Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

108 articles trouves · #rgpd

CJUE (19 mars 2026): un accès peut être refusé s’il est abusif

La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.

AI Act: J-52 avant l’obligation de transparence (article 50)

Au 2 août 2026, l’obligation de transparence de l’AI Act (art. 50) devient applicable: mention claire “vous interagissez avec une IA”, marquage machine‑lisible des contenus générés/manipulés, et signalement des deepfakes.

Droit d’accès vs purge: l’APD recadre un recruteur (37/2026)

Le 24 février 2026, l’APD belge avertit une entreprise pour avoir effacé une vidéo d’entretien après une demande d’accès. En pratique: la purge doit être suspendue jusqu’au traitement du droit d’accès (art. 12 et 15 RGPD).

Qilin exploite un 0‑day Check Point: VPN compromis, patch sous 72 h

Un 0‑day critique (CVE‑2026‑50751) dans les VPN Check Point est activement exploité par Qilin. CISA impose un correctif d’ici le 11 juin 2026. Les entités NIS 2 luxembourgeoises doivent vérifier IKEv1, patcher et notifier via SERIMA si incident.

Unimed (DE) : 72 000+ dossiers volés — DLP, article 32 et transferts RGPD

Mi-avril 2026, l’outsourcer Unimed s’est fait voler des données de 72 000+ patients. Voici une pile DLP concrète pour prévenir l’exfiltration et démontrer la conformité à l’article 32 et aux transferts (art. 44‑49) du RGPD.

Amazon c. CNPD (12 mars 2026) : l’intérêt légitime écarté en AdTech

La Cour administrative luxembourgeoise confirme que la publicité comportementale d’Amazon ne pouvait pas reposer sur l’intérêt légitime et annule l’amende au regard de l’exigence de faute dégagée par la CJUE.

ENISA met à jour ses mécanismes crypto: revue publique jusqu’à juillet

L’ENISA ouvre la consultation publique de la v3 des Agreed Cryptographic Mechanisms (ACM) jusqu’à fin juillet 2026. Les entreprises peuvent commenter les suites et tailles clés qui guideront EUCC et l’“état de l’art” en Europe.

VG Düsseldorf recadre l’e‑mail: TLS peut suffire, pas d’E2E par défaut

Le 02/04/2026, le VG Düsseldorf juge qu’au titre de l’art. 32 RGPD, l’e‑mail n’exige pas d’E2E par défaut: une transport encryption (TLS) peut suffire selon le risque.

Transferts vers les États-Unis: CNPD acte le DPF, l’EDPB reste réservé

La CNPD confirme des transferts « libres » vers des entités US certifiées DPF (art. 45 RGPD), tandis que l’EDPB maintient des réserves et appelle à une vigilance continue.

ANSSI — Analyse de risque chiffrement: actions RGPD art. 32 et CSSF 22/806

Le 27/05/2026, l’ANSSI publie une analyse de risque « chiffrement ». Voici comment traduire ces recommandations en une architecture “at‑rest” et “in‑transit” alignée RGPD art. 32 et CSSF 22/806, avec feuille de route post‑quantique.

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

ICO récupère 118 852 £ auprès de deux ex-salariées du RAC

Le 4 juin 2026, l’ICO a obtenu des confiscations totalisant 118 852,32 £ contre deux ex-employées du RAC pour la revente illégale de près de 30 000 lignes de données d’automobilistes, illustrant l’usage accru des pouvoirs POCA après condamnation.