Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
11 articles trouves · #rgpd
CNPD — Vidéosurveillance au travail: proportionnalité, AIPD et droits
Installer des caméras au travail reste possible au Luxembourg, mais sous conditions strictes: base légale, proportionnalité, AIPD fréquente, information L.261‑1 et respect des droits. Documentez tout, caméra par caméra.
RGPD – Article 28: le contrat sous-traitant sans angle mort
En 2026, chaque DPO/CISO doit savoir blinder ses contrats de sous-traitance. Clauses obligatoires, doctrine EDPB/CNPD et mode opératoire d’audit pour un article 28 sans angle mort.
MFA phishing‑resistant (FIDO2/WebAuthn) : réponse à l’article 32 RGPD
L’article 32 RGPD impose des mesures « état de l’art ». La MFA phishing‑resistant FIDO2/WebAuthn est aujourd’hui l’option la plus robuste et pragmatique pour y répondre sans complexité inutile.
NIS 2 au Luxembourg: loi du 5 mai 2026 publiée, que faire avant le 10 mai
La loi luxembourgeoise transposant NIS 2 est publiée (5 mai 2026) et entre en vigueur le 10 mai. Périmètre élargi, gouvernance renforcée, notification d’incident sous 24 h/72 h à l’ILR via SERIMA. Actions prioritaires et sources officielles.
AI Act – Article 50: transparence pour chatbots et deepfakes d’ici 2026
Dès le 2 août 2026, toute interaction IA, tout contenu synthétique et tout système de reconnaissance d’émotions/catégorisation biométrique devront être signalés. Amendes jusqu’à 15 M€ ou 3% du CA mondial.
RGPD art. 33: notifier une violation à la CNPD en 72 h, sans paniquer
Méthode opérationnelle, fondée sur les textes officiels et la position de la CNPD, pour décider, notifier et documenter correctement une violation de données en 72 heures.
Transferts UE‑USA après Schrems II et DPF: attentes CNPD 2026
Sécurisez vos flux transatlantiques sans sur‑conformité: le DPF facilite les transferts vers les entités US certifiées, mais l’art. 46 et les mesures supplémentaires restent clés hors DPF. Gouvernance fournisseurs et documentation AIPD en priorité.
CNPD: enregistrer des réunions et conversations pro en conformité RGPD
En 2026, la CNPD encadre l’enregistrement audio/vidéo des réunions privées. Base légale, information et durée de conservation sont clés; les enregistrements doivent souvent être supprimés à l’approbation du PV.
CNIL valide un code de conduite RGPD pour le commerce de détail
La CNIL a approuvé le 28 avril 2026 un code de conduite RGPD pour les enseignes d’habillement/chaussure en France. Signal fort pour les retailers, avec exigences auditables et contrôle tiers.
Qilin revendique une cyberattaque contre Exclusive Networks
Le groupe ransomware Qilin affirme avoir compromis Exclusive Networks, grand distributeur européen de cybersécurité. Revendication fin avril 2026; risque de chaîne d’approvisionnement pour des clients au Luxembourg.
Ransomware chez ChipSoft: alerte pour les soins transfrontaliers
Le fournisseur néerlandais de dossiers patients ChipSoft a confirmé le 29 avril que les données volées lors d’une cyberattaque début avril auraient été « détruites ». Les hôpitaux et assureurs frontaliers doivent agir dès cette semaine.
