En avril 2025, il y a eu de nouveau des semaines de pénalités espagnoles : Aucune autre Autorité de surveillance dans l'UE n'a infligé autant d'amendes et de montants aussi élevés que l'Agencia Española de Protección de Datos (AEPD). Les cinq amendes les plus élevées du mois d'avril ont toutes été infligées en Espagne. Aperçu des infractions :
Marina Salud, 500 000 euros (Espagne)
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a lancé une procédure contre l'entreprise Marina Salud, S.A. pour violation de la loi sur la protection des données. Amende d'un montant de 500 000 euros. Le motif était une Plainte la Conselleria de Sanidad de la Generalitat Valenciana, la Marina Salud dans le cadre d'un contrat de concession existant depuis 2009 avec la Traitement particulièrement sensible Données de santé dans le domaine du Departamento de Salud de Denia. La Conselleria était responsable de la protection des données. ResponsableLa société Marina Salud a agi en tant que sous-traitant.
L'enquête s'est concentrée sur l'allégation selon laquelle Marina Salud aurait confié à des sous-traitants, sans les informer préalablement comme il se doit, la mission de Traitement de données à caractère personnel. Cela constitue un Violation l'article 28, paragraphe 2 RGPD l'accord du responsable du traitement des données. Traitement responsable avant de faire appel à d'autres sous-traitants. Malgré les demandes répétées de la Conselleria et dans le cadre d'une inspection officielle, Marina Salud a refusé de divulguer les contrats correspondants avec les fournisseurs tiers de systèmes informatiques utilisés pour les soins médicaux. L'AEPD a considéré cela comme un signe de manque de transparence. Transparence et le non-respect des prescriptions légales.
L'enquête a révélé que les catégories de données concernées étaient, entre autres, les suivantes Données de santéIl s'agissait d'informations confidentielles, de données génétiques et d'autres informations sensibles. Étant donné que Marina Salud, en tant que prestataire de services de santé publique, traite régulièrement des données sensibles, l'autorité de protection des données a considéré qu'il s'agissait d'une question particulièrement pertinente et donc d'une violation grave de l'obligation. En outre, l'autorité de protection des données a précisé qu'il s'agissait d'une violation permanente de l'obligation, étant donné que l'obligation d'information vis-à-vis du responsable du traitement se poursuit même pendant les relations de sous-traitance en cours.
En tenant compte des circonstances, notamment de la gravité des données concernées, de la durée de la violation et de l'importance du traitement des données pour l'entreprise, la Commission a décidé de ne pas donner suite à la demande. Amende est fixé à 500.000 euros. Ce montant est nettement inférieur au maximum autorisé par la loi, qui est de 2 % du chiffre d'affaires annuel.
Source : Amende infligée par l'AEPD à Marina Salud (publiée le 7 avril 2025)
Vodafone España S.A.U., 200.000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a engagé une procédure contre Vodafone España S.A.U.. Amende d'un montant de 200.000 euros pour violation de l'article 6, paragraphe 1 RGPD a été imposée. Le contexte de la procédure était un cas de SIM-swapping, dans lequel un tiers a remplacé sans autorisation la carte SIM d'un client et a ainsi pu accéder à sa connexion mobile et à d'autres services numériques.
Le site Personnes concernées a été informé du changement de carte SIM par un SMS de confirmation de Vodafone. Peu après, il s'est avéré que, dans le cadre du changement de SIM, deux virements bancaires non autorisés avaient été effectués sur le compte de la personne concernée. L'analyse a révélé que l'échange avait été autorisé par un agent de Vodafone, bien que l'appel provienne d'un numéro international - un cas évident. Violation contre les propres directives de sécurité de Vodafone. Selon ces directives, une vérification supplémentaire aurait dû être effectuée dans ce cas par un rappel. Il n'existait pas d'enregistrement de la procédure et l'origine de la carte SIM ne pouvait pas non plus être entièrement retracée.
