Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
108 articles trouves · #rgpd
Skimmer SVG 1×1 Magecart sur Magento: DLP et conformité RGPD
Sansec révèle un skimmer carte caché dans un SVG 1×1 visant ~100 sites Magento, avec exfiltration vers 23.137.249.67. Voici comment une DLP bien réglée répond aux articles 32 et 44‑49 du RGPD.
Article 6 RGPD: l’amende Poste Italiane éclaire intérêt légitime vs consentement
Le Garante italien inflige 12,5 M€ à Poste Italiane/PostePay pour des accès intrusifs aux terminaux via apps, sans base légale valable. Message clé: ce qui dépasse le strict nécessaire requiert souvent un vrai consentement, pas l’intérêt légitime.
WFP Gaza: alerte pour vos portails d’inscription (600 000 foyers)
Le 2 juin 2026, le WFP a confirmé la compromission de son application d’auto‑inscription en Palestine: données de ~600 000 foyers à Gaza (noms, ID, mobiles, localisation) exfiltrées. Intrusion datée du 14 mai.
Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose
Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.
Vidéosurveillance au travail: l’affaire Hanako écarte le consentement
Le Garante italien (12/03/2026) a sanctionné Hanako s.r.l. pour vidéosurveillance en magasin sans information adéquate ni autorisation travail. Message européen: au travail, le consentement des salariés n’est pas une base légale de confort.
Dashlane : moins de 20 coffres copiés — leçons d’une attaque 2FA
Le 31 mai 2026, une campagne de force brute ciblant la 2FA a permis de copier des coffres-forts chiffrés de « moins de 20 » utilisateurs Dashlane. Voici l’impact pour vos contrôles IAM et vos obligations RGPD/NIS 2.
Conseil d’État 2026 — Health Data Hub: impact DLP et transferts UE
Le Conseil d’État (20/03/2026) valide l’autorisation CNIL du Health Data Hub chez Microsoft Ireland en France et confirme l’absence de transfert hors UE. Une DLP bien configurée permet de le prouver et de l’appliquer techniquement.
AEPD vs AENA: 10,043,002 € pour une AIPD déficiente (art. 35 RGPD)
Le 4 mars 2026, l’AEPD a sanctionné AENA de 10 043 002 € pour une AIPD non conforme sur un embarquement biométrique. Leçon clé: une AIPD «pro forma» équivaut à une absence d’AIPD.
Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB
Le 10/02/2026, la CJUE admet le recours direct des entreprises contre les décisions « contraignantes » de l’EDPB. La méthode de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité deviennent justiciables devant le juge de l’UE.
AEPD inflige 14,4 M€ à Amadeus pour profilage sans base légale
L’AEPD a sanctionné Amadeus IT Group à 14,4 M€ (18 M€ avant réduction) pour un projet pilote de profilage utilisant des données de réservation sans base légale et sans information des voyageurs. Décision rendue publique les 26–27 mai 2026.
Tycoon 2FA : attaque « device code » contre la MFA Microsoft
eSentire (12 mai 2026) détaille une campagne Tycoon 2FA qui abuse le flux OAuth Device Code pour voler des jetons sans mot de passe. Pourquoi une MFA FIDO2/WebAuthn s’impose pour répondre à l’article 32 RGPD.
CNPD encadre l’enregistrement des réunions: divergence avec la CNIL
Au 01/04/2026, la CNPD encadre l’audio des réunions: intérêt légitime strict et suppression dès approbation du PV. En France, la CNIL admet l’enregistrement d’appels à des fins probatoires mais interdit l’audio couplé aux caméras.