DSG Retail v ICO élargit le devoir de sécurité: une DLP sérieuse

Excerpt. Le 19 février 2026, la Cour d’appel d’Angleterre et du Pays de Galles (DSG Retail v ICO, [2026] EWCA Civ 140) a confirmé une lecture large du devoir de sécurité: il faut protéger contre l’« identification par recoupement ». Voici comment une DLP alignée ISO 27001 répond concrètement à l’article 32 RGPD. Source; actualité. ([judiciary.uk](https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf?utm_source=openai))([computerweekly.com](https://www.computerweekly.com/news/366639299/ICO-wins-appeal-over-data-protection-obligations-in-Currys-cyber-attack?utm_source=openai))

Les faits

Qui, quoi, quand. Le 19 février 2026, la Cour d’appel britannique a donné raison au régulateur (ICO) contre DSG Retail (maison-mère de plusieurs enseignes d’électronique), à propos d’une cyberattaque de 2018. L’arrêt [2026] EWCA Civ 140 rétablit une interprétation exigeante du devoir de sécurité: même si l’attaquant ne peut pas identifier immédiatement les personnes, le responsable doit anticiper le risque d’« identification en puzzle » (jigsaw identification) par recoupement avec d’autres sources. La Cour souligne au passage des manquements techniques classiques relevés par l’ICO (segmentation, correctifs, pare-feu, tests réguliers). Notice officielle et presse spécialisée. ([judiciary.uk](https://www.judiciary.uk/judgments/dsg-retail-limited-v-the-information-commissioner/?utm_source=openai))([computerweekly.com](https://www.computerweekly.com/news/366639299/ICO-wins-appeal-over-data-protection-obligations-in-Currys-cyber-attack?utm_source=openai))

Pourquoi c’est important ici. Même si la décision relève du droit britannique, elle s’aligne sur la logique européenne: la sécurité découle de la relation responsable–personne concernée, non du niveau d’identification atteint par un tiers. Pour des directions au Luxembourg, en Belgique, en France et en Allemagne, le message opérationnel est clair: prévenir l’exfiltration et surveiller les sorties de données devient une attente de conformité mesurable, pas un « nice to have ». Analyse. ([thelawyer.com](https://www.thelawyer.com/briefing/court-confirms-broad-data-security-duty-controllers-must-protect-against-third-party-jigsaw-identification/?utm_source=openai)) Pour cadrer vos contrôles avec l’article 32 RGPD, la DLP devient un levier clé.

Le cadre légal qui s’applique

RGPD — Article 32 (sécurité du traitement). Le responsable et le sous‑traitant mettent en œuvre des mesures techniques et organisationnelles appropriées, tenant compte de l’état de l’art, du coût et du risque, dont — selon le besoin — chiffrement, disponibilité/résilience, restauration et tests réguliers. Texte officiel: EUR‑Lex. ([eur-lex.europa.eu](https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=EN&utm_source=openai))

Conséquence de l’arrêt DSG Retail pour l’interprétation: dans l’évaluation de risque (art. 32 §2), il faut intégrer le scénario de ré‑identification indirecte par agrégation (fuite de fragments, métadonnées, logs d’accès, fichiers exportés), et démontrer des contrôles de sortie efficaces. En pratique: politiques explicites, traçabilité, et capacités de prévention d’exfiltration (blocage/alerte) cohérentes avec l’« état de l’art » et auditées. Arrêt. ([judiciary.uk](https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf?utm_source=openai))

La solution technique à déployer

DLP (Data Loss/Leak Prevention) de bout en bout. La DLP vise à empêcher, détecter et justifier les mouvements non autorisés de données. Elle s’applique aux postes, au réseau, au cloud et à l’email. Concrètement:

• Découverte et classification des données (modèles, dictionnaires, EDM/fingerprint) pour savoir quoi protéger.
• Politiques de contenu et de contexte (règles par type de donnée, par canal: e‑mail, web, SaaS, USB, impression), avec quarantaine, chiffrement automatique ou blocage.
• Surveillance des canaux sortants (endpoint, passerelle e‑mail/web, API CASB) et contrôles de transfert vers cloud publics, partage de liens, dépôts Git, messageries.
• Télémétrie et forensics pour prouver « qui a tenté quoi, quand, avec quelles données », et nourrir SIEM/XDR.

