La médiatrice fédérale pour le Protection des données Dr. Louisa Specht-Riemenschneider, a infligé à Vodafone GmbH deux amendes d'un montant total de 45 millions d'euros. Au centre de la sanction se trouvent des déficits dans le traitement des sous-traitants ainsi que des lacunes dans la sécurité technique et organisationnelle des systèmes de traitement.
Contrôle insuffisant des sous-traitants
Le point de départ était de nombreuses plaintes concernant des conclusions de contrats frauduleuses par des collaborateurs d'agences partenaires qui négocient des contrats avec des clients pour le compte de Vodafone. On a notamment constaté des modifications de contrat fictives et des conclusions de contrat non autorisées au détriment des clients. Ces incidents ont mis en évidence des faiblesses structurelles dans la gestion des sous-traitants engagés en matière de protection des données.
Une amende de 15 millions d'euros a été infligée pour ces manquements. La BfDI a constaté que Vodafone avait manqué à ses obligations en matière de protection des données conformément à l'article 28, paragraphe 1, première phrase. RGPD n'a pas suffisamment satisfait à ses obligations. Par la suite Responsable s'engage à ne faire appel qu'à des sous-traitants offrant des garanties suffisantes pour que des mesures appropriées soient prises pour protéger les données personnelles. mesures techniques et organisationnelles être prises pour Traitement en accord avec la RGPD assurer.
En particulier, il n'y a pas eu de sélection adéquate et de contrôle permanent des agences partenaires. Ces incidents illustrent un problème fréquemment rencontré dans la pratique : la responsabilité en matière de protection des données pour les agences mandatées n'est pas toujours claire. Troisième est souvent sous-estimée ou négligée, ce qui entraîne des risques considérables pour les patients. Personnes concernées peut entraîner.
Conseil de lecture : Voici les cinq amendes les plus élevées du RGPD en mai 2025
Lacunes dans la sécurité technique
Une deuxième critique centrale de la BfDI concernait des failles dans l'authentification lors de l'utilisation combinée du portail client "MeinVodafone" et de la hotline de Vodafone. Ces failles de sécurité ont permis à des personnes non autorisées Troisième sur les profils eSIM et donc sur les données à caractère personnel d'accéder à ce site. Pour ce Violation contre l'article 32, paragraphe 1 RGPD une nouvelle amende de 30 millions d'euros a été infligée.
Art. 32 RGPD oblige Responsable à mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de protection adapté au risque. Le cas de Vodafone illustre de manière exemplaire les dangers que peuvent représenter des mécanismes d'authentification insuffisants. Et ce, à une époque où les scénarios de menace par des cyberattaques et des Ingénierie sociale augmentent régulièrement.
Le BfDI fait l'éloge de Vodafone : toutes les circonstances ont été révélées pendant la procédure
Vodafone a réagi de manière globale aux critiques de l'autorité de surveillance de la protection des données. Selon la BfDI, les processus de vente ont été revus, les systèmes modernisés et les architectures de sécurité fondamentalement améliorées. Les processus de sélection et de contrôle des agences partenaires ont également été restructurés. Ce faisant, l'entreprise s'est séparée de partenaires contractuels problématiques. Dans le cadre d'un contrôle de suivi, la BfDI veut maintenant vérifier si les mesures prises sont efficaces à long terme.
Il convient de souligner que Vodafone a pleinement coopéré tout au long de la procédure et a également révélé des circonstances auto-incriminantes. Les amendes ont été acceptées et déjà intégralement versées au Trésor fédéral.
Contrôle des sous-traitants
Le cas de Vodafone est exemplaire des défis structurels auxquels sont confrontées de nombreuses entreprises en matière de conformité à la protection des données. Comme le souligne le BfDI, il existe dans de nombreux secteurs des retards d'investissement dans la modernisation de l'informatique. En conséquence, des économies sont souvent réalisées en matière de sécurité, tandis que la surveillance des sous-traitants est négligée.
Néanmoins, cet exemple montre également que la protection des données peut prendre une importance stratégique pour les entreprises. Vodafone a non seulement renforcé ses structures internes dans le cadre de la mise à jour, mais a en outre fait don de plusieurs millions d'euros à des organisations qui s'engagent pour la protection des données, l'éducation aux médias et la culture numérique.
En imposant des amendes, le BfDI envoie un signal clair : les violations de la protection des données ne restent pas sans conséquences. En même temps, l'autorité poursuit une approche constructive : les entreprises qui prennent la protection des données au sérieux et font preuve de transparence doivent être soutenues.
German 
English 
Italian 
French