Vodafone GmbH : sanction BfDI 45 M EUR

Le 3 juin 2025, l’autorité fédérale allemande de protection des données (BfDI), dirigée par la Pr Louisa Specht-Riemenschneider, a annoncé deux amendes totalisant 45 millions d’euros à l’encontre de Vodafone GmbH, filiale allemande de l’opérateur télécom. La décision sanctionne deux séries de manquements distincts au RGPD, portant sur le contrôle des sous-traitants et sur la sécurité technique des accès clients.

La première amende, de 15 millions d’euros, vise un défaut de sélection et de surveillance des agences partenaires chargées de commercialiser des contrats pour le compte de Vodafone (article 28 du RGPD). Selon le BfDI, des employés de ces partenaires ont créé de faux contrats et procédé à des modifications contractuelles non autorisées, au préjudice des clients. La seconde amende, de 30 millions d’euros, sanctionne des failles d’authentification dans le portail « MeinVodafone » combiné à la hotline, qui auraient permis à des tiers non autorisés d’accéder aux profils eSIM et aux données personnelles des clients (article 32 du RGPD).

Les données concernées comprennent des informations contractuelles, des données de compte client et des profils eSIM. Ni le communiqué officiel ni les analyses consultées ne précisent le nombre de personnes affectées ; cette donnée reste donc inconnue. La sanction porte sur des clients allemands de Vodafone, donc des personnes situées dans l’Union européenne ; aucune source ne mentionne de clients français spécifiquement concernés.

Le BfDI a souligné la coopération « continue et sans réserve » de Vodafone. L’entreprise a payé l’intégralité des amendes, remplacé ou révisé les systèmes en cause, refondu ses processus de sélection et d’audit des agences partenaires et rompu avec les partenaires identifiés comme fraudeurs. Des contrôles de suivi sont prévus par l’autorité pour vérifier l’efficacité des mesures correctives.