Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
107 articles trouves · #rgpd
Charter/Spectrum : vishing, Entra, Salesforce — la MFA FIDO2 comme parade RGPD/NIS 2
ShinyHunters aurait vishé un employé de Charter/Spectrum, pris un compte Microsoft Entra et exfiltré des données Salesforce. Une MFA résistante au phishing (FIDO2/WebAuthn) répond à l’art. 32 RGPD et coupe l’accès initial.
Enregistrer réunions et appels: 250 000 € — cadrage CNPD 2026
Le 16/10/2025, la CNIL a sanctionné un centre d’appels de 250 000 € pour enregistrements mal encadrés. Depuis avril 2026, la CNPD publie un référentiel dédié aux enregistrements de réunions: base légale, information, durées, sécurité, AIPD.
EDPB actualise son digest Opposition & Effacement et lance un formulaire
Le 25 juin 2026, l’EDPB a mis à jour son digest OSS sur les droits d’opposition (art. 21) et d’effacement (art. 17) et, le 24 juin, a lancé un formulaire pour signaler des divergences d’interprétation du RGPD.
AIPD obligatoire: CNPD vs CNIL — géolocalisation, deux seuils
Au Luxembourg, la CNPD exige une AIPD pour tout suivi systématique de la localisation. En France, la CNIL ne l’impose qu’en cas de traitement de données de localisation à large échelle.
Démarchage: le Conseil constitutionnel coupe court au triple risque
Le 25 juin 2026, le Conseil constitutionnel a censuré la possibilité de poursuites parallèles CNIL/ARCOM/DGCCRF pour le même démarchage électronique (art. L.34‑5 CPCE). Abrogation au 31 octobre 2027, mais effet immédiat: plus de doubles procédures.
Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)
L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.
Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC
Le Garante inflige 55 000 € à l’AgID pour des manquements de transparence et de privacy‑by‑design lors du transfert d’adresses PEC de l’INI‑PEC vers l’INAD. Signal d’alerte pour les registres publics et la réutilisation de données.
Roumanie: 125 000 € contre Renault pour défauts de sécurité (art. 32 RGPD)
Le 25 mars 2026, l’ANSPDCP a sanctionné Renault Commercial Roumanie (~125 000 €) pour défauts à l’article 32 RGPD et gouvernance des sous-traitants. Une DLP moderne prouve des mesures « appropriées » et limite les transferts non maîtrisés.
Article 6 RGPD: leçon Intesa/Isybank sur intérêt légitime vs consentement
Le Garante a infligé 17,6 M€ à Intesa pour un transfert de ~2,4 M de clients vers Isybank sans base légale valable. Enseignement clé: l’intérêt légitime ne remplace ni un consentement valable ni la stricte nécessité contractuelle.
Clinical Diagnostics (NL) : exfiltration gynécologique — DLP alignée RGPD
Après la fuite massive de dossiers chez Clinical Diagnostics, une DLP moderne, alignée sur le RGPD (art. 32 et 44–49), réduit l’exfiltration et fournit les preuves attendues par les autorités.
CJUE SCHUFA vs ICO: l’article 22, interdiction ou droit ?
La CJUE a qualifié le credit scoring de décision individuelle automatisée au sens de l’article 22 RGPD. L’EDPB défend une interdiction de principe avec exceptions, quand l’ICO privilégie une approche par le « droit » à activer.
EDPB — Recherche scientifique : dernière chance pour commenter
Le CEPD clôt ce 25 juin 2026 sa consultation sur les Lignes directrices 1/2026 dédiées au traitement de données à des fins de recherche scientifique. Des clarifications majeures sur la base légale, le « broad consent » et l’art. 89 RGPD.