Vodafone a reconnu l'erreur, l'a qualifiée d'"erreur humaine unique" et a fait référence aux mesures de sécurité déjà mises en place, telles que les alertes SMS, les formations internes et la limitation de l'autorisation des partenaires de distribution à émettre des doubles de cartes SIM. Vodafone a également fait valoir que les abus commis par Troisième (par exemple, par Ingénierie sociale) n'était pas entièrement sous son contrôle et ne constituait donc pas automatiquement une violation des obligations en matière de protection des données.
L'AEPD a toutefois vu les choses différemment : l'autorité a constaté que ce ne sont pas les systèmes de sécurité en tant que tels qui ont conduit à l'accès illégal aux données, mais leur utilisation inappropriée par les collaborateurs de Vodafone. La simple existence de directives de sécurité ne suffit pas si celles-ci ne sont pas respectées au moment décisif. L'autorité de protection des données a souligné que Traitement de données à caractère personnel n'est autorisée que dans des conditions légales claires - l'absence de contrôle d'identité, en particulier, constitue un obstacle à la protection des données à caractère personnel. Violation constitue une violation du principe du traitement des données sur une base licite.
L'autorité de protection des données a rejeté à la fois l'argument de l'absence de "faute" et l'application de circonstances atténuantes telles que la coopération ou la limitation des dommages. Elle a qualifié l'incident de violation grave et fautive des obligations au sens de l'article 83, paragraphe 5, point a). RGPD et a infligé une amende de 200 000 euros.
Source : Amende infligée par l'AEPD à Vodafone España S.A.U. (publiée le 21 avril 2025)
Orange Bank S.A., 200 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende de 200.000 euros à Orange Bank, S.A. pour violation de l'article 5, paragraphe 1, point f). RGPD (principe de la Intégrité et Confidentialité) a été imposée.
Le contexte de la procédure était une violation de la sécurité chez un sous-traitant (Marktel), déclenchée par une attaque de ransomware. Cela a entraîné un accès non autorisé à données à caractère personnelParmi ces données figuraient notamment des IBAN, dont certains n'étaient pas suffisamment cryptés. Les données concernées provenaient du traitement des créances irrécouvrables pour les appareils mobiles, pour lequel Orange Espagne agissait en tant que sous-traitant pour Orange Bank.
L'AEPD a constaté que, bien que Marktel ait agi en tant que sous-traitant dans le cadre d'un contrat avec Orange Espagne, Orange Bank devait être considérée comme responsable des données à caractère personnel concernées par la faille de sécurité. L'accès par des tiers à des données non pseudonymisées ou cryptées a été considéré comme une perte de contrôle sur les données à caractère personnel et donc comme Violation contre le principe de Confidentialité est considéré.
Outre l'amende, Orange Bank s'est vu imposer l'obligation de démontrer, dans un délai de six mois à compter de la date à laquelle la décision est devenue définitive, que toutes les mesures nécessaires pour garantir la Confidentialité des données ont été prises.
Source : Amende infligée par l'AEPD à Orange Bank S.A. (publiée le 11 avril 2025)
Conseil de lecture : Les cinq amendes les plus élevées en mars 2025
Vodafone España, S.A.U., 200.000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a engagé une procédure contre Vodafone España, S.A.U. pour violation de la vie privée. Amende d'un montant de 200.000 euros pour violation de l'article 6, paragraphe 1 RGPD a été imposée. Cette décision a été prise à la suite d'un cas de SIM-swapping, dans lequel un tiers a obtenu frauduleusement une copie de la carte SIM d'une cliente et a ainsi pu accéder à son compte bancaire.
Le site Personnes concernées avait dénoncé l'incident et documenté le fait que, le 25 juillet 2022, elle avait reçu un SMS de Vodafone l'informant qu'un changement de carte SIM avait été effectué, mais qu'elle n'en était pas à l'origine. Peu de temps après, le téléphone portable a été désactivé et un transfert d'argent non autorisé d'un montant de 600 euros a été effectué via le service de paiement Bizum. La cliente s'est immédiatement adressée à Vodafone et a déposé plainte auprès de la police.
