Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
29 articles trouves · #rgpd · Veille Luxgap
Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices
L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.
Italie: 100 000 € contre Lepida pour défauts sur LepidaID
Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.
Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica
Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.
RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82
Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.
CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.
EDPB actualise son digest Opposition & Effacement et lance un formulaire
Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.
Démarchage: le Conseil constitutionnel coupe court au triple risque
Le 25 juin 2026, le Conseil constitutionnel a censuré la possibilité de poursuites parallèles CNIL/ARCOM/DGCCRF pour le même démarchage électronique (art. L.34‑5 CPCE). Abrogation au 31 octobre 2027, mais effet immédiat: plus de doubles procédures.
Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC
Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.
EDPB — Recherche scientifique : dernière chance pour commenter
Le CEPD clôt ce 25 juin 2026 sa consultation sur les Lignes directrices 1/2026 dédiées au traitement de données à des fins de recherche scientifique. Des clarifications majeures sur la base légale, le « broad consent » et l’art. 89 RGPD.
Preuve et données perso: la Cour de cassation trace une ligne claire
Le 17 juin 2026, la Cour de cassation admet un rapport d’analyse fondé sur des données pseudonymisées comme moyen de preuve, si la démarche est nécessaire et strictement proportionnée. Cap sur vos enquêtes internes.
Novo Nordisk refuse 25 M$ après un vol de 1,3 To
Le 16 juin 2026, FulcrumSec a revendiqué >1 To volés chez Novo Nordisk et une extorsion de 25 M$. L’entreprise, qui a confirmé un incident le 11 juin, enquête et n’a pas payé.