Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
Amazon vs CNPD (12 mars 2026) : l’intérêt légitime ne suffit pas
La Cour administrative annule l’amende record de 746 M€ mais confirme que la publicité comportementale ne peut pas reposer sur l’intérêt légitime. Conséquences 2026 pour vos bases légales et la caractérisation de la faute.
NIS 2 Luxembourg : loi du 5 mai 2026 publiee, auto-enregistrement ILR jusqu'au 10 juillet 2026
La loi luxembourgeoise du 5 mai 2026 transposant la directive NIS 2 est entree en vigueur. Les entites essentielles et importantes ont jusqu'au 10 juillet 2026 pour s'auto-enregistrer aupres de l'ILR.
EDR/XDR : détection continue conforme à NIS 2 (art. 21) et DORA (art. 10)
Les dirigeants doivent démontrer une détection d’incidents continue et efficace. Une pile EDR/XDR bien déployée répond aux exigences NIS 2 art. 21 et DORA art. 10 avec des preuves techniques auditables.
AIPD (art. 35 RGPD) au Luxembourg: déclenchement et réussite
Quand l’AIPD est-elle obligatoire au Luxembourg et comment la mener à bien ? Cadre RGPD, liste CNPD, méthode EDPB, consultation préalable (art. 36) et bonnes pratiques.
Patching automatisé : la réponse à NIS 2, article 21
Les dirigeants doivent prouver que les vulnérabilités sont corrigées en temps utile. Un patching automatisé, bien configuré, est la méthode la plus sûre et vérifiable pour satisfaire NIS 2 art. 21.
CNPD — Vidéosurveillance au travail: proportionnalité, AIPD et droits
Installer des caméras au travail reste possible au Luxembourg, mais sous conditions strictes: base légale, proportionnalité, AIPD fréquente, information L.261‑1 et respect des droits. Documentez tout, caméra par caméra.
CSPM cloud: la réponse à la circulaire CSSF 22/806 sur l’externalisation
Pour rester conforme à la CSSF en 2026, il ne suffit plus d’aller dans le cloud. Un CSPM prouve en continu la bonne configuration, la supervision et l’auditabilité exigées.
RGPD – Article 28: le contrat sous-traitant sans angle mort
En 2026, chaque DPO/CISO doit savoir blinder ses contrats de sous-traitance. Clauses obligatoires, doctrine EDPB/CNPD et mode opératoire d’audit pour un article 28 sans angle mort.
TLPT (red team piloté par la menace) : répondre à DORA art. 26‑27
DORA oblige certaines entités financières à conduire des tests d’intrusion pilotés par la menace sur systèmes de production. Voici comment une mise en œuvre TLPT structurée coche, point par point, les articles 26‑27.
NIS 2 au Luxembourg: dirigeants, formation obligatoire et risques personnels
Sous NIS 2, les organes de direction doivent approuver et superviser les mesures cyber (art. 20), se former régulièrement et peuvent être tenus personnellement responsables en cas de manquements. L’ILR a publié des lignes directrices concrètes.
MFA phishing‑resistant (FIDO2/WebAuthn) : réponse à l’article 32 RGPD
L’article 32 RGPD impose des mesures « état de l’art ». La MFA phishing‑resistant FIDO2/WebAuthn est aujourd’hui l’option la plus robuste et pragmatique pour y répondre sans complexité inutile.
NIS 2 et supply chain: obligations concrètes et certification
La sécurisation de la chaîne d’approvisionnement ICT devient un contrôle clé sous NIS 2. Ce guide résume vos obligations (art. 21(2)(d)), le rôle de l’ILR au Luxembourg et quand utiliser la certification européenne (art. 24).