Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
80 articles trouves · #luxembourg
DORA art. 28: la CSSF durcit le ton sur le registre des dépendances ICT
Au 16 mars 2026, seules 40% des entités avaient soumis leur registre DORA art. 28. La CSSF prévient: contrôles qualité par les AES, rejets possibles et corrections sous délais, avec un « best effort » au 30 juin pour certaines succursales.
CSSF: exigences du contrôle sur la valorisation d’actifs illiquides
Le 4 juin 2026, la CSSF publie un retour d’expérience sur la valorisation des actifs illiquides chez les IFM. Elle exige un benchmarking immédiat des pratiques et des mesures correctrices documentées.
CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes
Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.
ICO récupère 118 852 £ auprès de deux ex-salariées du RAC
Le 4 juin 2026, l’ICO a obtenu des confiscations totalisant 118 852,32 £ contre deux ex-employées du RAC pour la revente illégale de près de 30 000 lignes de données d’automobilistes, illustrant l’usage accru des pouvoirs POCA après condamnation.
WFP Gaza: alerte pour vos portails d’inscription (600 000 foyers)
Le 2 juin 2026, le WFP a confirmé la compromission de son application d’auto‑inscription en Palestine: données de ~600 000 foyers à Gaza (noms, ID, mobiles, localisation) exfiltrées. Intrusion datée du 14 mai.
Vidéosurveillance au travail: l’affaire Hanako écarte le consentement
Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.
Dashlane : moins de 20 coffres copiés — leçons d’une attaque 2FA
Le 31 mai 2026, une campagne de force brute ciblant la 2FA a permis de copier des coffres-forts chiffrés de « moins de 20 » utilisateurs Dashlane. Voici l’impact pour vos contrôles IAM et vos obligations RGPD/NIS 2.
AEPD inflige 14,4 M€ à Amadeus pour profilage sans base légale
L’AEPD a sanctionné Amadeus IT Group à 14,4 M€ (18 M€ avant réduction) pour un projet pilote de profilage utilisant des données de réservation sans base légale et sans information des voyageurs. Décision rendue publique les 26–27 mai 2026.
AI Act: 3 jours pour réagir — consultation UE sur la transparence
La Commission européenne clôt le 3 juin 2026 sa consultation sur les lignes directrices de transparence (article 50 AI Act). Dernière ligne droite pour caler vos mentions « IA » et le marquage des contenus générés.
Luxgap SealedMail : le premier serveur email où votre DSI ne peut pas vous lire
Lancement de SealedMail, serveur email zero-knowledge hébergé au Luxembourg, conçu pour les dirigeants. Chiffrement de bout en bout par clés asymétriques X25519. Ni l'administrateur IT, ni Luxgap ne peut lire vos boîtes. Compatible avec votre Outlook habituel.
Irlande — Permanent TSB sanctionnée: art. 32/33 RGPD au call center
Le DPC inflige 277 500 € à Permanent TSB pour failles d’authentification au call center et notification tardive. Leçon pour le Luxembourg: l’article 32 et le délai de 72 h (art. 33) s’appliquent aussi aux processus humains.
CNIL met à jour MR‑001/MR‑003 : mode d’emploi opérationnel (26/05)
La CNIL actualise MR‑001 et MR‑003 et publie des grilles de conformité. Effet immédiat pour les recherches en santé menées en France, avec impact pour des sponsors luxembourgeois impliquant des patients ou des sites français.