Vodafone-Panafon condamné à 30 000 € en Grèce : quand l'exercice des droits RGPD vire à l'obstacle course

25/6/26
👈 les autres actualités

La DPA grecque (HDPA) a sanctionné Vodafone-Panafon, l'opérateur télécom dominant du marché hellénique, d'une amende de 30 000 euros pour avoir systématiquement entravé l'exercice des droits d'un de ses clients. Articles 12, 15 et 18 du RGPD en cause — un triptyque d'infractions que toute organisation gérant des demandes de droits en volume ferait bien d'étudier de près.

Ce qui s'est passé

La décision a été rendue le 11 février 2026 et relayée par l'EDPB le 4 juin 2026. Tout est parti d'une plainte déposée contre Vodafone-Panafon S.A Hellenic Telecommunications Company par un client qui réclamait l'accès aux enregistrements de ses appels téléphoniques et souhaitait simultanément exercer son droit à la limitation du traitement.

L'enquête de l'HDPA a révélé un cas d'école de gestion défaillante des demandes d'exercice de droits. Les infractions relevées portaient sur quatre points cumulés :

  • Accès refusé ou insuffisant aux enregistrements d'appels demandés
  • Obstacles concrets posés à l'exercice du droit d'accès (article 15 RGPD)
  • Informations contradictoires communiquées au plaignant sur la procédure à suivre
  • Non-respect des délais de réponse imposés par l'article 12(3) du RGPD

Outre l'amende, l'HDPA a ordonné à l'opérateur d'adopter des mesures techniques et organisationnelles pour garantir un traitement correct et dans les délais des demandes — notamment une formation renforcée des représentants en contact avec les clients — et de fournir les justificatifs correspondants dans un délai de six mois.

Pourquoi c'est important — les droits des personnes, terrain de prédilection des autorités

Cette décision intervient dans un contexte où les autorités européennes intensifient leur surveillance des procédures d'exercice des droits. Le droit d'accès et le droit à la limitation du traitement sont deux droits fondamentaux que les organisations doivent honorer dans un délai d'un mois — prolongeable à trois mois pour les demandes complexes, mais toujours avec notification préalable à la personne concernée.

L'article 12 est le texte pivot qui structure toutes les procédures. Il impose quatre obligations cumulatives : informer clairement la personne de l'existence du droit, faciliter son exercice, répondre dans les délais, et informer la personne en cas d'impossibilité d'agir. Vodafone-Panafon a failli sur chacun de ces volets — une erreur coûteuse mais évitable.

Pour les opérateurs télécoms et, plus largement, pour toute organisation gérant des données d'enregistrement d'appels, la décision soulève une question concrète : avez-vous vérifié que votre procédure de traitement des demandes d'accès aux données voix est documentée, opérationnelle et testée ? Les autorités savent que ce type de données — sensibles, volumineuses, souvent détenues plusieurs mois — est un point de friction fréquent pour les personnes concernées.

Ce que ça change pour les organisations — les leçons opérationnelles

La décision de l'HDPA pointe un risque sous-estimé : les défaillances procédurales sur les droits des personnes sont sanctionnées indépendamment de tout préjudice matériel. Il n'est pas nécessaire qu'une violation de données ait eu lieu. Des délais manqués, un formulaire introuvable ou des réponses incohérentes entre équipes suffisent à caractériser l'infraction.

Trois actions prioritaires s'imposent. Premièrement, auditez votre procédure de traitement des droits. Disposez-vous d'un canal dédié clairement identifié ? Les délais sont-ils trackés dans votre outil de gestion ? Un panorama complet des droits RGPD peut servir de base à cet audit interne.

Deuxièmement, formez vos équipes en contact client. La décision grecque insiste particulièrement sur la formation des représentants. Une formation insuffisante génère des réponses incohérentes d'un agent à l'autre — exactement ce qui a conduit à la sanction ici. Votre procédure doit être formalisée et accessible à tous les collaborateurs concernés.

Troisièmement, documentez chaque étape du traitement des demandes. L'autorité peut exiger la preuve que vous avez agi conformément à l'article 12. Sans traçabilité, vous ne pouvez pas démontrer votre conformité — c'est le principe d'accountability. Les sanctions potentielles prévues à l'article 83 du RGPD pour les violations des droits des personnes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Les 30 000 € infligés à Vodafone-Panafon représentent la fourchette basse, mais l'injonction corrective sur six mois est souvent l'impact le plus lourd opérationnellement.

Ce que Leto pense de cette décision

Cette décision est une piqûre de rappel bienvenue : l'article 12 est souvent traité comme du droit procédural périphérique, mais c'est l'un des textes les plus contrôlés par les autorités, précisément parce qu'il est vérifiable sans expertise technique. Un plaignant mécontent, une réponse hors délai, un formulaire introuvable — et la plainte est déposée. Pour les grandes organisations qui traitent des centaines de demandes d'exercice de droits par mois, industrialiser cette procédure n'est plus une option : c'est une condition de survie réglementaire.

Sources : Décision EDPB — Vodafone-Panafon, 4 juin 2026

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026