Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

108 articles trouves · #rgpd

Cass. fr. (5 mars 2026) rebat les cartes des e‑signatures qualifiées

Depuis le 5 mars 2026, seule une signature électronique qualifiée (QES) inverse la charge de la preuve. Voici comment prouver QTSP, QSCD et LTV pour sécuriser vos contrats et votre conformité.

Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.

Luxgap SealedMail : le premier serveur email où votre DSI ne peut pas vous lire

Lancement de SealedMail, serveur email zero-knowledge hébergé au Luxembourg, conçu pour les dirigeants. Chiffrement de bout en bout par clés asymétriques X25519. Ni l'administrateur IT, ni Luxgap ne peut lire vos boîtes. Compatible avec votre Outlook habituel.

Irlande — Permanent TSB sanctionnée: art. 32/33 RGPD au call center

Le DPC inflige 277 500 € à Permanent TSB pour failles d’authentification au call center et notification tardive. Leçon pour le Luxembourg: l’article 32 et le délai de 72 h (art. 33) s’appliquent aussi aux processus humains.

CNIL met à jour MR‑001/MR‑003 : mode d’emploi opérationnel (26/05)

La CNIL actualise MR‑001 et MR‑003 et publie des grilles de conformité. Effet immédiat pour les recherches en santé menées en France, avec impact pour des sponsors luxembourgeois impliquant des patients ou des sites français.

Données de santé: 5 M€ contre IQVIA — ce que l’article 9 RGPD impose

Le 26 mai 2026, la CNIL a sanctionné IQVIA (5 M€) pour des manquements liés à ses entrepôts de données de santé. L’affaire illustre l’interdiction de principe de l’article 9 RGPD et les conditions strictes de ses exceptions.

AIPD: modèle CEPD (avril 2026) et divergences CNPD/CNIL

Le CEPD propose un modèle européen d’AIPD en consultation (avril 2026). Mais CNPD et CNIL divergent encore sur les déclencheurs, avec en France une « liste non requise » qui n’existe pas au Luxembourg.

APD (BE) sanctionne SWDE: 86 000 € et rappel sur le contrat art. 28

La DPA belge sanctionne SWDE pour l’enregistrement et l’écoute d’appels: transparence, durée et contrat sous-traitant manquant. Un signal pour le Luxembourg: un DPA « article 28 » incomplet se paie cash.

Article 22 RGPD après SCHUFA vs guide ICO : où passe la ligne rouge ?

CJUE SCHUFA: un scoring déterminant peut constituer une décision automatisée (art. 22). L’ICO est plus souple avec une intervention humaine « significative ». Enjeux concrets pour chaînes LU‑UK.

France Travail sanctionnée: leçons clés de l’article 32 RGPD

Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour des failles d’authentification, de journalisation et d’habilitations. Au Luxembourg, l’article 32 RGPD impose des mesures de sécurité appropriées, prouvées et effectivement déployées.

Okta/SSO visés par vishing: FIDO2 contre le contournement MFA

En janvier 2026, des comptes Okta/Entra ont été compromis via vishing + proxy AiTM capturant OTP/push en temps réel. FIDO2/WebAuthn, résistant au phishing, répond aux exigences de l’article 32 RGPD.

CNPD 16/12/2025: registre RGPD article 30 insuffisant sanctionné

Le 16/12/2025, la CNPD a infligé 7 000 € pour un registre article 30 lacunaire. La décision précise les rubriques attendues (destinataires, transferts, catégories, délais, sécurité) et la méthode CEPD de calcul des amendes.