En avril 2025, il y a eu de nouvelles semaines d'amendes espagnoles : Aucune autre autorité de contrôle de l'UE n'a imposé autant d'amendes et de montants que l'Agencia Española de Protección de Datos (AEPD). Les cinq amendes les plus élevées du mois d'avril ont toutes été infligées en Espagne. Aperçu des infractions :
Marina Salud, 500 000 euros (Espagne)
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a infligé une amende de 500.000 euros à la société Marina Salud, S.A.. Cette décision fait suite à une plainte de la Conselleria de Sanidad de la Generalitat Valenciana, qui avait chargé Marina Salud du traitement de données de santé particulièrement sensibles dans le cadre d'un contrat de concession en vigueur depuis 2009 dans le département de santé de Dénia. Dans ce cadre, la Conselleria était responsable de la protection des données, tandis que Marina Salud agissait en tant que sous-traitant.
L'enquête s'est concentrée sur l'allégation selon laquelle Marina Salud avait confié le traitement de données à caractère personnel à des sous-traitants sans avoir reçu les informations préalables nécessaires. Cela constitue une violation de l'article 28, paragraphe 2, du RGPD, qui prévoit qu'un sous-traitant doit obtenir l'accord du responsable du traitement avant de faire appel à d'autres sous-traitants. Malgré les demandes répétées de la Conselleria et dans le cadre d'une inspection officielle, Marina Salud a refusé de divulguer les contrats correspondants avec les fournisseurs tiers de systèmes informatiques utilisés pour les soins médicaux. L'AEPD a considéré cela comme un signe de manque de transparence et de non-respect des dispositions légales.
L'enquête a révélé que les catégories de données concernées étaient, entre autres, des données relatives à la santé, des données génétiques et d'autres informations particulièrement sensibles. Étant donné que Marina Salud, en tant que prestataire de services de santé publique, traite régulièrement des données sensibles, l'autorité de protection des données a considéré qu'il s'agissait d'un sujet particulièrement pertinent et donc d'un manquement grave à ses obligations. En outre, l'autorité de protection des données a précisé qu'il s'agissait d'une violation permanente de l'obligation, étant donné que l'obligation d'information vis-à-vis du responsable du traitement se poursuit même pendant les relations de sous-traitance en cours.
En tenant compte des circonstances, notamment de la gravité des données concernées, de la durée de l'infraction et de l'importance du traitement des données pour l'entreprise, l'amende a été fixée à 500.000 euros. Ce montant est nettement inférieur au maximum autorisé par la loi, à savoir 2 % du chiffre d'affaires annuel.
Source : Amende infligée par l'AEPD à Marina Salud (publiée le 7 avril 2025)
Vodafone España S.A.U., 200.000 euros (Espagne)
L'autorité espagnole de protection des données AEPD a infligé une amende de 200.000 euros à Vodafone España S.A.U. pour violation de l'article 6, paragraphe 1 du RGPD. La procédure avait pour toile de fond un cas de SIM-swapping, dans lequel un tiers a remplacé sans autorisation la carte SIM d'un client et a ainsi pu accéder à sa connexion mobile et à d'autres services numériques.
La personne concernée a été informée du changement de carte SIM par un SMS de confirmation de Vodafone. Peu après, il s'est avéré que, dans le cadre du changement de SIM, deux virements bancaires non autorisés avaient été effectués sur le compte de la personne concernée. L'analyse a révélé que l'échange avait été autorisé par un agent de Vodafone, bien que l'appel provienne d'un numéro international - une violation manifeste des propres directives de sécurité de Vodafone. Selon ces directives, une vérification supplémentaire aurait dû être effectuée dans ce cas par un rappel. Il n'existait pas d'enregistrement de la procédure et l'origine de la carte SIM n'a pas non plus pu être entièrement retracée.
