Ceux qui introduisent des systèmes d'accès biométriques devraient être prudents : En Espagne, l'autorité de protection des données (AEPD) a infligé une lourde amende à la fédération espagnole de football (LALIGA) pour ne pas avoir effectué d'analyse d'impact sur la protection des données avant d'utiliser des scanners d'empreintes digitales. En Pologne, c'est justement le ministre du numérique qui a tiré la sonnette d'alarme : Il a enfreint les principes fondamentaux du RGPD avec une préméditation conditionnelle, environ 80 pour cent de la population polonaise étant concernés. Le ministre lui-même s'en est tiré à bon compte - contrairement à la psot polonaise. Pour la première fois, une amende en provenance de Corée du Sud a "réussi" à se hisser parmi les amendes les plus élevées du mois. Lors d'une attaque de pirates informatiques contre un tour-opérateur, non seulement plus de 3 millions de données de clients ont été volées. Lors de la vérification, les responsables de la protection des données ont constaté que près de trois millions de données de non-clients étaient enregistrées alors que le délai avait expiré depuis longtemps. L'amende a donc été élevée.
Poczta Polska S.A. : 6,44 millions d'euros (Pologne)
Par décision du 18 mars 2025, l'autorité polonaise de protection des données Urząd Ochrony Danych Osobowych (UODO) a infligé des amendes d'un montant de 27 124 816 PLN (environ 6,44 millions d'euros) à Poczta Polska S.A. (la poste polonaise) et d'un montant de 100 000 PLN au ministre de la numérisation. Cette décision fait suite au transfert et au traitement illégaux de données à caractère personnel issues du registre PESEL dans le cadre de la préparation des élections présidentielles de mai 2020.
Le ministre de la numérisation avait transmis à Poczta Polska S.A., à sa demande, les données du registre PESEL concernant environ 30 millions de citoyens majeurs. Ces données ont ensuite été traitées par la Poste. Cela s'est fait sans base juridique suffisante et en violation des principes fondamentaux du RGPD, notamment de l'article 5, paragraphe 1, point a) (légalité) et de l'article 6, paragraphe 1 (base juridique du traitement).
Le traitement des données concernait près de 80 % de la population polonaise. Il a été jugé particulièrement grave, car il violait les droits fondamentaux des personnes concernées et avait été commis par deux organismes publics centraux, un ministère et une entreprise d'État.
Selon l'autorité, tant le ministère que Poczta Polska ont agi non seulement illégalement, mais aussi avec une intention conditionnelle. Les parties concernées étaient conscientes de l'incertitude juridique, mais ont néanmoins agi. Il existait déjà des décisions de justice remettant en question la légalité des mesures.
L'UODO s'est basée sur les lignes directrices 04/2022 de l'EDSA pour calculer l'amende. Un "maximum dynamique" du montant de l'amende a été déterminé pour Poczta Polska. La sanction effective ne correspond qu'à environ 2,8 % des compensations de l'État que l'entreprise avait reçues en 2025 - il ne s'agit donc pas d'un montant excessivement lourd par rapport à sa capacité financière.
Le montant de l'amende infligée au ministre a été fixé au maximum autorisé par la loi pour les organismes publics (100 000 PLN). Cette mesure vise à obtenir un effet dissuasif malgré le cadre limité de la sanction.
CaixaBank : 3,5 millions d'euros (Espagne)
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a fait appel à la CaixaBank S.A. une amende d'un montant total de 3,5 millions d'euros a été imposée. Le motif était une plainte de deux clients qui détenaient un compte joint auprès de la banque. Ceux-ci avaient déclaré expressément et à plusieurs reprises à la banque que la mère de la plaignante ne devait en aucun cas pouvoir consulter ou accéder aux informations relatives à ce compte. L'accès a été accordé parce que la mère de la plaignante avait précédemment agi en tant que mandataire pour un compte de sa fille. Bien que cette procuration ait été révoquée par la suite et que l'accès ait été expressément interdit, l'accès était toujours possible en raison de mécanismes de contrôle interne insuffisamment mis en œuvre.
La banque a omis de prendre les mesures techniques ou organisationnelles appropriées pour empêcher l'accès - même après plusieurs réclamations des personnes concernées. Selon l'AEPD, cela constitue une violation des principes du traitement des données conformément à l'article 5, paragraphe 1, point f) du RGPD. Selon cette disposition, les données à caractère personnel doivent être traitées de manière à garantir une sécurité appropriée, notamment une protection contre tout accès non autorisé. En outre, l'autorité a constaté une violation de l'article 25 du RGPD, qui oblige les entreprises à garantir la protection des données par la conception technique ("Privacy by Design") et par des paramètres par défaut ("Privacy by Default").
Pour la violation de l'article 5, paragraphe 1, point f), du RGPD, l'AEPD a infligé une amende de 500.000 euros. L'infraction a été jugée particulièrement grave. Pour la violation de l'article 25 du RGPD, une autre amende de 3.000.000 d'euros a été infligée, cette violation ayant été jugée grave.
En outre, dans un délai de trois mois, la CaixaBank devra prendre les mesures appropriées pour assurer la confidentialité des données concernées. Dans un délai de neuf mois, la banque doit également mettre en place des mesures techniques et organisationnelles qui répondent aux exigences de protection des données par la conception technique et des paramètres par défaut favorables à la protection des données.
