Actualités

🇪🇸 Pas de carte d’identité par mail

Confidentialité & Sécurité | 30/03/2025

💥 Une demande de pièce d’identité sur un mail non sécurisé peut coûter très cher !

Source : PS-00457-2023
Pays : Espagne, AEPD

🧾 Faits

Un investisseur a demandé des informations sur plusieurs projets immobiliers dans lesquels il avait investi.
En réponse, l’entreprise gestionnaire des projets, lui a demandé de fournir une copie scannée de son DNI (carte d’identité)sans fournir aucune information sur le traitement des données.

🚨 Les violations constatées par l’AEPD

🔹 1. Article 13 du RGPD – Devoir d’information

  • L’entreprise a demandé une copie du DNI sans informer sur :
    • le responsable du traitement,
    • la base légale,
    • la finalité,
    • la durée de conservation,
    • les droits du demandeur.
  • Elle n’a pas fourni de politique de confidentialité, ni de registre des traitements, malgré plusieurs relances de l’AEPD.
  • L’AEPD a conclu à une absence totale de transparence, violant les principes de licéité, loyauté et transparence (article 5.1.a).

🔹 2. Article 32 du RGPD – Sécurité du traitement

  • La copie de la carte d’identité (DNI) a été demandée via un email non sécurisé.
  • Le mail est un canal non chiffré, exposé au risque d’interception.
  • L’entreprise n’a pris aucune mesure technique ou organisationnelle appropriée pour protéger un document hautement confidentiel, ni même analysé les risques associés.

⚖️ Motivation de l'amende

L’AEPD a souligné :

  • Une absence de diligence grave et manifeste.
  • Un déni de coopération lors de la procédure (pas de documentation fournie).
  • La carte d’identité est un document hautement confidentiel, susceptible d'être utilisé pour l’usurpation d’identité.
  • La demande n’était pas illégitime en soi (vérification d’identité), mais le manque d'information et de sécurité rend le traitement illicite.

💰 Sanction

-50 000 € pour violation de l’article 13 (devoir d’information)

-50 000 € pour violation de l’article 32 (sécurité du traitement)
Amende totale : 100 000 €

🔐 Points clés

  1. Demander une pièce d’identité peut être justifié, mais uniquement avec information complète (article 13).
  2. Ne jamais demander un document d’identité par email non sécurisé.
  3. 🧾 Toujours avoir un registre des traitements, une politique de confidentialité claire, et une analyse de risques pour les données sensibles.

 

Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité