Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

41 articles trouves · #cnpd

CNPD encadre l’enregistrement des réunions: divergence avec la CNIL

Au 01/04/2026, la CNPD encadre l’audio des réunions: intérêt légitime strict et suppression dès approbation du PV. En France, la CNIL admet l’enregistrement d’appels à des fins probatoires mais interdit l’audio couplé aux caméras.

Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD

Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.

Irlande — Permanent TSB sanctionnée: art. 32/33 RGPD au call center

Le DPC inflige 277 500 € à Permanent TSB pour failles d’authentification au call center et notification tardive. Leçon pour le Luxembourg: l’article 32 et le délai de 72 h (art. 33) s’appliquent aussi aux processus humains.

AIPD: modèle CEPD (avril 2026) et divergences CNPD/CNIL

Le CEPD propose un modèle européen d’AIPD en consultation (avril 2026). Mais CNPD et CNIL divergent encore sur les déclencheurs, avec en France une « liste non requise » qui n’existe pas au Luxembourg.

APD (BE) sanctionne SWDE: 86 000 € et rappel sur le contrat art. 28

La DPA belge sanctionne SWDE pour l’enregistrement et l’écoute d’appels: transparence, durée et contrat sous-traitant manquant. Un signal pour le Luxembourg: un DPA « article 28 » incomplet se paie cash.

CNPD 16/12/2025: registre RGPD article 30 insuffisant sanctionné

Le 16/12/2025, la CNPD a infligé 7 000 € pour un registre article 30 lacunaire. La décision précise les rubriques attendues (destinataires, transferts, catégories, délais, sécurité) et la méthode CEPD de calcul des amendes.

CNPD — Géolocalisation des véhicules: ce que les lignes 2023–2025 imposent

La CNPD a actualisé ses lignes directrices sur la géolocalisation des véhicules. Clés: intérêt légitime structuré, finalités étanches, désactivation hors temps privé, information double et AIPD.

Cookies analytics: exemption CNIL/CNPD, consentement ICO confirmé

Le 29 avril 2026, l’ICO confirme que les cookies analytics non essentiels exigent un consentement PECR. En France et au Luxembourg, la CNIL et la CNPD admettent des exemptions ciblées pour certaines mesures d’audience.

DPO externe : 7 leçons après 200+ mandats au Luxembourg et en Europe

200+ mandats DPO externe dans tous les secteurs : les 7 constats récurrents qu'on fait à la reprise d'un mandat, et comment Luxgap remet les choses en ordre. Tarifs concrets, exemples sectoriels, ce qui change vraiment.

CJUE 19 mars 2026 (Brillen Rottler) : premier accès refusé pour abus

La CJUE admet qu’une première demande d’accès (art. 15 RGPD) puisse être refusée comme « excessive » en cas d’intention abusive prouvée (art. 12(5)). Le refus reste exceptionnel, motivé et dans les délais.

Amazon vs CNPD (12 mars 2026) : l’intérêt légitime ne suffit pas

La Cour administrative annule l’amende record de 746 M€ mais confirme que la publicité comportementale ne peut pas reposer sur l’intérêt légitime. Conséquences 2026 pour vos bases légales et la caractérisation de la faute.

AIPD (art. 35 RGPD) au Luxembourg: déclenchement et réussite

Quand l’AIPD est-elle obligatoire au Luxembourg et comment la mener à bien ? Cadre RGPD, liste CNPD, méthode EDPB, consultation préalable (art. 36) et bonnes pratiques.