapport d’analyse fondé sur des données pseudonymisées comme moyen de preuve, si la démarche est nécessaire et strictement proportionnée. Cap sur vos enquêtes internes.