Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
107 articles trouves · #rgpd
Article 28 RGPD: quand un prestataire est sous-traitant (AEPD SEUR/Citibox)
Le 8 juin 2026, l’AEPD a sanctionné SEUR et Citibox pour absence de contrat de sous-traitance conforme à l’article 28 RGPD dans un schéma « transporteur + casiers ». Le libellé contractuel ne suffit pas: la réalité des traitements prime.
CJUE: vérification d’âge pour sites porno étrangers, sous conditions
La CJUE (16 juin 2026) valide, sous conditions strictes, l’obligation pour des sites pornographiques établis dans un autre État membre d’appliquer une vérification d’âge. Signal fort pour ARCOM et impacts RGPD immédiats.
Shai-Hulud: vol de jetons supply chain — FIDO2 devient incontournable
Zscaler documente « Shai-Hulud »: compromissions GitHub/npm/PyPI, détournement OIDC et IOCs publics. Une MFA FIDO2/WebAuthn, résistante au phishing, répond à l’article 32 RGPD et coupe l’accès initial.
RGPD: clôture de plainte et absence de recours art. 78 si non concerné
Le Conseil d’État (20 mai 2026) juge qu’une clôture de plainte par la CNIL n’est pas une « décision juridiquement contraignante » ouvrant un recours art. 78 RGPD si le plaignant n’est pas concrètement affecté.
DSG Retail v ICO élargit le devoir de sécurité: une DLP sérieuse
La Cour d’appel anglaise confirme un devoir de sécurité élargi: anticiper l’identification par recoupement. Voici comment une DLP alignée ISO 27001 répond à l’article 32 RGPD.
Free Mobile/Free sanctionnées 42 M€: leçons pour vos 72 h RGPD
CNIL sanctionne Free Mobile (27 M€) et Free (15 M€) après une violation touchant 24 M de contrats. Priorités: sécurité (art. 32), contenu des notifications à l’autorité (art. 33) et des communications aux personnes (art. 34).
CNPD vs CNIL: vidéosurveillance au travail, 8 jours LU, 30 jours FR
La CNPD fixe « en principe jusqu’à 8 jours » de conservation des images, quand la CNIL admet en pratique jusqu’à un mois. Les entités au Luxembourg doivent ajuster leurs pratiques et leurs registres.
Berlin: 14,5 M€ réduits à 900 000 € — obligation d’effacement confirmée
Le 9 juin 2026, le Landgericht Berlin a confirmé un manquement au RGPD de Deutsche Wohnen pour un archivage sans effacement et a réduit l’amende de 14,5 M€ à 900 000 €. Signal fort sur l’obligation de suppression effective.
72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg
Le 25 mai 2026, l’UODO a sanctionné le maire de Myślenice pour non‑notification d’une violation de données sous 72 h (art. 33 RGPD). Un rappel utile de ce que la CNPD attend au Luxembourg.
RUAG paie une rançon à Akira: alerte rouge pour les directions
RUAG a confirmé le 6 juin 2026 avoir versé une rançon au gang Akira après l’attaque de sa filiale US. Un aveu rare qui chiffre l’impact économique d’un rançongiciel: payer, même «petit», pour récupérer des données.
CE (13/02/2026): Pseudonymisation ≠ anonymisation — DLP et transferts RGPD
Le Conseil d’État confirme: des données de santé « pseudonymisées » restent personnelles si ré‑identifiables. Voici comment une DLP robuste sécurise les flux et la conformité aux articles 32 et 44‑49 du RGPD.
CJUE (19 mars 2026): un accès peut être refusé s’il est abusif
La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.