Ceux qui introduisent des systèmes d'accès biométriques devraient être prudents : En Espagne, l'autorité de protection des données (AEPD) a infligé une amende salée à la LALIGA, la fédération espagnole de football. Amende car les scanners d'empreintes digitales n'ont pas été utilisés avant Analyse d'impact sur la protection des données a été réalisé. En Pologne, c'est justement le ministre du numérique qui a tiré la sonnette d'alarme : Avec une intention conditionnelle, il a enfreint les principes fondamentaux de l'Union européenne. RGPD environ 80% de la population polonaise est concernée. Le ministre lui-même s'en est tiré à bon compte - contrairement à la psot polonaise. Pour la première fois, une amende en provenance de Corée du Sud a "réussi" à se hisser parmi les amendes les plus élevées du mois. Lors d'une attaque de pirates informatiques contre un tour-opérateur, non seulement plus de 3 millions de données de clients ont été volées. Lors de l'examen, les responsables de la protection des données ont constaté que près de trois millions de données de non-clients étaient enregistrées, alors que le délai avait expiré depuis longtemps. Le montant de la sanction a donc été élevé. Amende de.
Poczta Polska S.A. : 6,44 millions d'euros (Pologne)
Par décision du 18 mars 2025, l'autorité polonaise de protection des données Urząd Ochrony Danych Osobowych (UODO) a infligé des amendes d'un montant de 27 124 816 PLN (environ 6,44 millions d'euros) à Poczta Polska S.A. (la poste polonaise) et d'un montant de 100 000 PLN au ministre de la numérisation. L'affaire concerne l'utilisation illégale Transmission et Traitement de données à caractère personnel du registre PESEL dans le cadre de la préparation des élections présidentielles de mai 2020.
Le ministre de la numérisation avait transmis à Poczta Polska S.A., à sa demande, les données du registre PESEL concernant environ 30 millions de citoyens majeurs. Ces données ont ensuite été traitées par la Poste. Cela s'est fait sans base juridique suffisante et en violation des principes fondamentaux de la RGPDEn particulier, l'article 5, paragraphe 1, point a) (légalité) et l'article 6, paragraphe 1 (base juridique de la protection des données) ne sont pas respectés. Traitement).
Le traitement des données concernait près de 80 % de la population polonaise. Il a été jugé particulièrement grave, car il violait les droits fondamentaux des personnes concernées et avait été commis par deux organismes publics centraux, un ministère et une entreprise d'État.
Selon l'autorité, tant le ministère que Poczta Polska ont agi non seulement illégalement, mais aussi avec une intention conditionnelle. Les parties concernées étaient conscientes de l'incertitude juridique, mais ont néanmoins agi. Il existait déjà des décisions de justice remettant en question la légalité des mesures.
L'UODO s'est basée sur les lignes directrices 04/2022 de l'EDSA pour calculer l'amende. Un "maximum dynamique" du montant de l'amende a été déterminé pour Poczta Polska. La sanction effective ne correspond qu'à environ 2,8 % des compensations de l'État que l'entreprise avait reçues en 2025 - il ne s'agit donc pas d'un montant excessivement lourd par rapport à sa capacité financière.
Le montant de l'amende infligée au ministre a été fixé au maximum autorisé par la loi pour les organismes publics (100 000 PLN). Cette mesure vise à obtenir un effet dissuasif malgré le cadre limité de la sanction.
CaixaBank : 3,5 millions d'euros (Espagne)
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a fait appel à la CaixaBank S.A. un Amende d'un montant total de 3,5 millions d'euros a été imposée. La raison en était une Plainte de deux clients qui détenaient un compte joint auprès de la banque. Ceux-ci avaient déclaré expressément et à plusieurs reprises à la banque que la mère de la plaignante ne devait en aucun cas pouvoir consulter ou accéder aux informations relatives à ce compte. L'accès a été accordé parce que la mère de la plaignante avait précédemment agi en tant que mandataire pour un compte de sa fille. Bien que cette procuration ait été révoquée par la suite et que l'accès ait été expressément interdit, l'accès était toujours possible en raison de mécanismes de contrôle interne insuffisamment mis en œuvre.
La banque n'a pas pris les mesures techniques ou organisationnelles appropriées pour empêcher l'accès - même après plusieurs réclamations de la part des personnes concernées. Selon l'AEPD, cela constitue un Violation aux principes du traitement des données visés à l'article 5, paragraphe 1, point f) RGPD de l'UE. Ensuite, il faut données à caractère personnel soient traitées de manière à garantir une sécurité appropriée, notamment une protection contre tout accès non autorisé. En outre, l'Autorité a fourni un Violation contre l'article 25 RGPD qui oblige les entreprises à le faire, Protection des données par la conception technique ("Privacy by Design") et par les paramètres par défaut ("Privacy by Default").
Pour le Violation à l'article 5, paragraphe 1, sous f) RGPD l'AEPD a imposé une Amende d'un montant de 500 000 euros. Le site Violation a été jugée particulièrement grave. Pour le Violation contre l'article 25 RGPD un autre Amende d'un montant de 3.000.000 d'euros, cette somme étant Violation a été jugée grave.
En outre, la CaixaBank doit, dans un délai de trois mois, prendre les mesures appropriées pour garantir la Confidentialité des données concernées. Dans un délai de neuf mois, la banque doit en outre mesures techniques et organisationnelles qui répondent aux exigences de protection des données par la conception technique et les paramètres par défaut favorables à la protection des données.
