Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
107 articles trouves · #rgpd
Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices
L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.
Droits RGPD en entreprise: seule la personne peut agir (Cass. crim., 13 janv. 2026)
La Cour de cassation juge qu’une entreprise ne peut pas invoquer les droits RGPD de ses salariés pour contester une saisie: seuls les intéressés peuvent agir. Enjeu clé pour vos procédures d’accès et de réponse DPO.
Italie: 100 000 € contre Lepida pour défauts sur LepidaID
Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.
Vidéosurveillance au travail: l’amende CNIL du 2 avril 2026
Le 02/04/2026, la CNIL a infligé 7 500 € pour manquements en vidéosurveillance. Au Luxembourg, la CNPD impose aussi proportionnalité, AIPD fréquente et information à deux niveaux.
Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica
Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.
RGPD: une première demande d’accès peut être refusée pour abus (CJUE 19/03/2026)
La CJUE (C‑526/24) admet qu’une première demande d’accès RGPD peut être refusée pour abus au titre de l’article 12(5). Clé pratique: documenter l’intention abusive et un test de proportionnalité en deux branches.
RGPD: pas de préjudice automatique — la Cour de cassation resserre l’article 82
Le 24 juin 2026, la Cour de cassation juge qu’une violation du RGPD n’ouvre pas, à elle seule, droit à indemnisation: le demandeur doit prouver un dommage et un lien de causalité. Signal fort pour les contentieux data en Europe.
CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
AEPD vs AENA: 10,04 M€ pour une AIPD défaillante en biométrie
Le 20 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une AIPD non conforme liée à l’embarquement biométrique. Signal fort: l’AIPD doit désormais être complète, probante et traçable.
UniCredit Roumanie: 12 000 € d’amende RGPD — éviter l’envoi erroné
Le 29 mai 2026, l’ANSPDCP a sanctionné UniCredit Bank SA pour défaut de sécurité (art. 32) et notification tardive (art. 33) après des envois à de mauvais destinataires. Voici la DLP concrète qui évite cela et prouve la conformité.
Intérêt légitime vs consentement: CNPD/EDPB durcissent, ICO plus souple
La Cour administrative a confirmé l’analyse de la CNPD dans l’affaire Amazon: l’intérêt légitime n’était pas justifié. Pendant que l’EDPB resserre l’article 6(1)(f), l’ICO le présente comme la base la plus flexible.
ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations
Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.