Violation de données personnelles due à une erreur humaine : la société UNIQLO a payé 270 000 euros d’amende

Le 5 juillet 2024, l’Agence Espagnole de Protection des Données a engagé une procédure de sanction contre la société UNIQLO en Espagne, suite à deux plaintes déposées en mars 2023.

Origine de la fuite : suite à la demande d’une personne (le Plaignant) sollicitant copie de son bulletin de paie de juillet 2022, un salarié du service des ressources humaines (RH) lui a envoyé un PDF contenant les informations de l’ensemble du personnel d’UNIQLO relatives aux fiches de paie du mois de juillet. Le fichier contenait notamment les données personnelles suivantes : nom, prénom, numéro de Sécurité Sociale, numéro de compte bancaire et rémunération perçue. Le salarié des RH n’ayant pas prévenu son supérieur hiérarchique, ni le service de la sécurité informatique, la société UNIQLO n’a eu connaissance de cette violation de données que lorsque l’Autorité espagnole lui a notifié la réclamation du Plaignant.

UNIQLO a par la suite procédé à la notification de la violation à l’Autorité puis a diffusé un communiqué à tous les salariés, ainsi qu’au Comité d’entreprise, afin de les informer de la fuite de données.

  1. Une erreur humaine reste possible malgré les mesures techniques et organisationnelles en place

La décision montre qu’UNIQLO disposait de l’ensemble des preuves démontrant qu’une telle erreur n’aurait pas dû arriver :

  • Les salariés, y compris le fautif, avaient reçu plusieurs circulaires sur le sujet des violations et bénéficié de plusieurs formations,
  • La société UNIQLO disposait d’un portail en ligne géré par le bureau de la sécurité de l’information où les employés pouvaient accéder à la documentation relative à la sécurité de l’information,
  • Plusieurs procédures étaient en place, prévoyant l’obligation des salariés de notifier les violations de données.

L’Autorité espagnole insiste sur le fait que les mesures techniques et organisationnelles de sécurisation des données n’étaient pas adéquates. Mais elle se garde bien d‘expliquer ce qu’aurait pu faire UNIQLO. Comment une société peut-elle éviter les erreurs humaines ? Elle peut certes diminuer le risque, mais personne n’est à l’abri d’un salarié qui cache sa propre faute par peur des représailles.

Au sein de la société UNIQLO, les mesures semblaient suffisantes. Néanmoins, l’on peut s’interroger sur le système informatique de gestion de la paie qui a permis de faire une extraction de données si importantes dans un seul PDF.

Les manquements retenus sont sévères, d’autant qu’il s’agit d’un unique envoi et non de problèmes systémiques.

2. Les manquements RETENUS

Les manquements reprochés portent sur le manque de confidentialité des données et la violation du principe de sécurité des données à caractère personnel.

L’article 5.1.f) du RGPD pose le principe de la confidentialité et de l’intégrité des données à caractère personnel : « Les données à caractère personnel doivent être  (…) f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); »

En l’espèce, l’envoi de données personnelles à un tiers non autorisé à en connaître, constitue un traitement non autorisé ou illicite, accidentel.

L’article 32 du RGPD impose aux responsables du traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. Selon l’Autorité espagnole, les fiches de paie ont été envoyées par e-mail sans chiffrement ni autres protections nécessaires. Mais le chiffrement aurait-il permis d’éviter l’erreur ? Non, puisque le salarié des RH aurait donné le mot de passe de déchiffrement à la personne qui aurait de toute façon accédé aux informations des tiers. Le problème vient du fait que le salarié des RH n’a pas vérifié le PDF qu’il a généré.

3. Les mesures de sécurité post-incident

Suite à l’incident, UNIQLO a mis en place plusieurs nouvelles mesures de sécurité pour renforcer la protection des données personnelles et prévenir de futures violations :

  • Le renforcement des formations sur la protection des données,
  • Une surveillance continue pour vérifier que les données compromises n’ont pas été publiées,
  • La mise en place de nouvelles mesures de type organisationnelles : possibilité pour les anciens employés d’accéder à leurs fiches de paie pendant une période de 60 jours après la fin de leur contrat, révision du processus d’envoi des fiches de paie par le département des ressources humaines et refonte des protocoles internes de ce département.

L’employé responsable a par ailleurs fait l’objet d’une mesure disciplinaire.

4. Responsabilité et Sanction


Bien que la violation soit due à une erreur humaine, la responsabilité d’UNIQLO demeure engagée conformément au RGPD. De plus, les mesures prises après l’incident, bien qu’importantes, ne peuvent pas exonérer l’entreprise de sa responsabilité pour la violation initiale.

Selon l’Autorité, étant donné que l’information a été envoyée par courrier électronique, cela implique un risque plus élevé de fuite des données, non seulement pour le destinataire du courriel (le Plaignant), mais aussi en raison des vulnérabilités en matière de sécurité du courrier électronique, puisque, les données n’étant pas chiffrées, tout attaquant peut accéder aux données en transit.

L’Autorité note que le nombre de personnes concernées est important (447) et que la nature des données doit également être prise en compte dans l’évaluation du montant de la sanction (n° de sécu, numéro de compte bancaire, montant du salaire)

Bien qu’il ne soit pas possible de considérer que UNIQLO a agi avec une intention frauduleuse, l’Autorité observe un manque de diligence dans la gestion des fiches de paie des travailleurs.

En raison des violations des articles 5.1.f) et 32 du RGPD, les amendes proposées furent :

  • 300.000 euros pour l’infraction à l’article 5.1.f).
  • 150.000 euros pour l’infraction à l’article 32 du RGPD.

En Espagne, le paiement volontaire de l’amende et la reconnaissance de la responsabilité permettent de prétendre à une amende plus faible (en l’espèce 270.000 euros).

Le 22 juillet 2024, UNIQLO a payé une amende réduite de 270.000 euros, reconnaissant sa responsabilité et renonçant à tout recours administratif. La procédure a été clôturée, et UNIQLO doit notifier à l’AEPD, dans un délai de 3 mois, les mesures adoptées pour garantir la conformité future avec le RGPD.

Cette décision met en lumière l’importance cruciale de permettre la détection des violations de données et de sensibiliser les employés pour que le silence ne puisse plus être une option.

Charlotte GALICHET

Laetitia YAMMINE

Bookmark the permalink.

Laisser un commentaire