Source : Avis de contravention AEPD
Liga Nacional de Fútbol Profesional : 1 million d'euros (Espagne)
L'autorité espagnole de protection des données AEPD a infligé une amende de 1.000.000 d'euros à la Liga Nacional de Fútbol Profesional (LALIGA). La raison en était l'utilisation d'un système d'accès biométrique (reconnaissance des empreintes digitales) pour l'accès à certaines zones du stade, appelées "Gradas de animación" (zones de supporters).
L'AEPD a contesté le fait que les empreintes digitales soient des données biométriques nécessitant un niveau de protection particulièrement élevé, conformément à l'article 9 du RGPD. Le traitement de telles données est soumis à des conditions strictes, notamment une analyse d'impact relative à la protection des données (AIPD), que LALIGA n'avait pas effectuée correctement au sens de l'article 35 du RGPD.
En outre, l'autorité a critiqué le fait que LALIGA, en tant qu'acteur central au sein du système de la ligue, joue un rôle de coordination et porte donc la responsabilité de l'introduction et de l'utilisation du système - même si la mise en œuvre technique est effectuée par les clubs. L'AEPD a également ordonné à LALIGA de suspendre l'utilisation du système biométrique jusqu'à ce qu'une analyse d'impact correcte et complète sur la protection des données soit fournie.
Enfin, l'autorité a constaté qu'il existait des alternatives moins intrusives pour le contrôle d'accès, par exemple avec des cartes ou des codes personnalisés. Par conséquent, le principe de minimisation des données visé à l'article 5 du RGPD n'a pas été respecté.
Le montant de l'amende a été déterminé sur la base de différents facteurs, dont l'importance économique de LALIGA et le nombre potentiel de personnes concernées. Conformément à l'article 83 du RGPD, la mesure doit être dissuasive, proportionnée et efficace.
Source : Amende de l'AEPD
Ibermutua : 600 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende de 1.000.000 d'euros à Ibermutua, une mutua collaborant avec la sécurité sociale, pour une violation grave de la protection des données. Le 15 juillet 2024, un incident a été révélé : une erreur de programmation dans la notification par courrier électronique de l'état de santé des travailleurs a entraîné la transmission par erreur de données à caractère personnel de 3.395 personnes concernées à 354 mauvais destinataires (entreprises et sociétés de conseil). Les informations transmises contenaient entre autres des noms, des NIF/NIE, des numéros de sécurité sociale, des données sur la santé, des données sur les accidents du travail, des informations sur l'employeur ainsi que des indications sur la durée et le type d'arrêts de travail - en partie des données sensibles au sens de l'article 9 du RGPD.
L'erreur a été causée par une modification incorrecte du code source de la plateforme d'envoi, qui a entraîné l'accumulation de pièces jointes à des e-mails et leur envoi répété à différents destinataires. Ibermutua a pris des mesures techniques et organisationnelles immédiates après l'incident, notamment la correction de l'erreur, la mise en place de mécanismes de contrôle supplémentaires et l'information des personnes et des destinataires concernés. L'AEPD a toutefois constaté que les mesures de sécurité mises en place avant l'incident étaient insuffisantes, notamment compte tenu du caractère très sensible et de la quantité de données envoyées régulièrement (250 000 courriers électroniques par mois en moyenne).
Au cours de la procédure, Ibermutua a reconnu sa responsabilité, a payé volontairement l'amende et a renoncé à faire appel. L'amende a ainsi été réduite à 600 000 euros. En outre, Ibermutua a été obligée de prendre des mesures concrètes pour améliorer la protection des données personnelles dans les communications par courrier électronique dans les trois mois suivant l'entrée en vigueur de la décision et de prouver leur mise en œuvre à l'autorité de protection des données.
Source : Amende de l'AEPD
Modetour Network : environ 479 000 euros (752,2 millions de wons, Corée)
L'autorité sud-coréenne de protection des données, la Personal Information Protection Commission (PIPC), a infligé une amende d'un montant total de 757,2 millions de wons (l'équivalent de 479.000 euros) au tour-opérateur Modetour Network Co., Ltd.
En juillet 2024, Modetour Network a signalé un incident de confidentialité, à la suite duquel la PIPC a ouvert une enquête. Celle-ci a révélé qu'en juin 2024, un pirate informatique inconnu avait exploité des failles dans la fonction de téléchargement de fichiers sur le site web de l'entreprise pour télécharger plusieurs fichiers Webshell. En exécutant un code malveillant, le pirate a réussi à accéder à la base de données clients et à voler les données personnelles de quelque 3,06 millions de clients, notamment leurs noms, dates de naissance, sexe et numéros de téléphone portable.
L'enquête a révélé que Modetour Network n'avait pas pris les mesures de sécurité adéquates pour prévenir de telles attaques. En outre, l'entreprise n'a informé les personnes concernées de l'incident qu'en septembre 2024, alors que la loi exigeait une notification dans les 72 heures suivant la découverte de l'incident.
En outre, l'enquête a révélé que les données personnelles d'environ 3,16 millions de non-membres, collectées depuis mars 2013, n'avaient pas été correctement supprimées alors que la période de conservation avait expiré.
En plus de l'amende, l'entreprise a reçu l'ordre d'annoncer publiquement la sanction et d'améliorer ses systèmes internes de gestion de la protection des données afin d'éviter de futures violations.
Source : Amende de la PIPC
Évitez les amendes, mettez votre entreprise en conformité avec le RGPD. Nous proposons des solutions sur mesure pour votre organisation - contactez-nous.
French 
German 
English 
Italian