Vodafone-Panafon sanctionné 30 000 € en Grèce : quand ne pas répondre aux droits RGPD devient coûteux

24/6/26
👈 les autres actualités

Vodafone-Panafon paye 30 000 € pour ne pas avoir respecté ses délais RGPD

La Grèce vient d'infliger une amende de 30 000 euros à Vodafone-Panafon, l'opérateur télécom hellénique, pour manquement aux obligations de traitement des demandes d'exercice de droits. Ce n'est pas une fuite de données, pas un transfert illicite, pas un consentement mal recueilli — c'est l'incapacité à répondre correctement et dans les délais aux demandes des personnes. Une décision qui rappelle que les procédures internes sont au cœur de la conformité RGPD.

Ce qui s'est passé

L'autorité grecque de protection des données (HDPA) a sanctionné Vodafone-Panafon S.A. pour violations des droits des personnes concernées tels que définis par le RGPD. L'entreprise a manqué à ses obligations au titre de :

  • l'article 12 : transparence, modalités de traitement des demandes et délais de réponse (paragraphes 1, 2, 3 et 4) ;
  • l'article 15 : droit d'accès de la personne concernée ;
  • l'article 18 : droit à la limitation du traitement.

En plus de l'amende de 30 000 €, l'autorité a ordonné à Vodafone-Panafon de prendre des mesures techniques et organisationnelles appropriées pour garantir l'examen correct et rapide des demandes d'exercice de droits — avec notamment une formation renforcée des équipes concernées. Un rapport de mise en conformité doit être transmis à l'autorité dans un délai de six mois.

Pourquoi c'est important — et ce que ça dit du RGPD en pratique

Cette décision illustre un angle mort courant dans les programmes de conformité : les organisations travaillent dur sur la collecte de données, la base légale, les AIPD — mais traitent les droits des personnes comme une procédure secondaire. Or c'est précisément ce que contrôlent de plus en plus les autorités.

Le RGPD est très précis sur les délais : un mois pour répondre, deux mois de plus si la demande est complexe, mais avec obligation d'informer la personne dans le premier mois. L'article 12 encadre aussi la façon dont la réponse doit être formulée — compréhensible, accessible, gratuite. Un opérateur télécom comme Vodafone gère des millions de clients. À ce volume, une procédure mal calibrée génère des violations en série.

La décision s'appuie également sur l'article 83 du RGPD, qui fixe les conditions d'imposition des amendes administratives. Les violations du chapitre III — droits des personnes — sont passibles d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Une amende de 30 000 € peut sembler modeste, mais elle s'accompagne d'obligations correctives contraignantes, souvent plus coûteuses à mettre en œuvre que l'amende elle-même.

Ce que ça change pour les organisations — actions concrètes

Pour les DPO et responsables conformité, cette décision pointe vers trois actions prioritaires :

1. Auditez votre procédure de traitement des demandes d'exercice de droits. Avez-vous un registre des demandes reçues ? Un processus de vérification de l'identité du demandeur ? Des délais suivis ? Si non, commencez par notre guide sur comment faciliter l'exercice des droits dans le RGPD.

2. Formez les équipes en contact avec les demandes. Les violations sanctionnées ici impliquent des représentants de l'entreprise — service client, équipes support, ressources humaines. La formation n'est pas optionnelle : c'est une mesure organisationnelle exigée par l'article 12.

3. Documentez les réponses. L'autorité grecque a imposé la transmission de documentation dans les six mois. En cas de contrôle, c'est la traçabilité qui vous protège. Notre guide sur l'exercice du droit d'accès détaille les bonnes pratiques documentaires.

Ce que Leto pense de cette décision

Cette sanction est un rappel bienvenu que la conformité RGPD ne se résume pas à la collecte et à la sécurité des données. Les droits des personnes concernées sont le cœur du règlement — ils sont ce qui distingue le RGPD d'un simple cadre de cybersécurité. Une organisation qui ne sait pas répondre à une demande d'accès dans les délais légaux n'est pas conforme, quoi qu'il en soit par ailleurs.

30 000 euros pour un opérateur de la taille de Vodafone-Panafon, c'est une amende symbolique. Mais l'injonction corrective — mesures organisationnelles, formation, rapport de suivi — représente un coût réel et une surveillance durable. C'est le véritable enjeu de ces décisions : pas l'amende immédiate, mais la mise sous observation.

Sources : EDPB — Imposition of fine on a telecommunications company for violations of data subject's rights

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026