Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

41 articles trouves · #cnpd

Article 28 RGPD: quand un prestataire est sous-traitant (AEPD SEUR/Citibox)

Le 8 juin 2026, l’AEPD a sanctionné SEUR et Citibox pour absence de contrat de sous-traitance conforme à l’article 28 RGPD dans un schéma « transporteur + casiers ». Le libellé contractuel ne suffit pas: la réalité des traitements prime.

RGPD: clôture de plainte et absence de recours art. 78 si non concerné

Le Conseil d’État (20 mai 2026) juge qu’une clôture de plainte par la CNIL n’est pas une « décision juridiquement contraignante » ouvrant un recours art. 78 RGPD si le plaignant n’est pas concrètement affecté.

Free Mobile/Free sanctionnées 42 M€: leçons pour vos 72 h RGPD

CNIL sanctionne Free Mobile (27 M€) et Free (15 M€) après une violation touchant 24 M de contrats. Priorités: sécurité (art. 32), contenu des notifications à l’autorité (art. 33) et des communications aux personnes (art. 34).

CNPD vs CNIL: vidéosurveillance au travail, 8 jours LU, 30 jours FR

La CNPD fixe « en principe jusqu’à 8 jours » de conservation des images, quand la CNIL admet en pratique jusqu’à un mois. Les entités au Luxembourg doivent ajuster leurs pratiques et leurs registres.

72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg

Le 25 mai 2026, l’UODO a sanctionné le maire de Myślenice pour non‑notification d’une violation de données sous 72 h (art. 33 RGPD). Un rappel utile de ce que la CNPD attend au Luxembourg.

CJUE (19 mars 2026): un accès peut être refusé s’il est abusif

La CJUE admet qu’une demande d’accès peut être rejetée comme « abusive » si elle vise uniquement une indemnisation RGPD. Signal fort pour des refus motivés, la charge de la preuve et le respect des délais.

Droit d’accès vs purge: l’APD recadre un recruteur (37/2026)

Le 24 février 2026, l’APD belge avertit une entreprise pour avoir effacé une vidéo d’entretien après une demande d’accès. En pratique: la purge doit être suspendue jusqu’au traitement du droit d’accès (art. 12 et 15 RGPD).

Amazon c. CNPD (12 mars 2026) : l’intérêt légitime écarté en AdTech

La Cour administrative luxembourgeoise confirme que la publicité comportementale d’Amazon ne pouvait pas reposer sur l’intérêt légitime et annule l’amende au regard de l’exigence de faute dégagée par la CJUE.

Transferts vers les États-Unis: CNPD acte le DPF, l’EDPB reste réservé

La CNPD confirme des transferts « libres » vers des entités US certifiées DPF (art. 45 RGPD), tandis que l’EDPB maintient des réserves et appelle à une vigilance continue.

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

AEPD vs AENA: 10,043,002 € pour une AIPD déficiente (art. 35 RGPD)

Le 4 mars 2026, l’AEPD a sanctionné AENA de 10 043 002 € pour une AIPD non conforme sur un embarquement biométrique. Leçon clé: une AIPD «pro forma» équivaut à une absence d’AIPD.

Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.