Le 6 novembre 2025, l’Autorité espagnole de protection des données (AEPD) a adressé un avertissement à Carnicerías Campoverde, une enseigne de distribution alimentaire, pour violation du principe d’exactitude des données personnelles.
L’affaire illustre parfaitement l’un des risques les plus courants et les plus sous-estimés en matière de RGPD : les erreurs opérationnelles qui entraînent la divulgation de données à des tiers.
Les faits : une commande envoyée… à la mauvaise personne
L’affaire débute lorsqu’une cliente reçoit à son domicile une commande qui ne lui était pas destinée.
Le colis contenait également un bon de livraison mentionnant :
- le nom du véritable destinataire,
- son adresse,
- son numéro de téléphone.
Ce type d’erreur, apparemment simple, constitue néanmoins une violation directe de la confidentialité des données et entraîne un partage non autorisé d’informations entre clients.
L’entreprise a reconnu les faits et invoqué un dysfonctionnement logiciel à l’origine du mélange de commandes.
La position de l’AEPD : une violation du principe d’exactitude
L’autorité rappelle qu’en vertu de l’article 5(1)(d) du RGPD, les données personnelles doivent être :
- exactes,
- mises à jour,
- et traitées de manière correcte.
L’erreur ayant conduit à envoyer la commande à la mauvaise cliente a provoqué un mélange d’identités, exposant les données personnelles d’un client à un autre.
L’AEPD estime que l’entreprise aurait dû :
- garantir l’intégrité des données,
- sécuriser le parcours logistique,
- et mettre en place des mécanismes de contrôle permettant d’éviter (ou de détecter) ce type d’incident.
Comme l’entreprise a reconnu l’erreur et mis en œuvre des mesures correctives, l’AEPD se limite à un avertissement, sans sanction financière.
Une erreur fréquente qui doit alerter les dirigeants
Cette décision montre que les violations de données ne sont pas toujours liées à des cyberattaques.
Elles proviennent très souvent :
- d’erreurs humaines,
- de défauts de paramétrage,
- ou de dysfonctionnements techniques dans les systèmes internes.
Les dirigeants doivent comprendre que :
- le RGPD s’applique à tous les flux internes, incluant la préparation logistique, l’édition des bons de livraison, la mise à jour des adresses, etc.
- un simple colis mal étiqueté peut constituer une violation de données.
- l’entreprise est responsable, même si l’incident est dû à un logiciel.
L’enjeu : fiabiliser les processus pour éviter toute exposition accidentelle des données clients.
Les mesures correctives attendues
Selon l’AEPD, pour prévenir ces incidents, les entreprises doivent :
- Auditer régulièrement leurs systèmes et logiciels pour détecter les erreurs potentielles.
- Encadrer les opérations logistiques avec des contrôles systématiques (double vérification, confirmation d’adresse, scan des commandes).
- Former les équipes à la gestion des données personnelles dans le cadre de leurs tâches quotidiennes.
- Documenter les incidents et les mesures prises, comme exigé par le RGPD.
Même lorsqu’il s’agit d’un dysfonctionnement technique, l’entreprise reste responsable de la protection des données personnelles qu’elle traite.
Ce que doivent retenir les organisations
Cette décision sert de piqûre de rappel :
Un mauvais adressage, un bon de commande mal attribué ou une erreur d’étiquetage peuvent constituer une violation de données.
La conformité RGPD ne concerne pas seulement les responsables juridiques ou informatiques :
elle implique aussi les équipes opérationnelles, logistiques, transport et service client.
La qualité des données est un pilier essentiel de la protection des données personnelles.
Conclusion : l’exactitude des données, un enjeu concret du quotidien
L’affaire Carnicerías Campoverde montre que le principe d’exactitude n’est pas un concept théorique, mais une exigence pratique qui doit irriguer l’ensemble des opérations internes.
Un simple “bug” peut provoquer une violation de données et nuire à la confiance des clients.