L'enquête de l'AEPD a révélé que le changement de carte SIM avait d'abord été initié via le canal en ligne, puis achevé dans une succursale de Vodafone. Vodafone n'a pas été en mesure de prouver que ses propres protocoles de sécurité avaient été correctement respectés lors de cette opération - en particulier, il n'y avait pas de contrôle d'identité démontrable du demandeur. En outre, la demande téléphonique pertinente n'a pas été enregistrée, ce qui est contraire au devoir de diligence.
Vodafone s'est défendu en affirmant qu'il s'agissait d'une fraude complexe et organisée qui ne pouvait pas être attribuée à une stratégie de sécurité insuffisante. L'entreprise a fait référence à ses politiques de sécurité constamment mises à jour et a fait valoir qu'elle ne pouvait pas être tenue responsable des activités criminelles de tiers. De plus, l'échange de SIM ne permettait pas d'accéder directement aux données bancaires.
L'AEPD a rejeté cette argumentation en soulignant que le remplacement de la carte SIM était une opération pertinente du point de vue de la protection des données et qu'elle nécessitait un contrôle d'identité particulièrement minutieux. L'autorité a constaté que Vodafone avait Traitement de données à caractère personnel sans base juridique valable, notamment parce que les concernés client n'avait pas donné son accord à l'opération. Le non-respect des protocoles de sécurité internes et des incidents similaires dans le passé ont été considérés comme des circonstances aggravantes.
Source : Amende infligée par l'AEPD à Vodafone España, S.A.U. (publiée le 5 avril 2025)
Banco Bilbao Vizcaya Argentaria S.A., 120 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende de 200.000 euros à Banco Bilbao Vizcaya Argentaria, S.A. (BBVA), qui, après avoir reconnu la Responsabilité civile et de paiement volontaire a été réduit à 120 000 euros.
L'occasion était la Plainte d'un client qui avait fait valoir que, sans son Consentement et celle de son conjoint, a signé des documents par lesquels il a donné à la Traitement de ses données personnelles, y compris à des fins publicitaires et de profilage. Les personnes concernées ont contesté avoir signé ces documents.
L'AEPD a constaté que la banque avait utilisé ces documents, les données à caractère personnel telles que le nom, la date de naissance, l'adresse et les revenus, sans base juridique valable. Dans le cadre de son enquête interne, la BBVA a admis qu'un employé de la banque n'avait pas suivi les procédures de signature établies. Bien que la BBVA dispose de règles internes, de formations vidéo et de mécanismes de contrôle pour la signature correcte des documents, la banque a reconnu qu'il s'agissait d'une faute individuelle.
Comme les données concernées ne sont pas valides Consentement traitées, l'AEPD a fourni un Violation l'article 6, paragraphe 1 RGPD de la BVA. Le fait que la BBVA ait déjà été sanctionnée à plusieurs reprises pour des infractions à la protection des données a constitué un facteur aggravant. La grande quantité de données à caractère personnel traitées dans le cadre de l'activité bancaire a également été prise en compte comme un facteur aggravant de la sanction.
BBVA a profité de l'occasion pour obtenir une réduction totale de 40 % en reconnaissant sa responsabilité et en payant l'amende à temps, ce qui a permis de clore formellement la procédure.
Source : Amende infligée par l'AEPD à la Banco Bilbao Vizcaya Argentaria, S.A. (publiée le 8 avril 2025)
Chez 2B Advice, nous vous aidons précisément à identifier et à éliminer ces risques à un stade précoce :
✔ Conseil en matière de protection des données selon RGPD
✔ Traitement des commandes et sécuriser les transferts de pays tiers
✔ Vérifier les mesures techniques et organisationnelles (TOM)
✔ Concevoir des processus de consentement et d'information juridiquement sûrs
✔ Formation de sensibilisation et formation du personnel
👉 Prenez rendez-vous dès maintenant pour un premier entretien gratuit - avant qu'il n'y ait des Autorité de surveillance ne fait pas.
German 
English 
Italian 
French