L’autorité de protection des données inflige une amende de 2,5 millions d’euros à Openbank

La filiale de Santander a déjà fait appel de l’amende.

MADRID, 28 juillet (CALPA PARIS) –

L’Agence espagnole de protection des données a infligé une amende de 2,5 millions d’euros à Openbank pour ne pas avoir mis en œuvre une série de mesures « renforcées » pour garantir les principes de protection des données, ainsi que pour l’absence de mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité « adéquat » par rapport au risque au moment où les faits se sont produits, en juillet 2021, selon la résolution consultée par Europa Press.

Cette sanction intervient après qu’un client d’Openbank, à qui la banque avait demandé de déclarer l’origine de divers montants reçus sur son compte bancaire – conformément à la réglementation contre le blanchiment d’argent – a demandé à la banque un mécanisme permettant d’envoyer les informations demandées sous forme cryptée ou par téléchargement direct sur le portail web, la seule option valable étant de les envoyer par courrier électronique.

Après avoir mené une enquête, la protection des données conclut que le courrier électronique était le « seul canal de communication » pour l’envoi des documents proposés aux clients à l’époque. Le mécanisme consistait à répondre à l’e-mail lui-même, un moyen d’envoi qui n’était pas « adéquat » en termes de risque pour les droits et libertés des personnes concernées.

En outre, elle souligne qu’il ne s’agit pas d’un moyen approprié pour garantir un niveau de sécurité adapté au risque dans l’envoi de documentation contenant des données à caractère personnel liées à la loi sur la prévention du blanchiment de capitaux et du financement du terrorisme, qui requièrent une « protection spéciale », compte tenu de la réglementation sur la prévention du blanchiment de capitaux, de la nature des données traitées et du RGPD.

A lire aussi  Les exportations espagnoles de vin ont augmenté de 1,3 % au cours du premier semestre de l'année

Elle indique également que les informations demandées par Openbank au client sont considérées comme des  » données financières « , ce qui a nécessité la mise en œuvre d’une série de  » mesures renforcées  » pour appliquer efficacement les principes de protection des données et intégrer les garanties nécessaires dans le traitement, afin de se conformer aux exigences du GDPR et de protéger les droits des personnes concernées.

Ainsi, l’agence note que cette affaire ne porte pas sur la question de savoir si des mesures de sécurité de « haut niveau » doivent être mises en place, mais plutôt sur le fait que des mesures doivent être mises en place pour assurer un niveau de sécurité « approprié » au risque pour les droits et libertés des personnes physiques.

La résolution souligne également que ce n’est qu’en octobre 2022 que les protocoles de communication, d’évaluation d’impact et de suivi des clients et des transactions sensibles ont spécifiquement intégré le fait que les clients pouvaient fournir la documentation demandée via le site web de l’Openbank, en se connectant à l’espace client privé avec leur carte d’identité et leur mot de passe.

L’Agence de protection des données a donc considéré qu’Openbank a commis une infraction pour violation des articles 25 et 32 du GDPR, avec des circonstances aggravantes dues à la nature, la gravité et la durée de l’infraction, « l’internationalité ou l’absence de licence », la catégorie de données affectées et le lien entre l’activité du contrevenant et le traitement des données, de sorte que la sanction conjointe est de 2,5 millions d’euros.

A lire aussi  L'Espagne et la Belgique collaboreront sur les questions socioprofessionnelles dans le cadre de leurs présidences respectives du Conseil de l'UE

Un recours en réexamen peut être introduit auprès de la direction de l’agence ou, alternativement, un recours en révision peut être introduit directement auprès de la chambre administrative de l’Audiencia Nacional (Cour suprême nationale). À cet égard, Openbank a déjà introduit un recours contre la décision relative à la protection des données, comme indiqué à Europa Press.

Auteur/autrice