ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Voici les amendes les plus élevées du RGPD en janvier 2025

Les amendes les plus élevées en janvier 2025 ont été infligées en Espagne.
Catégories :

L'année 2025 commence immédiatement par des semaines espagnoles : Aucune autorité de protection des données de l'UE n'a émis autant d'amendes élevées en janvier 2025 que l'Agencia Española de Protección de Datos (AEPD). Pas moins de deux amendes élevées ont été infligées pour l'utilisation de systèmes de reconnaissance faciale biométriques. Une nouvelle tendance ? Le géant de la téléphonie mobile Vodafone est également de retour. Le groupe semble incapable de maîtriser les manquements de certains de ses collaborateurs.

Generali España : 4 millions d'euros (Espagne)

L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a un Procédure d'amende contre Generali España, Sociedad Anónima de Seguros y Reaseguros a ouvert ses portes le 5 octobre 2022. Incident de sécurité a été constaté. L'incident concernait un Attaque par force brute sur le système de gestion des données clients de Generali. L'utilisation abusive des données d'accès d'un courtier en assurances a permis à des personnes non autorisées d'accéder aux données personnelles de clients et d'anciens clients. Ce n'est que le 11 novembre 2022 que l'on a appris qu'une Base de données d'ex-clients à vendre sur un forum Telegram a été proposée. Les données concernées étaient celles de plus de 1,6 million de personnes concernés. Les données en question étaient les suivantes Noms, adresses, numéros de téléphone, dates de naissance, numéros de carte d'identité (DNI) et numéros de compte IBAN.

Generali a informé les personnes concernées entre le 15 et le 28 novembre 2022 par courrier électronique ou postal sur l'incident. Pour les personnes concernées dont les coordonnées n'étaient pas disponibles, une avis public sur le site web a été publiée. Au cours de l'enquête, il est apparu que Generali pas de mesures techniques et organisationnelles suffisantes pour protéger les données. Il manquait notamment une Évaluation des risques ainsi qu'une Analyse d'impact sur la protection des données pour les applications concernées. En outre, les courtiers en assurance avaient continuer à avoir accès aux données des anciens clientsCe qui est contraire au principe de la protection des données Minimisation des données n'est pas respectée. Il manquait également des protocoles de Traçabilité des accès sur les données concernées.

Selon l'AEPD, Generali a enfreint plusieurs articles du RGPD :

  • Article 5, paragraphe 1, point f du RGPD: violation du Principe de confidentialité par l'accès non autorisé à des données à caractère personnel.
  • Article 25 du RGPD: Absence de Mesures de protection des données dès la conception (Privacy by Design).
  • Article 32 du RGPD: Mesures de sécurité insuffisantes pour prévenir les violations de la protection des données.
  • Article 35 du RGPD: Absence d'analyse d'impact sur la protection des données pour les traitements de données présentant des risques particuliers.


En raison de la gravité des infractions, une amende totale de 4 millions d'euros a été fixée.

Source : Amende infligée par la Agencia Española de Protección de Datos contre Generali España, Sociedad Anónima de Seguros y Reaseguros

Sambla Group Oy : 950 000 euros (Finlande)

Le site Autorité finlandaise de protection des données Tietosuojavaltuutetun toimisto a fait contre Sambla Group Oy un Procédure d'amende a été lancée après que le 23 décembre 2022 un Plainte a été déposée. La plainte concernait l'insuffisance Sécurité des données sur les plateformes de courtage en crédit en ligne lainaparkki.fi et rahoitu.fi.

Il a été constaté que les les données personnelles des candidats au crédit étaient accessibles via des liens URL individuels mais non sécurisés. Ces liens étaient faciles à deviner, ce qui permettait à des tiers connaissant la structure de se rendre sur données personnelles sensibles ont pu y accéder.