Source : Avis de contravention AEPD
Liga Nacional de Fútbol Profesional : 1 million d'euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a lancé une procédure contre la Liga Nacional de Fútbol Profesional (LALIGA). Amende d'un montant de 1.000.000 d'euros. La raison en était l'utilisation d'un système d'accès biométrique (reconnaissance des empreintes digitales) pour l'accès à certaines zones du stade, appelées "Gradas de animación" (zones de supporters).
L'AEPD a contesté le fait que les empreintes digitales soient des données biométriques nécessitant un niveau de protection particulièrement élevé, conformément à l'article 9 de la directive. RGPD est en cours. Pour les Traitement de telles données sont soumises à des conditions strictes, notamment une Analyse d'impact sur la protection des données (DSFA), que LALIGA n'a pas correctement effectué au sens de l'article 35 RGPD a été effectué.
En outre, l'autorité a critiqué le fait que LALIGA, en tant qu'acteur central au sein du système de la ligue, joue un rôle de coordination et porte donc la responsabilité de l'introduction et de l'utilisation du système - même si la mise en œuvre technique est assurée par les clubs. L'AEPD a également ordonné à la LALIGA de suspendre l'utilisation du système biométrique jusqu'à ce qu'elle ait obtenu une version correcte et complète du système. Analyse d'impact sur la protection des données est présenté.
Enfin, l'Autorité a constaté qu'il existait des alternatives moins intrusives à la Contrôle d’accès système par exemple avec des cartes ou des codes personnalisés. Le principe de minimisation des données prévu à l'article 5 de la directive sur la protection des données n'a donc pas été respecté. RGPD ne sont pas respectées.
Le montant de l'amende a été fixé sur la base de plusieurs facteurs, dont l'importance économique de LALIGA et le nombre potentiel de personnes concernées. La mesure doit être prise conformément à l'article 83 RGPD être dissuasives, proportionnées et efficaces.
Source : Amende de l'AEPD
Ibermutua : 600 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende de 1.000.000 d'euros à Ibermutua, une mutua collaborant avec la sécurité sociale, pour une violation grave de la protection des données. Le 15 juillet 2024, un incident a été révélé, au cours duquel une erreur de programmation dans la notification par courrier électronique de l'état de santé de travailleurs données à caractère personnel de 3.395 personnes concernées ont été transmises par erreur à 354 faux destinataires (entreprises et sociétés de conseil). Les informations transmises comprenaient notamment des noms, des NIF/NIE, des numéros de sécurité sociale, Données de santéLes données relatives aux accidents du travail, les informations sur les employeurs ainsi que les données sur la durée et le type d'arrêts de travail - en partie des données sensibles au sens de l'article 9 de la directive sur la protection des données - sont également traitées. RGPD.
L'erreur a été causée par une modification incorrecte du code source de la plateforme d'envoi, qui a entraîné l'accumulation de pièces jointes à des e-mails et leur envoi répété à différents destinataires. Ibermutua a pris des mesures techniques et organisationnelles immédiates après l'incident, notamment la correction de l'erreur, la mise en place de mécanismes de contrôle supplémentaires et l'information des personnes et des destinataires concernés. L'AEPD a toutefois constaté que les mesures de sécurité mises en place avant l'incident étaient insuffisantes, notamment compte tenu du caractère très sensible et de la quantité de données envoyées régulièrement (250 000 courriers électroniques par mois en moyenne).
Au cours de la procédure, Ibermutua a reconnu sa responsabilité, a payé volontairement l'amende et a renoncé à faire appel. L'amende a ainsi été réduite à 600 000 euros. En outre, Ibermutua a été obligée de prendre des mesures concrètes pour améliorer la protection des données personnelles dans les communications par courrier électronique dans les trois mois suivant l'entrée en vigueur de la décision et de prouver leur mise en œuvre à l'autorité de protection des données.
Source : Amende de l'AEPD
Modetour Network : environ 479 000 euros (752,2 millions de wons, Corée)
L'autorité sud-coréenne de protection des données, la Personal Information Protection Commission (PIPC), a déposé une plainte contre le tour-opérateur Modetour Network Co, Ltd. Amende d'un montant total de 757,2 millions de wons (l'équivalent de 479 000 euros).
En juillet 2024, Modetour Network a signalé un incident de confidentialité, à la suite duquel la PIPC a ouvert une enquête. Celle-ci a révélé qu'en juin 2024, un pirate informatique inconnu avait exploité des failles dans la fonction de téléchargement de fichiers sur le site web de l'entreprise pour télécharger plusieurs fichiers Webshell. En exécutant un code malveillant, le pirate a réussi à accéder à la base de données clients et à données à caractère personnel de quelque 3,06 millions de clients, y compris leurs noms, dates de naissance, sexe et numéros de téléphone portable.
L'enquête a révélé que Modetour Network n'avait pas pris les mesures de sécurité adéquates pour prévenir de telles attaques. En outre, l'entreprise n'a informé les personnes concernées de l'incident qu'en septembre 2024, alors que la loi exigeait une notification dans les 72 heures suivant la découverte de l'incident.
En outre, l'enquête a révélé que données à caractère personnel d'environ 3,16 millions de non-membres, collectées depuis mars 2013, n'ont pas été correctement supprimées alors que la période de conservation avait expiré.
En plus de l'amende, l'entreprise a reçu l'ordre d'annoncer publiquement la sanction et d'améliorer ses systèmes internes de gestion de la protection des données afin d'éviter de futures violations.
Source : Amende de la PIPC
Évitez les amendes, mettez votre entreprise en conformité avec le RGPD. Nous proposons des solutions sur mesure pour votre organisation - contactez-nous.
German 
English 
Italian 
French