En février 2025, l'autorité espagnole de protection des données Agencia española protección datos a continué à émettre de nombreux avis d'amende pour violation du RGPD. Les cinq amendes RGPD les plus élevées ont toutes été infligées en Espagne. En février, les amendes pour absence ou insuffisance de mesures de sécurité ont notamment dominé.
Conseil de lecture : Les cinq amendes les plus élevées du RGPD en janvier 2025
Orange España, 1 200 000 euros (Espagne)
L'autorité espagnole de protection des données Agencia española protección datos (AEPD) a infligé une amende d'un montant total de 1,2 millions d'euros à la société de téléphonie mobile Orange España, S.A.U.. La raison en était un traitement illégal des données dans le cadre de l'émission de duplicatas de cartes SIM. Un employé frauduleux d'une entreprise franchisée avait créé une carte SIM sans l'autorisation d'un client. Cela a permis de commettre des fraudes financières par le biais d'attaques dites de "SIM-swapping". Un total de 9.000 euros a ainsi été détourné des comptes du client. L'autorité a constaté des infractions aux articles 6 et 25 du RGPD.
Orange a fait valoir qu'il s'agissait d'une faute individuelle. L'autorité a rejeté cet argument, car l'entreprise n'avait pas pris de mesures de protection suffisantes. En particulier, un duplicata de carte SIM a été délivré à des tiers frauduleux sans vérification de leur identité. Il a été demandé à Orange de prendre des mesures pour vérifier l'identité des doublons de cartes SIM dans un délai de six mois. Orange a fait appel, estimant que la sanction était disproportionnée. L'autorité a rejeté l'appel et a confirmé la décision initiale.
Caja Rural de Jaén, 400 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende à la banque coopérative Caja Rural de Jaén, Barcelona y Madrid S.C.C. pour une violation massive de la protection des données suite à une cyber-attaque sur son système de banque en ligne. Des mesures de sécurité insuffisantes ont entraîné la divulgation non autorisée de données sensibles de clients, ce qui constitue une violation de l'article 5, paragraphe 1, point f), de l'article 32, paragraphe 1, et de l'article 33 du RGPD.
La banque a fait valoir que son prestataire de services informatiques, Rural Servicios Informáticos S.L., était responsable. L'autorité a rejeté cette affirmation, car la banque est considérée comme responsable de la protection des données. L'amende a été fixée à 500.000 euros et vise à prévenir de futures infractions. La banque a fait appel et a demandé une réduction ou une annulation de l'amende. L'AEPD a rejeté l'appel et a souligné l'obligation de sécurité des données.
Après que la banque a payé sans reconnaître sa culpabilité, l'amende initiale de 500.000 euros a été réduite à 400.000 euros.
Source : Amende infligée par l'AEPD à Caja Rural de Jaén, Barcelona y Madrid S.C.C.
Línea Directa Aseguradora, 300 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende à la compagnie d'assurance Línea Directa Aseguradora S.A.. L'entreprise avait fait traiter illégalement des données de clients par son intermédiaire d'assurance Majorel SP Solutions S.A.. Un employé de Majorel a consulté le solde de points du client auprès de la DGT sans son consentement explicite. Pour ce faire, il a utilisé des données à caractère personnel telles que le numéro de la carte d'identité et la date de délivrance du permis de conduire. Il a également fourni une adresse électronique qui ne lui appartenait pas afin d'obtenir les données d'accès pour la consultation.
L'entreprise a fait valoir que le client avait implicitement consenti à la consultation. L'autorité de protection des données s'y est opposée et a constaté des violations des articles 6 et 28 du RGPD. Elle a alors infligé une amende de 300 000 euros. En outre, Línea Directa a été obligée de prendre des mesures pour se conformer aux règles de protection des données.
Source : Amende infligée par l'AEPD à Línea Directa Aseguradora S.A.
Atrium Lex SFC S.L., 100.000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende au prestataire de services informatiques Atrium Lex SFC S.L. pour violation de l'obligation d'information prévue à l'article 13 du RGPD et absence de mesures de sécurité conformément à l'article 32, paragraphe 1, du RGPD. Un investisseur s'était plaint du fait que la société avait demandé une copie de sa carte d'identité sans l'informer du traitement des données. Atrium Lex a prétendu que cela était nécessaire pour la vérification de l'identité.
L'AEPD a constaté que les mesures de protection des données n'étaient pas suffisantes. En particulier, la transmission de la copie de la carte d'identité par e-mail a été jugée peu sûre. L'autorité a infligé deux amendes de 50.000 euros chacune à l'entreprise. Les sanctions se fondent sur le manque d'information des personnes concernées et sur l'insuffisance des mesures de sécurité. En outre, Atrium Lex a été obligée de prendre des mesures de protection des données dans un délai de six mois.
Source : Amende infligée par l'AEPD à Atrium Lex
Caja Rural de Extremadura, 88 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende à la banque coopérative Caja Rural de Extremadura S.C.C. en raison d'une violation de la protection des données due à une cyberattaque contre le système de banque en ligne. La faille de sécurité permettait un accès non autorisé aux données personnelles et financières des clients. L'AEPD a constaté des infractions à l'article 5, paragraphe 1, point f), et à l'article 32 du RGPD.
La Caja Rural de Extremadura a fait appel de la décision. Son prestataire de services informatiques, Rural Servicios Informáticos S.L., serait responsable des mesures de sécurité. L'autorité a rejeté cette affirmation, car la banque est considérée comme responsable du traitement des données. Une amende de 110 000 euros a été infligée afin d'éviter de futures infractions. La banque a alors fait appel et a demandé une réduction ou une annulation de la sanction. L'autorité de protection des données a rejeté l'appel et a souligné l'obligation de sécurité des données.
Après que la banque a payé sans reconnaître sa culpabilité, l'amende initiale de 110.000 euros a été réduite à 88.000 euros.
Source : Amende infligée par l'AEPD à la Caja Rural de Extremadura S.C.C.
French 
German 
English 
Italian