Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
107 articles trouves · #rgpd
AEPD sanctionne Yoti: 950 000 € — AIPD automatisée incontournable
Le 10 mars 2026, l’AEPD a infligé 950 000 € à Yoti pour biométrie illicite, consentement invalide et conservation excessive. Une AIPD outillée et automatisée devient clé pour réduire le risque et prouver la conformité RGPD.
Obligation d’information (art. 14 RGPD) : exception légale précisée en 2026
La Cour de cassation (29 janv. 2026) confirme l’exception de l’article 14(5)(c) RGPD quand une loi prévoit la communication et encadre des garanties appropriées. Enseignement utile pour les flux fiscaux/social et certains partages B2G au Luxembourg.
Preuve et données perso: la Cour de cassation trace une ligne claire
Le 17 juin 2026, la Cour de cassation admet un rapport d’analyse fondé sur des données pseudonymisées comme moyen de preuve, si la démarche est nécessaire et strictement proportionnée. Cap sur vos enquêtes internes.
Outsider Enterprise démantelé: urgence MFA FIDO2 anti‑phishing
FBI, Google et Black Lotus Labs ont démantelé « Outsider Enterprise », un PhaaS lié à >1 M d’URLs et ≈1,9 Md $ de pertes. Pourquoi la MFA FIDO2/WebAuthn devient la mesure « appropriée » au sens de l’article 32 du RGPD.
Boîte mail ex-salarié: 176 000 € et un intérêt légitime bref
APD (décision 101/2026): garder active la messagerie d’un ex-salarié plus d’un an est illicite. L’intérêt légitime ne couvre qu’une redirection très courte (≈ 1 mois), avec transparence, LIA et procédures d’offboarding.
IQVIA sanctionnée 5 M€: pseudonymisation ≠ anonymisation
La CNIL inflige 5 M€ à IQVIA pour des manquements liés à deux entrepôts de données de santé. Enseignement clé: des données pseudonymisées demeurent personnelles et le RGPD s’applique pleinement.
Article 28 RGPD: l’APD sanctionne la SWDE — votre DPA doit être béton
Le 12 mai 2026, l’APD a infligé 86 000 € à la SWDE, dont 1 000 € pour absence de DPA conforme à l’article 28 RGPD. Enseignement clé: sans DPA complet, chaque traitement externalisé met le responsable en défaut.
Novo Nordisk refuse 25 M$ après un vol de 1,3 To
Le 16 juin 2026, FulcrumSec a revendiqué >1 To volés chez Novo Nordisk et une extorsion de 25 M$. L’entreprise, qui a confirmé un incident le 11 juin, enquête et n’a pas payé.
FortiBleed: 73 932 pare-feux Fortinet exposés — FIDO2 obligatoire
FortiBleed a exposé ~74 000 pare-feux/VPN Fortinet via des identifiants volés et réutilisés. Une MFA résistante au phishing (FIDO2/WebAuthn) répond à l’article 32 du RGPD et coupe l’accès initial.
CNPD — Géolocalisation salariés: 2 mois par défaut, AIPD fréquente
La CNPD précise: conservation « 2 mois par défaut », interdiction de suivi hors temps de travail en cas d’usage privé, et AIPD dès qu’il y a contrôle régulier/systématique. Mesures à déployer sans délai.
Kodak hacké: ShinyHunters revendique 2,2 M d’enregistrements
Kodak confirme une intrusion tandis que ShinyHunters revendique 2,2 M d’enregistrements. Voici comment une DLP conforme au RGPD (art. 32 et 44‑49) réduit l’exfiltration et prépare les preuves.
France Travail sanctionné 5 M€: l’article 32 RGPD sous contrôle
La CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD: des mesures de sécurité prévues dans l’AIPD mais non déployées. Un signal clair pour le Luxembourg.