AEPD (Espagne), 23 août 2022
L’autorité de contrôle espagnole a sanctionné un fournisseur d’énergie pour avoir transféré à un inconnu les factures d’une cliente sans le consentement de cette dernière.
Une cliente, constatant que son adresse mail avait été modifiée et que ses dernières factures avaient été transférées à un inconnu par son fournisseur de gaz et d’électricité (le « Fournisseur »), a déposé une plainte auprès de l’autorité de contrôle espagnole.
L’enquête menée par l’autorité de contrôle a révélé que l’inconnu s’était présenté comme un parent de la cliente et avait contacté le service client du Fournisseur afin d’obtenir un duplicata des dernières factures d’électricité.
Face à une telle demande, le Fournisseur avait mis en œuvre sa « politique de sécurité » et exigé de l’inconnu certaines informations qui ne sont, en principe, connues « que par le titulaire du contrat, ou par une personne autorisée par le titulaire ». Ainsi, l’inconnu a dû fournir (i) le nom et le prénom de la cliente, (ii) son numéro d’identification (iii) son adresse et (iv) la référence du contrat. Plus encore, l’inconnu a transmis au Fournisseur la carte d’identité de la cliente et les 4 derniers chiffres du compte bancaire.
L’autorité de contrôle, rappelant le contenu des articles 5 et 32 du RGPD, a considéré que le responsable du traitement doit, en plus d’assurer la sécurité du traitement, avoir une démarche « proactive » et doit pouvoir démontrer le respect du RGPD.
Or, en l’espèce, l’autorité de contrôle a considéré que le Fournisseur a violé (i) les principes d’intégrité et de confidentialité des données car, malgré les mesures de sécurité mises en œuvre, le Fournisseur a permis, à un tiers, d’accéder aux données à caractère personnel d’un client sans son consentement, et (ii) l’obligation de sécurité des traitements dès lors que les mesures de sécurité mises en place n’ont pas été suffisantes pour prévenir la violation de données personnelles.
En conséquence, le Fournisseur s’est vu infligé une amende de 48 000 euros.
Source : ici