Alignements de référence: ISO/IEC 27001:2022 Annexe A.8.12 — Data leakage prevention; ISO/IEC 27002:2022 8.12 (guidage); NIST CSF 2.0 (PR.DS); CIS Controls v8 (Contrôle 3 « Data Protection »). Réfs: ISO 27002 8.12, mappage 2017→2022. ([isms.online](https://www.isms.online/iso-27002/control-8-12-data-leakage-prevention/?utm_source=openai))([nqa.com](https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/NQA-ISO-27002-Mapping.pdf?utm_source=openai))

Pourquoi la DLP répond à DSG Retail + art. 32. L’arrêt consacre l’obligation de se prémunir contre l’assemblage de bribes divulguées. Une DLP bien réglée réduit la surface d’exfiltration (fichiers CSV, exports CRM, captures d’écran, pièces jointes) et documente les tentatives bloquées — éléments clés pour démontrer des « mesures appropriées » au regard du risque. Arrêt. ([judiciary.uk](https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf?utm_source=openai))

Comment Luxgap déploie cela

• Notre gouvernance ISO 27001. Cadrage par politiques « Protection des données » et « Sorties de données », analyse de risque (processus, canaux, typologies de données), choix des contrôles (A.8.12, A.8.24 chiffrement) et critères d’« efficacité » (taux de blocage justifié, faux positifs, couverture des canaux). Audit interne et revues trimestrielles. Pour accélérer la mise en conformité, notre équipe accompagne la certification ISO 27001.
• Notre SOC managed 24/7. Intégration des événements DLP (endpoint, passerelles, CASB) au SIEM, corrélation avec IAM/EDR, alertes sur envois massifs, exfil chiffrée suspecte, partages publics. Playbooks de réponse: mise en quarantaine de l’hôte, révocation de tokens SaaS, accompagnement notification RGPD si nécessaire. Découvrez notre SOC managé.
• Nos consultants DPO et CISO externalisés. Articulation juridique-technique: registre des flux, bases légales de transferts, clauses contractuelles, et preuve de proportionnalité art. 32 (rapports d’efficacité, exceptions motivées, tests réguliers).

Cas concret au Luxembourg ou en UE

Une entreprise de services financiers soumise à NIS 2 et à la CSSF a déployé en 6 semaines une pile DLP « hybride »: agent poste (Windows/macOS), passerelle e‑mail avec inspection DLP, et CASB API pour M365/SharePoint. Résultats mesurés au comité: baisse de 72 % des envois externes contenant des IBAN non chiffrés; blocage automatique des exports massifs des CRM; journalisation corrélée dans le SIEM. La direction a pu documenter son niveau de sécurité art. 32, en couvrant explicitement le risque de ré‑identification par recoupement (copies locales, exports, liens publics).

Premiers pas concrets

1. Cartographiez 5 types de données sensibles (clients, santé, RH, paiements, propriété intellectuelle) et les canaux de sortie réels (e‑mail, SaaS, USB, web, dépôts Git, messageries).
2. Établissez 10 règles DLP « minimales » (ex. IBAN + nom → chiffrer ou bloquer vers l’externe; exports > 1 000 lignes → alerte + approbation).
3. Activez la journalisation et l’export SIEM des événements DLP et des logs SaaS pour pouvoir prouver l’efficacité (art. 32 §1 d)).
4. Testez « jigsaw » 1 fois/mois: tentez une ré‑identification à partir d’exports partiels et de métadonnées; ajustez les règles.
5. Formez les équipes métiers (ventes, RH, finance) sur les indicateurs DLP, les exceptions documentées et les alternatives sécurisées (coffre, chiffrage, liens restreints).

Sources officielles

• Cour d’appel (UK), DSG Retail v ICO, [2026] EWCA Civ 140 (19/02/2026). ([judiciary.uk](https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf?utm_source=openai))
• Computer Weekly — ICO wins appeal over data protection obligations in Currys cyber attack. ([computerweekly.com](https://www.computerweekly.com/news/366639299/ICO-wins-appeal-over-data-protection-obligations-in-Currys-cyber-attack?utm_source=openai))
• RGPD — Article 32 (EUR‑Lex, texte officiel). ([eur-lex.europa.eu](https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=EN&utm_source=openai))
• ISO/IEC 27002:2022 — Contrôle 8.12 « Data leakage prevention » (synthèse). ([isms.online](https://www.isms.online/iso-27002/control-8-12-data-leakage-prevention/?utm_source=openai))
• NQA — Mapping ISO 27002:2017 → 2022 (création du contrôle 8.12). ([nqa.com](https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/NQA-ISO-27002-Mapping.pdf?utm_source=openai))