Le 26 août 2025, l’autorité espagnole de protection des données (AEPD) a sanctionné Yunexpress Spain, S.L., une société de livraison, d’une amende de 9 000 euros pour manquements au RGPD. Derrière ce cas précis se cache un enseignement important pour toutes les entreprises qui travaillent avec des sous-traitants : la conformité ne s’arrête pas à sa propre organisation, elle s’étend à toute la chaîne de traitement.
Les faits à l’origine de la sanction
Un particulier a contesté la réception d’un colis à son domicile. Le bon de livraison qui lui a été présenté comportait une signature et un numéro d’identification qui ne lui appartenaient pas. Cette erreur a révélé un problème de fiabilité dans la gestion des données de livraison. En pratique, les informations personnelles de différentes personnes se sont retrouvées mélangées, compromettant ainsi l’exactitude et la sécurité du traitement.
Le problème de fond : la sous-traitance mal encadrée
Au-delà de l’erreur opérationnelle, l’AEPD a constaté que le contrat entre Yunexpress et son sous-traitant ne respectait pas les obligations du RGPD. Plusieurs points étaient défaillants : absence de garanties suffisantes en matière de sécurité, manque de clarté sur l’autorisation de faire appel à d’autres sous-traitants, et contrôle insuffisant de la chaîne de traitement. En d’autres termes, le responsable de traitement n’avait pas la maîtrise juridique et organisationnelle nécessaire sur ses partenaires.
Ce que le RGPD exige en matière de sous-traitance
Le RGPD est clair : toute relation avec un sous-traitant doit être encadrée par un contrat de sous-traitance conforme (article 28). Ce contrat doit préciser les instructions du responsable de traitement, les mesures de sécurité mises en œuvre, les conditions de recours à la sous-traitance ultérieure et les modalités de contrôle. Sans ces garanties, le responsable de traitement perd sa capacité à protéger les données et s’expose à des sanctions.
Les leçons pour les entreprises
Cette sanction illustre parfaitement un risque courant. Beaucoup d’entreprises confient des données personnelles à des prestataires sans vérifier en détail la solidité juridique et opérationnelle du contrat. Or, en cas d’erreur ou de défaillance, la responsabilité reste partagée. Même une amende de “seulement” 9 000 euros peut avoir des conséquences en termes d’image, de confiance et de relation client. Pour des sociétés de logistique, de santé, de RH ou de services numériques, les enjeux sont encore plus importants.
Comment éviter ce type de sanction ?
La clé réside dans une bonne gouvernance de la sous-traitance. Cela passe par :
- la mise en place de contrats conformes et régulièrement mis à jour,
- la vérification des mesures de sécurité appliquées par les sous-traitants,
- l’évaluation régulière de la fiabilité opérationnelle des prestataires,
- et le maintien d’un contrôle effectif sur toute la chaîne de traitement.
Conclusion : un rappel utile pour toutes les organisations
L’affaire Yunexpress Spain est un exemple concret de ce qui peut arriver lorsqu’une entreprise délègue des traitements sans s’assurer d’un encadrement juridique et technique suffisant. Elle rappelle que la conformité au RGPD n’est pas seulement une formalité : c’est un outil essentiel pour garantir la confiance des clients et la sécurité des données.
