Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
80 articles trouves · #luxembourg
France Travail sanctionné 5 M€: l’article 32 RGPD sous contrôle
La CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD: des mesures de sécurité prévues dans l’AIPD mais non déployées. Un signal clair pour le Luxembourg.
CJUE: vérification d’âge pour sites porno étrangers, sous conditions
La CJUE (16 juin 2026) valide, sous conditions strictes, l’obligation pour des sites pornographiques établis dans un autre État membre d’appliquer une vérification d’âge. Signal fort pour ARCOM et impacts RGPD immédiats.
RGPD: clôture de plainte et absence de recours art. 78 si non concerné
Le Conseil d’État (20 mai 2026) juge qu’une clôture de plainte par la CNIL n’est pas une « décision juridiquement contraignante » ouvrant un recours art. 78 RGPD si le plaignant n’est pas concrètement affecté.
AI Act: Code de pratiques publié — J-46 pour vos mentions IA
La Commission a publié le 10 juin 2026 un Code de pratiques pour le marquage/étiquetage des contenus générés par l’IA. À compter du 2 août 2026, les obligations de transparence (art. 50) s’appliquent. Signez et mettez en œuvre cette semaine.
Munich: Google tenue responsable des « AI Overviews » mensongers
Le 28 mai 2026, le tribunal régional de Munich I a interdit à Google de diffuser via « AI Overviews » des allégations fausses visant deux éditeurs, qualifiant ces résumés d’« propres déclarations » de Google, sous astreinte jusqu’à 250 000 €.
AI Act — Pratiques interdites (art. 5) : précisions 2025 de la Commission
Le 4 février 2025, la Commission a publié ses lignes directrices sur les pratiques d’IA interdites (art. 5 AI Act). Huit usages sont bannis dès le 02/02/2025, avec des amendes jusqu’à 35 M€ ou 7 % du CA.
ILR — Notification d’incident NIS 2 : 24 h pour alerter
Le 5 mai 2026, le Luxembourg a transposé NIS 2. L’ILR publie un guide avec alerte à 24 h, notification à 72 h et rapport à 1 mois. Voici comment un SOC/SIEM managé permet de tenir ces jalons sereinement.
Berlin: 14,5 M€ réduits à 900 000 € — obligation d’effacement confirmée
Le 9 juin 2026, le Landgericht Berlin a confirmé un manquement au RGPD de Deutsche Wohnen pour un archivage sans effacement et a réduit l’amende de 14,5 M€ à 900 000 €. Signal fort sur l’obligation de suppression effective.
RUAG paie une rançon à Akira: alerte rouge pour les directions
RUAG a confirmé le 6 juin 2026 avoir versé une rançon au gang Akira après l’attaque de sa filiale US. Un aveu rare qui chiffre l’impact économique d’un rançongiciel: payer, même «petit», pour récupérer des données.
CJUE (19 mars 2026): un accès peut être refusé s’il est abusif
La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.
AI Act: J-52 avant l’obligation de transparence (article 50)
Au 2 août 2026, l’obligation de transparence de l’AI Act (art. 50) devient applicable: mention claire “vous interagissez avec une IA”, marquage machine‑lisible des contenus générés/manipulés, et signalement des deepfakes.
Qilin exploite un 0‑day Check Point: VPN compromis, patch sous 72 h
Un 0‑day critique (CVE‑2026‑50751) dans les VPN Check Point est activement exploité par Qilin. CISA impose un correctif d’ici le 11 juin 2026. Les entités NIS 2 luxembourgeoises doivent vérifier IKEv1, patcher et notifier via SERIMA si incident.