En février 2025, l'autorité espagnole de protection des données Agencia española protección datos a continué à émettre de nombreux avis d'amende pour violation de la RGPD ont été délivrées. Les cinq amendes RGPD les plus élevées ont toutes été infligées en Espagne. En février, les amendes pour absence ou insuffisance de mesures de sécurité ont notamment dominé.
Conseil de lecture : Les cinq amendes les plus élevées du RGPD en janvier 2025
Orange España, 1 200 000 euros (Espagne)
L'autorité espagnole de protection des données Agencia española protección datos (AEPD) a engagé une procédure contre la société de téléphonie mobile Orange España, S.A.U. pour violation de la loi sur la protection des données. Amende d'un montant total de 1,2 million d'euros. La raison en était un traitement illégal des données dans le cadre de l'émission de duplicatas de cartes SIM. Un employé frauduleux d'une entreprise franchisée avait créé une carte SIM sans l'autorisation d'un client. Cela a permis de commettre des fraudes financières par le biais d'attaques dites de "SIM-swapping". Un total de 9.000 euros a ainsi été détourné des comptes du client. L'autorité a constaté des infractions aux articles 6 et 25 de la loi sur la protection des données. RGPD fermement.
Orange a fait valoir qu'il s'agissait d'une faute individuelle. L'autorité a rejeté cet argument, car l'entreprise n'avait pas pris de mesures de protection suffisantes. En particulier, un duplicata de la carte SIM a été envoyé à des utilisateurs frauduleux. Troisième sans vérifier leur identité. Orange a été prié de prendre des mesures pour vérifier l'identité des doublons de SIM dans un délai de six mois. Orange a fait appel, estimant que la sanction était disproportionnée. L'autorité a rejeté l'appel et a confirmé la décision initiale.
Caja Rural de Jaén, 400 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende à la banque coopérative Caja Rural de Jaén, Barcelona y Madrid S.C.C. pour une violation massive de la protection des données suite à une cyber-attaque sur son système de banque en ligne. Des mesures de sécurité insuffisantes ont entraîné la divulgation non autorisée de données sensibles de clients, ce qui constitue une violation de l'article 5, paragraphe 1, point f), de l'article 32, paragraphe 1, et de l'article 33 de la loi sur la protection des données. RGPD.
La banque a fait valoir que son prestataire de services informatiques, Rural Servicios Informáticos S.L., était responsable. L'autorité a rejeté cette affirmation, car la banque, en tant que Responsable pour le Protection des données est considéré comme un problème. Le site Amende a été fixée à 500 000 euros et vise à prévenir de futures infractions. La banque a fait appel et a demandé une réduction ou une annulation de l'amende. L'AEPD a rejeté l'appel, soulignant l'obligation de Sécurité des données.
Après que la banque eut payé sans reconnaissance de dette, le contrat initial a été annulé. Amende de 500.000 euros à 400.000 euros.
Source : Amende infligée par l'AEPD à Caja Rural de Jaén, Barcelona y Madrid S.C.C.
Línea Directa Aseguradora, 300 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a émis un Amende contre la compagnie d'assurance Línea Directa Aseguradora S.A.. L'entreprise avait fait traiter illégalement des données de clients par son intermédiaire d'assurance Majorel SP Solutions S.A.. Un employé de Majorel a appelé, sans autorisation expresse Consentement du client, il a vérifié son solde de points auprès de la DGT. Pour ce faire, il a utilisé données à caractère personnel comme le numéro de la carte d'identité et la date de délivrance du permis de conduire. Il a également indiqué une adresse électronique qui ne lui appartenait pas afin d'obtenir les données d'accès pour la consultation.
L'entreprise a fait valoir que le client avait implicitement consenti à la consultation. L'autorité de protection des données s'y est opposée et a constaté des violations des articles 6 et 28 de la loi sur la protection des données. RGPD a été arrêté. Elle a alors imposé une Amende d'un montant de 300 000 euros. En outre, Línea Directa a été obligée de prendre des mesures pour respecter les règles de protection des données.
Source : Amende infligée par l'AEPD à Línea Directa Aseguradora S.A.
Atrium Lex SFC S.L., 100.000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a engagé une procédure à l'encontre du prestataire de services informatiques Atrium Lex SFC S.L. Amende pour violation de l'obligation d'information prévue à l'article 13 RGPD et l'absence de mesures de sécurité conformément à l'article 32, paragraphe 1 RGPD a été imposée. Un investisseur s'était plaint du fait que la société avait demandé une copie de sa carte d'identité sans l'informer du traitement des données. Atrium Lex a affirmé que cela était nécessaire pour la vérification de l'identité.
L'AEPD a constaté que les mesures de protection des données n'étaient pas suffisantes. En particulier, la Transmission de la copie de la carte d'identité par e-mail n'était pas considérée comme sûre. L'autorité a infligé deux amendes de 50.000 euros chacune à l'entreprise. Les sanctions sont basées sur le manque d'information des personnes concernées et sur l'insuffisance des mesures de sécurité. En outre, Atrium Lex a été obligée de prendre des mesures de protection des données dans un délai de six mois.
Source : Amende infligée par l'AEPD à Atrium Lex
Caja Rural de Extremadura, 88 000 euros (Espagne)
En raison d'une violation de la protection des données due à une cyberattaque contre le système de banque en ligne, l'autorité espagnole de protection des données (AEPD) a lancé une procédure d'infraction. Amende a été infligée à la banque coopérative Caja Rural de Extremadura S.C.C.. La faille de sécurité permettait un accès non autorisé aux données personnelles et financières des clients. L'AEPD a constaté des infractions à l'article 5, paragraphe 1, point f), et à l'article 32 de la loi sur la protection des données. RGPD fermement.
La Caja Rural de Extremadura a fait appel de la décision. Selon elle, son prestataire de services informatiques, Rural Servicios Informáticos S.L., était responsable des mesures de sécurité. L'autorité a rejeté cette affirmation, car la banque, en tant que responsable du traitement des données Responsable s'applique. Une amende de 110 000 euros a été infligée pour éviter de futures infractions. La banque a alors fait appel et a demandé une réduction ou une annulation de la sanction. L'autorité de protection des données a rejeté l'appel et a souligné l'obligation de Sécurité des données.
Après que la banque eut payé sans reconnaissance de dette, le contrat initial a été annulé. Amende de 110.000 euros à 88.000 euros.
Source : Amende infligée par l'AEPD à la Caja Rural de Extremadura S.C.C.
German 
English 
Italian 
French