Sur le site 25 mars 2024 l'autorité de protection des données a imposé une ordonnance provisoireL'autorité de surveillance des marchés financiers a interdit à Sambla Group Oy de divulguer des informations personnelles sur les demandeurs de crédit via des liens URL non sécurisés. L'autorité a constaté que ces formulaires de crédit contenaient des éléments suivants informations sensibles telles que le nom complet, la date de naissance, le numéro personnel, l'adresse électronique, le numéro de téléphone, l'adresse, le revenu, la situation professionnelle et les informations relatives au crédit. Il a été documenté que des dizaines de milliers d'accès non autorisés à ces données ont eu lieu, en partie grâce à l'automatisation Attaques par force brute ou par Indexation par les moteurs de recherche comme Google.

L'autorité de protection des données a évalué le comportement de Sambla Group Oy comme étant Violation de plusieurs articles du RGPD, en particulier :

  • Article 5.1(f) du RGPD: violation du Principe de confidentialité et d'intégrité.
  • Article 25 du RGPD: Absence de Mesures de protection des données dès la conception (Privacy by Design).
  • Article 32 du RGPD: Mesures de sécurité insuffisantes pour prévenir les violations de la protection des données.


Bien que l'entreprise ait pris des mesures a posteriori comme la Désactivation des liens non sécurisésqui Introduction de l'authentification à deux facteurs et les Réduction de la durée de validité des liens URL, l'Autorité a évalué ces mesures comme trop tardif et insuffisant. La violation de la protection des données concernait une grand nombre de personnes et Sambla Group Oy aurait réagir plus tôt.

Conseil de lecture : Les amendes les plus élevées en décembre 2024

L'amende a été fixée par l'autorité de protection des données à 950 000 euros a été fixée. La motivation de la peine s'appuyait sur la Gravité de l'infractionqui Durée du problème (sur plusieurs années) et les manque d'initiative personnelle de l'entreprise pour remédier aux problèmes de protection des données.

Source : Amende infligée par la Tietosuojavaltuutetun toimisto a fait contre Sambla Group Oy

Cartonajes Bañeres, S.A. : 220 000 euros (Espagne)

L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a un Procédure d'amende contre Cartonajes Bañeres, S.A. après qu'un ancien employé a été arrêté le 11 octobre 2022 un Plainte avait été déposée. La plainte portait sur l'utilisation d'un système de reconnaissance biométrique pour la saisie du temps de travail, où Scanner les visages des employés ont été faites. Le salarié avait des inquiétudes concernant Stockage des données biométriques s'est exprimé à ce sujet. Il a également demandé le 29 août 2022, l'accès à ses données à caractère personnelmais a reçu de la société pas de réponse appropriée.

Au cours de l'enquête, il s'est avéré que Cartonajes Bañeres était un Système de reconnaissance faciale pour le Feuille de temps a été utilisé. La société a nié que Prises de vue du visage ont été enregistrées. Il a toutefois déclaré que un algorithme détecte certaines caractéristiques du visage et de les utiliser comme hash biométrique stocke les données. Ce Valeurs de hachage ont ensuite été comparées à une base de données afin d'identifier l'employé. Selon l'AEPD, cette technologie représente une traitement hautement sensible des données biométriques est.

En outre, il a été déterminé que la demande d'information de l'ancien employé n'a pas été traitée correctement. Bien que la société ait affirmé qu'une réponse par Fax mais l'adresse n'était pas la bonne. incorrect, et le demandeur n'a pas reçu d'informations complètes sur les données biométriques enregistrées.

L'AEPD a constaté que Cartonajes Bañeres avait violé plusieurs Articles du RGPD n'a pas respecté la loi :

  • Article 35 du RGPD: Les l'analyse d'impact requise en matière de protection des données pour l'utilisation de données biométriques n'a pas été réalisée.
  • Article 12 du RGPD: Le Demande d'accès de l'employé n'a pas été traité correctement, ce qui constitue une violation de la Droits des personnes concernées représente.

