Vodafone-Panafon sanctionné 30 000 € en Grèce : les droits des personnes, angle mort des opérateurs télécoms

24/6/26
👈 les autres actualités

Le 11 février 2026, l'Autorité hellénique de protection des données (HDPA) a prononcé une amende de 30 000 euros à l'encontre de Vodafone-Panafon, l'un des principaux opérateurs de télécommunications en Grèce. Motif : violations répétées des obligations liées aux droits des personnes concernées. La décision, relayée par l'EDPB le 4 juin, s'appuie sur les articles 12, 15 et 18 du RGPD — et mérite l'attention de tout DPO gérant des flux de demandes clients.

Ce qui s'est passé

La HDPA a identifié trois manquements cumulés chez Vodafone-Panafon. D'abord, l'opérateur n'a pas respecté les obligations de transparence prévues à l'article 12 du RGPD : les personnes ayant exercé leurs droits n'ont pas été informées des suites données à leurs demandes dans les formes et délais réglementaires. Ensuite, les droits d'accès fondés sur l'article 15 du RGPD n'ont pas été correctement honorés : la communication des informations requises (catégories de données traitées, finalités, destinataires, durée de conservation) était incomplète ou absente. Enfin, des demandes de restriction de traitement formulées sur la base de l'article 18 ont été ignorées ou mal traitées.

En complément de l'amende, la HDPA a imposé des mesures correctives obligatoires à Vodafone-Panafon. La décision a été notifiée à l'EDPB conformément au mécanisme de coopération entre autorités européennes, qui documente et partage les sanctions prononcées au niveau continental.

Pourquoi c'est important

Cette décision illustre un angle mort fréquent dans les organisations : le dispositif de traitement des demandes d'exercice des droits. Si les grandes entreprises ont souvent investi dans la sécurité des données et la documentation des traitements, les procédures opérationnelles de réponse aux demandes restent parfois négligées — délais mal suivis, formulaires insuffisants, circuits internes inexistants.

Pour un opérateur de télécommunications, les volumes de demandes peuvent être élevés : portabilité, accès, rectification, effacement, restriction. Le RGPD impose un délai d'un mois pour y répondre (extensible à trois mois dans les cas complexes), avec une obligation d'information immédiate en cas de dépassement. L'article 12 est précis et exigeant sur ce point.

Le secteur des télécoms est particulièrement exposé à ce type de sanctions, comme le rappelle le bilan des sanctions CNIL du premier trimestre 2026, qui pointait déjà des manquements récurrents chez des opérateurs français. La décision grecque s'inscrit dans cette tendance européenne : les autorités de protection des données ciblent de plus en plus les défaillances procédurales, pas seulement les failles de sécurité.

Ce que ça change pour les organisations

Le premier réflexe est d'auditer son dispositif de gestion des droits. Trois questions s'imposent : votre organisation dispose-t-elle d'un canal de collecte des demandes clairement identifié ? Les délais de traitement sont-ils tracés et documentés ? Les réponses transmises contiennent-elles toutes les informations requises par le droit d'accès au sens du RGPD ?

La restriction de traitement (article 18) est souvent sous-estimée. Elle s'applique dans des cas précis : contestation de l'exactitude des données, traitement illicite dont la personne s'oppose à l'effacement, ou exercice de droits en justice. Pendant la période de restriction, les données ne peuvent plus être traitées activement — ce qui implique une procédure technique concrète, pas seulement administrative.

Pour les DPO, la décision Vodafone-Panafon rappelle l'importance de documenter chaque étape du traitement des demandes. Faciliter l'exercice des droits n'est pas qu'une obligation de moyens — c'est une obligation de résultat assortie de délais précis et de sanctions potentielles.

Ce que Leto pense de cette décision

30 000 euros pour un opérateur de la taille de Vodafone, c'est modeste sur le plan financier. Mais les mesures correctives imposées et la publication au niveau européen représentent un coût réputationnel et opérationnel réel. La décision grecque confirme une tendance de fond : les droits des personnes sont devenus un terrain de contrôle prioritaire pour les autorités. Les organisations qui n'ont pas structuré leur dispositif de gestion des demandes s'exposent à des sanctions croissantes, quelle que soit leur taille ou leur secteur.

Sources : EDPB — Imposition of fine on a telecommunications company for violations of data subject's rights

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026