Vodafone a reconnu l'erreur, l'a qualifiée d'"erreur humaine unique" et a fait référence aux mesures de sécurité déjà mises en place, telles que les alertes SMS, la formation interne et la limitation de l'autorisation des partenaires de distribution à émettre des doubles de cartes SIM. Vodafone a également fait valoir que l'abus par des tiers (par exemple par ingénierie sociale) n'était pas entièrement sous son contrôle et ne constituait donc pas automatiquement une violation de ses obligations en matière de protection des données.
L'AEPD a toutefois vu les choses différemment : l'autorité a constaté que ce ne sont pas les systèmes de sécurité en tant que tels qui ont conduit à l'accès illégal aux données, mais leur utilisation inappropriée par les collaborateurs de Vodafone. La simple existence de directives de sécurité ne suffit pas si celles-ci ne sont pas respectées au moment décisif. L'autorité de protection des données a souligné que le traitement des données à caractère personnel n'est autorisé que dans des conditions légales claires - l'absence de vérification de l'identité, en particulier, constitue une violation du principe du traitement des données sur une base légitime.
L'autorité de protection des données a rejeté à la fois l'argument de l'absence de "faute" et l'application de circonstances atténuantes telles que la coopération ou la limitation des dommages. Elle a qualifié l'incident de violation grave et fautive des obligations au sens de l'article 83, paragraphe 5, point a) du RGPD et a infligé une amende de 200.000 euros.
Source : Amende infligée par l'AEPD à Vodafone España S.A.U. (publiée le 21 avril 2025)
Orange Bank S.A., 200 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé une amende de 200.000 euros à Orange Bank, S.A. pour violation de l'article 5, paragraphe 1, alinéa f du RGPD (principe d'intégrité et de confidentialité).
Le contexte de la procédure était une violation de la sécurité chez un sous-traitant (Marktel), déclenchée par une attaque de ransomware. Cela a entraîné un accès non autorisé à des données personnelles, dont notamment des IBAN, dont certaines n'étaient pas suffisamment cryptées. Les données concernées provenaient du traitement des créances irrécouvrables pour les appareils mobiles, pour lesquelles Orange Espagne agissait en tant que sous-traitant pour Orange Bank.
L'AEPD a constaté que, bien que Marktel ait agi en tant que sous-traitant dans le cadre d'un contrat conclu avec Orange Espagne, Orange Bank devait être considérée comme le responsable des données à caractère personnel concernées par la faille de sécurité. L'accès par des tiers à des données non pseudonymisées ou cryptées a été considéré comme une perte de contrôle sur les données à caractère personnel et donc comme une violation du principe de confidentialité.
Outre l'amende, Orange Bank s'est vu imposer l'obligation de démontrer, dans un délai de six mois à compter de l'entrée en vigueur de la décision, que toutes les mesures nécessaires ont été prises pour garantir la confidentialité des données.
Source : Amende infligée par l'AEPD à Orange Bank S.A. (publiée le 11 avril 2025)
Conseil de lecture : Les cinq amendes les plus élevées en mars 2025
Vodafone España, S.A.U., 200.000 euros (Espagne)
L'autorité espagnole de protection des données AEPD a infligé une amende de 200.000 euros à Vodafone España, S.A.U. pour violation de l'article 6, paragraphe 1 du RGPD. Cette décision a été prise à la suite d'un cas de SIM-swapping, dans lequel un tiers a obtenu frauduleusement une copie de la carte SIM d'une cliente et a ainsi pu accéder à son compte bancaire.
La personne concernée avait dénoncé l'incident et documenté le fait qu'elle avait reçu un SMS de Vodafone le 25 juillet 2022 l'informant d'un changement de carte SIM effectué, mais qu'elle n'en était pas à l'origine. Peu de temps après, le téléphone portable a été désactivé et un transfert d'argent non autorisé d'un montant de 600 euros a été effectué via le service de paiement Bizum. La cliente s'est immédiatement adressée à Vodafone et a déposé plainte auprès de la police.