L'AEPD a donc imposé une amende d'un montant de 220 000 euros contre Cartonajes Bañeres, divisé en :

  • 200 000 euros pour le Violation de l'article 35 du RGPD (pas d'analyse d'impact sur la protection des données).
  • 20 000 euros pour le Violation de l'article 12 du RGPD (réponse insuffisante à la demande d'accès aux données).

Source : Amende infligée par la Agencia Española de Protección de Datos (Agence espagnole de protection des données) contre Cartonajes Bañeres, S.A.

Club Atlético Osasuna : 200 000 euros (Espagne)

Le site Agencia Española de Protección de Datos (AEPD) a Procédure d'amende contre le Club Atlético Osasuna a été lancée après que le 22 novembre 2022 un Plainte avait été reçue. La plainte était dirigée contre l'introduction d'un système de reconnaissance faciale biométrique (SBRF) pour le contrôle d'accès au stade El Sadarqui se trouve dans le Avril 2022 a été introduit. Selon la plainte, le système limitait Droits et libertés fondamentaux des spectateurs du stade de manière disproportionnée, même s'il y avait un consentement à l'utilisation.

Lors de la Enquête par l'AEPD, il s'est avéré que le système, en collaboration avec La Liga ainsi que les entreprises technologiques DAS-GATE et VERIDAS a été développé. Il devait faciliter l'accès au stade pour les abonnés grâce à la reconnaissance faciale, mais est resté une option facultativeLa carte d'adhérent a été remplacée par une carte d'accès numérique, qui permettait de continuer à utiliser la carte d'adhérent physique ou un accès numérique par smartphone.

De plus, il a été établi qu'Osasuna avait une Analyse d'impact sur la protection des données pour faire connaître les Base juridique pour le traitement des données biométriques de légitimer le système. Le club a fait valoir que le système sur une base volontaire et que les personnes concernées ont une consentement explicite au traitement de leurs données biométriques. De plus, le système est sûr, car il n'y a pas d'images, mais uniquement des données mathématiques. vecteurs biométriques seraient enregistrées.

L'AEPD a constaté que les Nécessité et proportionnalité de la mesure était discutable. Même si le système est considéré comme volontaire a été déclarée, l'autorité a constaté qu'il pouvait exister une certaine pression sociale ou psychologique, d'autant plus que le club faisait la promotion du système comme une alternative "plus rapide et plus pratique". L'AEPD a également fait référence à manque de transparence lors de l'information des personnes concernées et sur le Absence de base légale claire pour l'utilisation de telles technologies dans les stades de football.

Osasuna a finalement été sélectionné pour le l'utilisation illégale de la reconnaissance faciale biométrique lors du contrôle d'accès a été sanctionné par une amende de 200.000 euros. Selon l'AEPD, la Base juridique discutable était et la mesure est contraire au principe de la Minimisation des données et nécessité. Dans sa décision, l'AEPD souligne que l'utilisation de systèmes de reconnaissance faciale doit répondre à des exigences particulièrement strictes afin de garantir les droits des personnes concernées.

Source : Amende infligée par la Agencia Española de Protección de Datos (AEPD) a Procédure d'amende contre Club Atlético Osasuna

Vodafone España : 200 000 euros (Espagne)

Le site Agencia Española de Protección de Datos (AEPD) a un Procédure d'amende contre Vodafone España, S.A.U. après qu'une cliente a été blessée le 7 mars 2023 un Plainte avait été déposée. La plainte concernait un duplication non autorisée de la carte SIMqui a eu lieu le 8 avril 2022 a été délivrée sans le consentement des personnes concernées. Suite à cette fraude à l'identité, des cartes d'identité non autorisées ont été délivrées. des transactions bancaires ont été effectuées sur le compte de la cliente.

Selon l'enquête de l'AEPD, le 8 avril 2022 à 19h47 une première tentative de créer une nouvelle carte SIM pour le numéro de téléphone mobile concerné. Cette tentative a d'abord échoué, mais déjà cinq minutes plus tard une nouvelle demande a été faite, qui a finalement été acceptée. La carte SIM frauduleuse a été envoyée via un Centre d'appel de Vodafone activé, ce qui a permis à l'auteur de prendre le contrôle du numéro de téléphone concerné. Ce n'est que le 9 avril 2022 à 12:26 la carte SIM frauduleuse a été bloquée après que la personne concernée a informé Vodafone qu'elle n'avait plus accès à sa connexion mobile.

