McDonald's Pologne : exposition de données employés

L’autorité polonaise de protection des données (UODO) a sanctionné la filiale polonaise de McDonald’s à la suite d’une violation de données touchant des employés et du personnel travaillant dans des restaurants franchisés. Selon l’EDPB, la fuite résulte d’une configuration incorrecte d’un serveur, qui a rendu consultable une copie de la base de données de l’application de planning du travail. Les données exposées comprenaient les noms, les numéros PESEL (identifiant national polonais), des numéros de passeport (en l’absence de PESEL), le numéro de restaurant, les horaires et plannings de travail, les fonctions et les congés.

L’UODO a infligé une amende totale de 4 022 773 EUR à McDonald’s Polska sp. z o.o., en qualité de responsable de traitement, et de 43 680 EUR à son sous-traitant 24/7 Communication Sp. z o.o. (services de relations publiques). L’autorité a retenu l’absence d’analyse de risque par les deux parties, des mesures techniques et organisationnelles insuffisantes, un défaut de supervision du sous-traitant, le recours à un sous-traitant ultérieur sans contrat adéquat, ainsi qu’une implication insuffisante du délégué à la protection des données. Les personnes concernées étant des résidents polonais, l’incident relève bien de données de citoyens européens.

Plusieurs incertitudes subsistent. Le nombre exact de personnes touchées n’est communiqué par aucune des sources consultées. La date de la décision diffère selon les sources : l’EDPB indique le 23 juin 2025, tandis que certaines publications de presse évoquent une annonce ou publication le 21 juillet 2025. Le montant de l’amende est par ailleurs exprimé en zlotys (environ 16,9 millions PLN pour McDonald’s Polska), ce qui explique les écarts d’arrondi en euros relevés dans la presse (entre 3,6 et 4,02 millions EUR selon le taux de change retenu).