Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

108 articles trouves · #rgpd

Skimmer SVG 1×1 Magecart sur Magento: DLP et conformité RGPD

Sansec révèle un skimmer carte caché dans un SVG 1×1 visant ~100 sites Magento, avec exfiltration vers 23.137.249.67. Voici comment une DLP bien réglée répond aux articles 32 et 44‑49 du RGPD.

Article 6 RGPD: l’amende Poste Italiane éclaire intérêt légitime vs consentement

Le Garante italien inflige 12,5 M€ à Poste Italiane/PostePay pour des accès intrusifs aux terminaux via apps, sans base légale valable. Message clé: ce qui dépasse le strict nécessaire requiert souvent un vrai consentement, pas l’intérêt légitime.

WFP Gaza: alerte pour vos portails d’inscription (600 000 foyers)

Le 2 juin 2026, le WFP a confirmé la compromission de son application d’auto‑inscription en Palestine: données de ~600 000 foyers à Gaza (noms, ID, mobiles, localisation) exfiltrées. Intrusion datée du 14 mai.

Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose

Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.

Vidéosurveillance au travail: l’affaire Hanako écarte le consentement

Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.

Dashlane : moins de 20 coffres copiés — leçons d’une attaque 2FA

Le 31 mai 2026, une campagne de force brute ciblant la 2FA a permis de copier des coffres-forts chiffrés de « moins de 20 » utilisateurs Dashlane. Voici l’impact pour vos contrôles IAM et vos obligations RGPD/NIS 2.

Conseil d’État 2026 — Health Data Hub: impact DLP et transferts UE

Le Conseil d’État (20/03/2026) valide l’autorisation CNIL du Health Data Hub chez Microsoft Ireland en France et confirme l’absence de transfert hors UE. Une DLP bien configurée permet de le prouver et de l’appliquer techniquement.

AEPD vs AENA: 10,043,002 € pour une AIPD déficiente (art. 35 RGPD)

Le 4 mars 2026, l’AEPD a sanctionné AENA de 10 043 002 € pour une AIPD non conforme sur un embarquement biométrique. Leçon clé: une AIPD «pro forma» équivaut à une absence d’AIPD.

Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.

AEPD inflige 14,4 M€ à Amadeus pour profilage sans base légale

L’AEPD a sanctionné Amadeus IT Group à 14,4 M€ (18 M€ avant réduction) pour un projet pilote de profilage utilisant des données de réservation sans base légale et sans information des voyageurs. Décision rendue publique les 26–27 mai 2026.

Tycoon 2FA : attaque « device code » contre la MFA Microsoft

eSentire (12 mai 2026) détaille une campagne Tycoon 2FA qui abuse le flux OAuth Device Code pour voler des jetons sans mot de passe. Pourquoi une MFA FIDO2/WebAuthn s’impose pour répondre à l’article 32 RGPD.

CNPD encadre l’enregistrement des réunions: divergence avec la CNIL

Au 01/04/2026, la CNPD encadre l’audio des réunions: intérêt légitime strict et suppression dès approbation du PV. En France, la CNIL admet l’enregistrement d’appels à des fins probatoires mais interdit l’audio couplé aux caméras.