Tout a commencé il y a deux ans, lorsqu'un utilisateur, alors qu'il tentait de souscrire des services de fibre et d'Internet mobile auprès de DIGI, a été rejeté pour défaut de paiement : l'entreprise affirmait avoir une dette impayée depuis 2021. Cependant, la personne concernée a affirmé n'avoir jamais contracté avec l'opérateur.
Face à ce refus, le demandeur a porté plainte auprès de la Garde civile, où une enquête a été ouverte pour usurpation d'état civil. DIGI lui a envoyé une copie du prétendu contrat, dans laquelle elle a vérifié que seuls ses nom, prénom et numéro DNI coïncidaient ; le reste des données – adresse, date de naissance et compte bancaire – appartenait à une autre personne.
Du rejet au succès du recours
Quelques mois plus tard, la partie concernée a également déposé une plainte auprès de l'AEPD, qui a été initialement archivée, car il était considéré qu'une infraction imputable à DIGI n'était pas prouvée. Cependant, la partie concernée n’a pas renoncé et a présenté un recours facultatif en réexamen, qui a été approuvé en mai 2024, ordonnant la réouverture du dossier.
Suite à de nouvelles actions d'enquête, l'Agence a déterminé que DIGI n'a pas vérifié efficacement l'identité de la personne qui a contracté les services en octobre 2021, permettant à un tiers d'utiliser les données personnelles de la victime pour formaliser un contrat frauduleux.
Lacunes dans la procédure d’identification
La résolution précise que le processus d'enregistrement DIGI a été effectué entièrement en ligne, via une signature électronique via le fournisseur de services de confiance Logalty. La confirmation a été effectuée au moyen d'un SMS au numéro de téléphone renseigné par le cocontractant, sans vérifier si ce numéro appartenait effectivement à la personne dont les données ont été fournies.
Par la suite, la carte SIM a été envoyée via Correos Express sous la modalité « livraison exclusive au destinataire », nécessitant la présentation du DNI. Cependant, l'AEPD souligne que cette vérification d'identité n'était ni vérifiable ni documentée. Autrement dit, Correos Express aurait pu voir un DNI – réel ou falsifié – mais il n'y avait aucune preuve objective que le document affiché coïncidait avec le véritable propriétaire des données utilisées.
Par conséquent, l’Agence conclut que la procédure DIGI a permis à une personne qui possédait le nom, le prénom et le numéro DNI d’une autre – information facilement accessible – de passer le contrôle et de recevoir la SIM à l’adresse de son choix.
En résumé, la fraude aurait pu être consommée parce que :
- Le système n'a pas vérifié la véracité des données (seulement que le DNI avait un format correct).
- La signature électronique a été validée à l'aide d'un numéro de téléphone non authentifié.
- La vérification à la livraison était purement visuelle et sans trace vérifiable.
Défense de DIGI : « Nous avons été victimes de fraude »
Pour sa défense, DIGI affirme avoir agi avec la diligence requise et que la fraude a été commise par un tiers extérieur à l'entreprise. Elle a fait valoir que son protocole contractuel prévoyait des mesures de sécurité suffisantes – telles qu'une signature électronique certifiée et une vérification en personne lors de la livraison de la carte SIM – et qu'elle ne pouvait pas être tenue de mettre en œuvre des mécanismes d'authentification « infaillibles ».
De même, il a soutenu que l'AEPD ne pouvait pas imposer une responsabilité objective pour un délit commis par une autre personne, rappelant que la jurisprudence espagnole exige de prouver l'intention ou la faute dans les actions de l'entité sanctionnée.
L'Agence a toutefois rejeté ces arguments, soulignant que les opérateurs de télécommunications, en raison de la nature de leur activité et du volume de données qu'ils traitent, doivent prendre des mesures de vérification extrêmes et mettre en œuvre des systèmes capables de prévenir la fraude à l'identité.
« Il ne suffit pas de se fier à un SMS »
L'AEPD a souligné que le système utilisé par DIGI n'offrait pas de garanties suffisantes, dans la mesure où l'envoi d'un SMS à un numéro fourni par le contractant lui-même ne constitue pas une preuve d'identité fiable. Il n’a pas non plus été prouvé que l’entreprise disposait d’un mécanisme permettant de démontrer que la personne qui avait présenté le DNI lors de la livraison était bien celle qui figurait dans le contrat :
« Il ne suffit pas de dire que l'employé a vérifié le DNI sans pouvoir le prouver de quelque manière que ce soit. »
Le principe de « responsabilité proactive », inscrit à l'article 5.2 du RGPD, oblige les entreprises non seulement à se conformer à la réglementation, mais aussi à pouvoir le démontrer à travers des politiques, des procédures et des preuves documentées.
Réparation ultérieure insuffisante
Après avoir été signalé à la Garde civile, l'opérateur a corrigé la situation, bloquant la dette et supprimant les données liées au contrat frauduleux. Cependant, l'AEPD a considéré que cette action, bien que appropriée, n'exonère pas l'infraction initiale, puisque le traitement illicite avait eu lieu deux ans auparavant.
Le régulateur a également rappelé que l'entreprise, en tant que responsable du traitement, assume le risque dérivé de ses procédures de vérification et ne peut se soustraire à sa responsabilité en alléguant les agissements d'un tiers.
Une amende exemplaire de 150 000 euros
Enfin, l'Agence espagnole de protection des données (AEPD) a infligé une amende de 150 000 euros à DIGI Spain Telecom SL pour violation de l'article 6.1 du Règlement général sur la protection des données (RGPD), qui exige que tout traitement de données personnelles ait une base juridique valable.
L'affaire DIGI rejoint d'autres dossiers similaires traités par l'AEPD contre des opérateurs qui n'ont pas correctement vérifié l'identité de leurs clients. Le régulateur a répété à plusieurs reprises que la numérisation des processus de passation des marchés ne peut justifier l’assouplissement des contrôles d’identité, alors que les fraudes par usurpation d’identité continuent de croître.
Par | Haut débit