L'AEPD a constaté que Vodafone n'avait pas appliqué de manière cohérente ses propres directives de sécuritécar les agents des centres d'appels sont en fait n'étaient pas autorisés à approuver les duplicatas de cartes SIM pour les prétendus employés des boutiques Vodafone. Cela indique une Négligence dans la mise en œuvre des mesures de sécurité internes vers.

En outre, Vodafone avait fait appel contre Art. 6, paragraphe 1 du RGPD dans la mesure où le traitement des données à caractère personnel de la cliente a été faite sans leur consentement légitime. L'autorité a donc décidé une amende de 200.000 euros de l'amende. Une réduction de la sanction n'était pas envisageable pour l'AEPD, car des violations similaires s'étaient déjà produits plusieurs fois par le passé.

Source : Amende infligée par la Agencia Española de Protección de Datos (Agence espagnole de protection des données) contre Vodafone España, S.A.U.

Correo Inteligente Postal, S.L. : 200 0000 euros (Espagne)

Le site Agencia Española de Protección de Datos (AEPD) a un Procédure d'amende contre la société Correo Inteligente Postal, S.L. (CI POSTAL) a été lancée après que le 22 septembre 2022 le Policía Local de Palma de Mallorca a présenté un rapport. Il y a été constaté qu'au total 1.404 lettres contenant des données personnelles ont été trouvées dans un terrain abandonné. Ces lettres provenaient de plusieurs entreprises, dont La Caixa, BBVA, Endesa et NaturgyLes personnes qui n'ont pas reçu de courrier ont été envoyées par la poste et auraient dû être distribuées à leurs destinataires.

Un représentant de CI POSTAL a reconnu le logo de l'entreprise sur les lettres abandonnées et a confirmé que l'envoi des lettres avait été délégué à quatre employés. Cependant, il n'a pas été possible de déterminer quels employés étaient responsables de la non-distribution.

Sur le site 17 novembre 2022 un autre incident a été signalé : Le site Jefatura Superior de Policía de las Islas Baleares (Direction générale de la police des îles Baléares) a de nouveau eu lieu 5.354 lettres non distribuéesElles avaient été déposées dans deux zones différentes de Palma de Majorque. Certaines lettres étaient ouvertes, tandis que d'autres étaient complètement intactes. Les lettres contenaient des informations sensibles provenant de banques, de fournisseurs d'énergie et d'opérateurs de téléphonie mobile.

L'AEPD a constaté que CI POSTAL a enfreint plusieurs articles du règlement général sur la protection des données (RGPD) :

  • Article 5.1(f) du RGPD: L'entreprise n'a pas assuré des mesures suffisantes pour Confidentialité et Intégrité des données à caractère personnel.
  • Article 32 du RGPD: Manque de mesures de sécurité ont eu pour effet de permettre à des tiers non autorisés d'accéder à des données à caractère personnel.

L'AEPD a infligé des amendes à CI POSTAL une amende totale de 200 000 euros. En outre, l'entreprise a été obligée de fournir des informations dans un délai de six mois un Système de traçabilité et de contrôle de la distribution du courrier afin de s'assurer que les lettres sont correctement distribuées.

Réaction de CI POSTAL : L'entreprise a licencié les employés concernés et organisé des formations afin d'éviter que des incidents similaires ne se reproduisent à l'avenir. Cependant, aucun système technologique n'a été mis en place pour assurer la traçabilité des envois.

Source : Amende infligée par la Agencia Española de Protección de Datos (Agence espagnole de protection des données) contre Correo Inteligente Postal, S.L. (CI POSTAL)

Les tags :
Partager ce post :
fr_FRFrench