Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
35 articles trouves · #veille
CSSF: exigences du contrôle sur la valorisation d’actifs illiquides
Le 4 juin 2026, la CSSF publie un retour d’expérience sur la valorisation des actifs illiquides chez les IFM. Elle exige un benchmarking immédiat des pratiques et des mesures correctrices documentées.
ICO récupère 118 852 £ auprès de deux ex-salariées du RAC
Le 4 juin 2026, l’ICO a obtenu des confiscations totalisant 118 852,32 £ contre deux ex-employées du RAC pour la revente illégale de près de 30 000 lignes de données d’automobilistes, illustrant l’usage accru des pouvoirs POCA après condamnation.
WFP Gaza: alerte pour vos portails d’inscription (600 000 foyers)
Le 2 juin 2026, le WFP a confirmé la compromission de son application d’auto‑inscription en Palestine: données de ~600 000 foyers à Gaza (noms, ID, mobiles, localisation) exfiltrées. Intrusion datée du 14 mai.
Dashlane : moins de 20 coffres copiés — leçons d’une attaque 2FA
Le 31 mai 2026, une campagne de force brute ciblant la 2FA a permis de copier des coffres-forts chiffrés de « moins de 20 » utilisateurs Dashlane. Voici l’impact pour vos contrôles IAM et vos obligations RGPD/NIS 2.
AEPD inflige 14,4 M€ à Amadeus pour profilage sans base légale
L’AEPD a sanctionné Amadeus IT Group à 14,4 M€ (18 M€ avant réduction) pour un projet pilote de profilage utilisant des données de réservation sans base légale et sans information des voyageurs. Décision rendue publique les 26–27 mai 2026.
AI Act: 3 jours pour réagir — consultation UE sur la transparence
La Commission européenne clôt le 3 juin 2026 sa consultation sur les lignes directrices de transparence (article 50 AI Act). Dernière ligne droite pour caler vos mentions « IA » et le marquage des contenus générés.
CNIL met à jour MR‑001/MR‑003 : mode d’emploi opérationnel (26/05)
La CNIL actualise MR‑001 et MR‑003 et publie des grilles de conformité. Effet immédiat pour les recherches en santé menées en France, avec impact pour des sponsors luxembourgeois impliquant des patients ou des sites français.
CNIL valide un code de conduite RGPD pour le commerce de détail
La CNIL a approuvé le 28 avril 2026 un code de conduite RGPD pour les enseignes d’habillement/chaussure en France. Signal fort pour les retailers, avec exigences auditables et contrôle tiers.
Qilin revendique une cyberattaque contre Exclusive Networks
Le groupe ransomware Qilin affirme avoir compromis Exclusive Networks, grand distributeur européen de cybersécurité. Revendication fin avril 2026; risque de chaîne d’approvisionnement pour des clients au Luxembourg.
Ransomware chez ChipSoft: alerte pour les soins transfrontaliers
Le fournisseur néerlandais de dossiers patients ChipSoft a confirmé le 29 avril que les données volées lors d’une cyberattaque début avril auraient été « détruites ». Les hôpitaux et assureurs frontaliers doivent agir dès cette semaine.
Luxembourg renvoyé à la CJUE pour retard de transposition CER
La Commission européenne saisit la Cour de justice contre le Luxembourg pour non‑transposition de la directive « résilience des entités critiques » (CER). Enjeu immédiat pour les opérateurs essentiels, en lien avec NIS2.