Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
65 articles trouves · #reglementaire
Partage intra‑groupe: intérêt légitime admis par la CNIL, « transfert » pour la CNPD
Au Luxembourg en 2026, l’intérêt légitime peut fonder un partage intra‑groupe pour l’administratif interne, mais la CNPD le qualifie de transfert entre responsables, avec transparence renforcée et, hors EEE, mécanisme du chapitre V.
Irlande — Permanent TSB sanctionnée: art. 32/33 RGPD au call center
Le DPC inflige 277 500 € à Permanent TSB pour failles d’authentification au call center et notification tardive. Leçon pour le Luxembourg: l’article 32 et le délai de 72 h (art. 33) s’appliquent aussi aux processus humains.
Données de santé: 5 M€ contre IQVIA — ce que l’article 9 RGPD impose
Le 26 mai 2026, la CNIL a sanctionné IQVIA (5 M€) pour des manquements liés à ses entrepôts de données de santé. L’affaire illustre l’interdiction de principe de l’article 9 RGPD et les conditions strictes de ses exceptions.
AIPD: modèle CEPD (avril 2026) et divergences CNPD/CNIL
Le CEPD propose un modèle européen d’AIPD en consultation (avril 2026). Mais CNPD et CNIL divergent encore sur les déclencheurs, avec en France une « liste non requise » qui n’existe pas au Luxembourg.
APD (BE) sanctionne SWDE: 86 000 € et rappel sur le contrat art. 28
La DPA belge sanctionne SWDE pour l’enregistrement et l’écoute d’appels: transparence, durée et contrat sous-traitant manquant. Un signal pour le Luxembourg: un DPA « article 28 » incomplet se paie cash.
Article 22 RGPD après SCHUFA vs guide ICO : où passe la ligne rouge ?
CJUE SCHUFA: un scoring déterminant peut constituer une décision automatisée (art. 22). L’ICO est plus souple avec une intervention humaine « significative ». Enjeux concrets pour chaînes LU‑UK.
France Travail sanctionnée: leçons clés de l’article 32 RGPD
Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour des failles d’authentification, de journalisation et d’habilitations. Au Luxembourg, l’article 32 RGPD impose des mesures de sécurité appropriées, prouvées et effectivement déployées.
CNPD 16/12/2025: registre RGPD article 30 insuffisant sanctionné
Le 16/12/2025, la CNPD a infligé 7 000 € pour un registre article 30 lacunaire. La décision précise les rubriques attendues (destinataires, transferts, catégories, délais, sécurité) et la méthode CEPD de calcul des amendes.
CNPD — Géolocalisation des véhicules: ce que les lignes 2023–2025 imposent
La CNPD a actualisé ses lignes directrices sur la géolocalisation des véhicules. Clés: intérêt légitime structuré, finalités étanches, désactivation hors temps privé, information double et AIPD.
Cookies analytics: exemption CNIL/CNPD, consentement ICO confirmé
Le 29 avril 2026, l’ICO confirme que les cookies analytics non essentiels exigent un consentement PECR. En France et au Luxembourg, la CNIL et la CNPD admettent des exemptions ciblées pour certaines mesures d’audience.
Criteo: le Conseil d’État confirme 40 M€ — le consentement prime en AdTech
Le 4 mars 2026, le Conseil d’État a confirmé l’amende de 40 M€ infligée à Criteo pour publicité personnalisée sans consentement valable. Message clé en AdTech: pour les traceurs de ciblage, la base légale est (presque toujours) le consentement.
CSSF: DORA prime et précise l’externalisation TIC (avril 2025)
La CSSF a acté la primauté de DORA dès le 17 janvier 2025 et publie la circulaire 25/882 pour encadrer l’usage de services TIC tiers, le registre d’informations (art. 28) et les notifications via eDesk.