Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

23 articles trouves · #edpb

Vidéosurveillance au travail: l’affaire Hanako écarte le consentement

Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.

Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.

Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.

Irlande — Permanent TSB sanctionnée: art. 32/33 RGPD au call center

Le DPC inflige 277 500 € à Permanent TSB pour failles d’authentification au call center et notification tardive. Leçon pour le Luxembourg: l’article 32 et le délai de 72 h (art. 33) s’appliquent aussi aux processus humains.

AIPD: modèle CEPD (avril 2026) et divergences CNPD/CNIL

Le CEPD propose un modèle européen d’AIPD en consultation (avril 2026). Mais CNPD et CNIL divergent encore sur les déclencheurs, avec en France une « liste non requise » qui n’existe pas au Luxembourg.

France Travail sanctionnée: leçons clés de l’article 32 RGPD

Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour des failles d’authentification, de journalisation et d’habilitations. Au Luxembourg, l’article 32 RGPD impose des mesures de sécurité appropriées, prouvées et effectivement déployées.

CNPD 16/12/2025: registre RGPD article 30 insuffisant sanctionné

Le 16/12/2025, la CNPD a infligé 7 000 € pour un registre article 30 lacunaire. La décision précise les rubriques attendues (destinataires, transferts, catégories, délais, sécurité) et la méthode CEPD de calcul des amendes.

CJUE 19 mars 2026 (Brillen Rottler) : premier accès refusé pour abus

La CJUE admet qu’une première demande d’accès (art. 15 RGPD) puisse être refusée comme « excessive » en cas d’intention abusive prouvée (art. 12(5)). Le refus reste exceptionnel, motivé et dans les délais.

RGPD – Article 28: le contrat sous-traitant sans angle mort

En 2026, chaque DPO/CISO doit savoir blinder ses contrats de sous-traitance. Clauses obligatoires, doctrine EDPB/CNPD et mode opératoire d’audit pour un article 28 sans angle mort.

RGPD art. 33: notifier une violation à la CNPD en 72 h, sans paniquer

Méthode opérationnelle, fondée sur les textes officiels et la position de la CNPD, pour décider, notifier et documenter correctement une violation de données en 72 heures.

Transferts UE‑USA après Schrems II et DPF: attentes CNPD 2026

Sécurisez vos flux transatlantiques sans sur‑conformité: le DPF facilite les transferts vers les entités US certifiées, mais l’art. 46 et les mesures supplémentaires restent clés hors DPF. Gouvernance fournisseurs et documentation AIPD en priorité.

← Plus récent Page 2 / 2