L'enquête de l'AEPD a révélé que le changement de carte SIM avait d'abord été initié via le canal en ligne, puis achevé dans une succursale de Vodafone. Vodafone n'a pas été en mesure de prouver que ses propres protocoles de sécurité avaient été correctement respectés lors de cette opération - en particulier, il n'y avait pas de contrôle d'identité démontrable du demandeur. En outre, la demande téléphonique pertinente n'a pas été enregistrée, ce qui est contraire au devoir de diligence.
Vodafone s'est défendu en affirmant qu'il s'agissait d'une fraude complexe et organisée qui ne pouvait pas être attribuée à une stratégie de sécurité insuffisante. L'entreprise a fait référence à ses politiques de sécurité constamment mises à jour et a fait valoir qu'elle ne pouvait pas être tenue responsable des activités criminelles de tiers. De plus, l'échange de SIM ne permettait pas d'accéder directement aux données bancaires.
L'AEPD a rejeté cette argumentation en soulignant que le remplacement de la carte SIM était une opération pertinente du point de vue de la protection des données et qu'elle nécessitait un contrôle d'identité particulièrement minutieux. L'autorité a constaté que Vodafone avait procédé au traitement de données à caractère personnel sans base juridique valable, notamment parce que la cliente concernée n'avait pas donné son consentement à l'opération. Le non-respect des protocoles de sécurité internes et des incidents similaires dans le passé ont été considérés comme des circonstances aggravantes.
Source : Amende infligée par l'AEPD à Vodafone España, S.A.U. (publiée le 5 avril 2025)
Banco Bilbao Vizcaya Argentaria S.A., 120 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a infligé à Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) une amende de 200.000 euros, réduite à 120.000 euros après reconnaissance de la responsabilité et paiement volontaire.
Cette affaire a été déclenchée par la plainte d'un client qui a fait valoir que BBVA avait signé, sans son consentement ni celui de son conjoint, des documents par lesquels il acceptait que ses données à caractère personnel soient traitées, y compris à des fins de prospection et de profilage. Les personnes concernées ont contesté avoir signé ces documents.
L'AEPD a constaté que la banque avait traité ces documents, qui contenaient des données à caractère personnel telles que le nom, la date de naissance, l'adresse et les données relatives aux revenus, sans base juridique valable. Dans le cadre de son enquête interne, la BBVA a admis qu'un employé de la banque n'avait pas suivi les procédures de signature établies. Bien que la BBVA dispose de règles internes, de formations vidéo et de mécanismes de contrôle pour la signature correcte des documents, la banque a reconnu qu'il s'agissait d'une faute individuelle.
Les données concernées ayant été traitées sans consentement valable, l'AEPD a constaté une violation de l'article 6, paragraphe 1, du RGPD. Le fait que la BBVA ait déjà été sanctionnée à plusieurs reprises pour des infractions à la protection des données a constitué une circonstance aggravante. La grande quantité de données à caractère personnel traitées dans le cadre des activités bancaires a également été prise en compte comme un facteur aggravant de la sanction.
BBVA a profité de l'occasion pour obtenir une réduction totale de 40 % en reconnaissant sa responsabilité et en payant l'amende à temps, ce qui a permis de clore formellement la procédure.
Source : Amende infligée par l'AEPD à la Banco Bilbao Vizcaya Argentaria, S.A. (publiée le 8 avril 2025)
Chez 2B Advice, nous vous aidons précisément à identifier et à éliminer ces risques à un stade précoce :
✔ Conseil en matière de protection des données conformément au RGPD
✔ Sécuriser le traitement des commandes et les transferts vers des pays tiers
✔ Vérifier les mesures techniques et organisationnelles (TOM)
✔ Concevoir des processus de consentement et d'information juridiquement sûrs
✔ Formations de sensibilisation et formation du personnel
👉 Convenez maintenant d'un premier entretien gratuit - avant que l'autorité de surveillance ne le fasse.
French 
German 
English 
Italian