Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
ILR — Notification d’incident NIS 2 : 24 h pour alerter
Le 5 mai 2026, le Luxembourg a transposé NIS 2. L’ILR publie un guide avec alerte à 24 h, notification à 72 h et rapport à 1 mois. Voici comment un SOC/SIEM managé permet de tenir ces jalons sereinement.
CNPD vs CNIL: vidéosurveillance au travail, 8 jours LU, 30 jours FR
La CNPD fixe « en principe jusqu’à 8 jours » de conservation des images, quand la CNIL admet en pratique jusqu’à un mois. Les entités au Luxembourg doivent ajuster leurs pratiques et leurs registres.
Berlin: 14,5 M€ réduits à 900 000 € — obligation d’effacement confirmée
Le 9 juin 2026, le Landgericht Berlin a confirmé un manquement au RGPD de Deutsche Wohnen pour un archivage sans effacement et a réduit l’amende de 14,5 M€ à 900 000 €. Signal fort sur l’obligation de suppression effective.
CSSF 25/880 — la campagne PSP ICT Assessment 2026 exige un VM continu
La CSSF a lancé la campagne « PSD2 – PSP ICT Assessment » 2026: chaque PSP doit soumettre une évaluation TIC à jour via eDesk. Un vulnerability management continu répond NIS 2 art. 21 et DORA art. 25–27.
72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg
Le 25 mai 2026, l’UODO a sanctionné le maire de Myślenice pour non‑notification d’une violation de données sous 72 h (art. 33 RGPD). Un rappel utile de ce que la CNPD attend au Luxembourg.
RUAG paie une rançon à Akira: alerte rouge pour les directions
RUAG a confirmé le 6 juin 2026 avoir versé une rançon au gang Akira après l’attaque de sa filiale US. Un aveu rare qui chiffre l’impact économique d’un rançongiciel: payer, même «petit», pour récupérer des données.
CE (13/02/2026): Pseudonymisation ≠ anonymisation — DLP et transferts RGPD
Le Conseil d’État confirme: des données de santé « pseudonymisées » restent personnelles si ré‑identifiables. Voici comment une DLP robuste sécurise les flux et la conformité aux articles 32 et 44‑49 du RGPD.
CJUE (19 mars 2026): un accès peut être refusé s’il est abusif
La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.
AI Act: J-52 avant l’obligation de transparence (article 50)
Au 2 août 2026, l’obligation de transparence de l’AI Act (art. 50) devient applicable: mention claire “vous interagissez avec une IA”, marquage machine‑lisible des contenus générés/manipulés, et signalement des deepfakes.
Stryker: effacement massif — pourquoi des sauvegardes immuables et isolées
Après l’effacement à distance de dizaines de milliers d’appareils chez Stryker, une architecture de sauvegarde immuable et isolée s’impose pour reprendre vite et démontrer la conformité DORA.
Droit d’accès vs purge: l’APD recadre un recruteur (37/2026)
Le 24 février 2026, l’APD belge avertit une entreprise pour avoir effacé une vidéo d’entretien après une demande d’accès. En pratique: la purge doit être suspendue jusqu’au traitement du droit d’accès (art. 12 et 15 RGPD).
Qilin exploite un 0‑day Check Point: VPN compromis, patch sous 72 h
Un 0‑day critique (CVE‑2026‑50751) dans les VPN Check Point est activement exploité par Qilin. CISA impose un correctif d’ici le 11 juin 2026. Les entités NIS 2 luxembourgeoises doivent vérifier IKEv1, patcher et notifier via SERIMA si incident.