Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
35 articles trouves · #actualite
Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices
L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.
Italie: 100 000 € contre Lepida pour défauts sur LepidaID
Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.
Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica
Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.
RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82
Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.
CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
AI Act J-31: transparence obligatoire le 2 août, marquage au 2 décembre
Le Conseil de l’UE confirme l’application des obligations de transparence de l’AI Act au 2 août 2026, avec un délai jusqu’au 2 décembre 2026 pour le marquage machine‑lisible des contenus IA.
NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR
Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.
EDPB actualise son digest Opposition & Effacement et lance un formulaire
Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.
Démarchage: le Conseil constitutionnel coupe court au triple risque
Le 25 juin 2026, le Conseil constitutionnel a censuré la possibilité de poursuites parallèles CNIL/ARCOM/DGCCRF pour le même démarchage électronique (art. L.34‑5 CPCE). Abrogation au 31 octobre 2027, mais effet immédiat: plus de doubles procédures.
Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC
Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.
DORA — Succursales de pays tiers: registre TIC à remettre d’ici le 30 juin
Dernière ligne droite DORA au Luxembourg: les succursales de banques de pays tiers doivent soumettre leur registre d’informations TIC à la CSSF au plus tard le 30 juin 2026. Voici comment s’y prendre cette semaine.