Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
Déployer ChatGPT sans consulter le personnel : la justice suspend — et le Luxembourg n'est pas à l'abri
Le 21 mai 2026, la cour d'appel de Paris a suspendu ChatGPT et un assistant IA interne dans un groupe de presse, sous astreinte de 1 000 € par jour : le comité social n'avait pas été consulté avant le déploiement. Quatrième décision du genre en un an. Au Luxembourg, la logique existe déjà — délégation du personnel, codécision dès 150 salariés, AI Act en août 2026. Ce qu'il faut vérifier avant de déployer.
CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
ENISA publie sa méthodologie d’exercices cyber (16 fév. 2026)
ENISA publie une méthode complète et un toolkit pour concevoir et conduire des exercices cyber. Voici comment l’aligner avec DORA (art. 24) et NIS 2 pour des preuves de conformité solides.
AEPD vs AENA: 10,04 M€ pour une AIPD défaillante en biométrie
Le 20 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une AIPD non conforme liée à l’embarquement biométrique. Signal fort: l’AIPD doit désormais être complète, probante et traçable.
AI Act J-31: transparence obligatoire le 2 août, marquage au 2 décembre
Le Conseil de l’UE confirme l’application des obligations de transparence de l’AI Act au 2 août 2026, avec un délai jusqu’au 2 décembre 2026 pour le marquage machine‑lisible des contenus IA.
UniCredit Roumanie: 12 000 € d’amende RGPD — éviter l’envoi erroné
Le 29 mai 2026, l’ANSPDCP a sanctionné UniCredit Bank SA pour défaut de sécurité (art. 32) et notification tardive (art. 33) après des envois à de mauvais destinataires. Voici la DLP concrète qui évite cela et prouve la conformité.
Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple
La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.
Team building à vélo électrique sur la Moselle: Schengen → Grevenmacher
Une journée en VAE le long de la Moselle, de Schengen à Grevenmacher, ponctuée d’arrêts conviviaux et d’une dégustation. Communication, coordination et plaisir partagé renforcent la cohésion — sans logistique complexe.
NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR
Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.
ANSSI — ReCyF : la microsegmentation, levier clé NIS 2
Le ReCyF de l’ANSSI (17 mars 2026) précise des mesures NIS 2 concrètes. La microsegmentation réseau limite les mouvements latéraux, protège les environnements sensibles et facilite la preuve de conformité.
NIS 2 au Luxembourg: attentes de l’ILR sur les 10 mesures (art. 21)
Depuis la loi du 5 mai 2026, l’ILR détaille les 10 mesures minimales de l’article 21 NIS 2 et leur supervision. Les directions doivent approuver, mettre en œuvre et prouver ces mesures, incluant MFA et chaîne d’approvisionnement.
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.