Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
80 articles trouves · #luxembourg
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.
EDPB actualise son digest Opposition & Effacement et lance un formulaire
Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.
Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)
L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.
Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC
Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.
DORA — Succursales de pays tiers: registre TIC à remettre d’ici le 30 juin
Dernière ligne droite DORA au Luxembourg: les succursales de banques de pays tiers doivent soumettre leur registre d’informations TIC à la CSSF au plus tard le 30 juin 2026. Voici comment s’y prendre cette semaine.
EDPB — Recherche scientifique : dernière chance pour commenter
Le CEPD clôt ce 25 juin 2026 sa consultation sur les Lignes directrices 1/2026 dédiées au traitement de données à des fins de recherche scientifique. Des clarifications majeures sur la base légale, le « broad consent » et l’art. 89 RGPD.
Team building stand-up paddle au lac de la Haute‑Sûre (Éislek)
Une journée de stand‑up paddle (SUP) au lac de la Haute‑Sûre renforce la cohésion : coordination des gestes, entraide et communication en continu dans un cadre apaisant, à 1 h de Luxembourg‑Ville.
Preuve et données perso: la Cour de cassation trace une ligne claire
Le 17 juin 2026, la Cour de cassation admet un rapport d’analyse fondé sur des données pseudonymisées comme moyen de preuve, si la démarche est nécessaire et strictement proportionnée. Cap sur vos enquêtes internes.
AI Act: signature du Code de pratiques – J‑41 avant vos mentions IA
Le 22 juin 2026, la Commission a présenté le Code de pratiques pour l’étiquetage des contenus IA. Les obligations de transparence (art. 50) s’appliquent dès le 2 août 2026, avec sanctions en cas de manquement.
Novo Nordisk refuse 25 M$ après un vol de 1,3 To
Le 16 juin 2026, FulcrumSec a revendiqué >1 To volés chez Novo Nordisk et une extorsion de 25 M$. L’entreprise, qui a confirmé un incident le 11 juin, enquête et n’a pas payé.
CNPD — Géolocalisation salariés: 2 mois par défaut, AIPD fréquente
La CNPD précise: conservation « 2 mois par défaut », interdiction de suivi hors temps de travail en cas d’usage privé, et AIPD dès qu’il y a contrôle régulier/systématique. Mesures à déployer sans délai.
Kodak hacké: ShinyHunters revendique 2,2 M d’enregistrements
Kodak confirme une intrusion tandis que ShinyHunters revendique 2,2 M d’enregistrements. Voici comment une DLP conforme au RGPD (art. 32 et 44‑49) réduit l’exfiltration et prépare les preuves.