testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Espagne : ING sanctionnée pour traitement illicite de données personnelles dans le cadre de la vérification d’activité économique

Le 29 avril 2025, l’Agence espagnole de protection des données (AEPD) a infligé une amende de 2 millions d’euros, ramenée à 1,6 million, à ING Bank N.V., Sucursal en España.
 En cause : un traitement de données personnelles jugé illicite dans le cadre du processus d’ouverture de comptes clients, en lien avec les obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

Cette décision met en lumière un enjeu souvent sous-estimé par les acteurs bancaires et financiers : la cohérence entre la base légale invoquée et les mécanismes de recueil du consentement.

 

Contexte de la sanction : un consentement incompatible avec l’obligation légale invoquée

Dans le cadre de la contractualisation de certains comptes, ING exigeait des clients qu’ils donnent leur consentement exprès pour autoriser la banque à consulter des informations détenues par la Tesorería General de la Seguridad Social (TGSS), notamment sur leur activité professionnelle.

Cette pratique était justifiée par ING comme nécessaire à la mise en œuvre de ses obligations de vigilance renforcée en matière de LCB-FT.

Cependant, l’AEPD a considéré que la base légale invoquée (obligation légale) était invalide dans ce contexte. En effet, l’obtention du consentement des clients montrait que la transmission de données n’était pas encadrée directement par une obligation légale stricte, mais reposait en pratique sur une démarche volontaire de l’usager.

 

L’analyse de l’AEPD : une base juridique mal qualifiée

L’Agence a rappelé plusieurs principes essentiels du RGPD :

  • L’article 6(1) prévoit différentes bases légales distinctes pour justifier un traitement de données à caractère personnel.
  • Une obligation légale peut fonder un traitement sans consentement… à condition que la loi prévoie directement le recours à ce traitement.
  • Dans le cas présent, le fait de requérir le consentement exprès du client invalide l’argument d’une obligation légale : le traitement est alors considéré comme facultatif, et la base juridique doit être cohérente avec cette nature.

L’AEPD a donc conclu que le traitement était illicite, en l’absence de base légale appropriée et clairement documentée.

 

Enjeux juridiques : ne pas mélanger les bases légales

Cette affaire rappelle une erreur fréquente : invoquer une obligation légale tout en conditionnant le traitement au consentement de la personne concernée.

Le RGPD impose que chaque traitement soit fondé sur une base juridique unique, pertinente et documentée. Le choix de cette base a des conséquences pratiques et juridiques majeures :

  • Le consentement doit être libre, spécifique, éclairé et révocable. Il n’est donc pas compatible avec une exigence réglementaire impérative.
  • Une obligation légale n’admet pas de retrait ou d’opposition, mais elle doit être prévue expressément par une norme applicable.

Dans le cas ING, cette confusion a généré une non-conformité structurelle du processus de contractualisation.

 

Implications pour les organisations

Cette décision concerne avant tout le secteur bancaire et les prestataires financiers, mais son enseignement est bien plus large. Toute organisation soumise à des obligations réglementaires doit :

  • Vérifier la légitimité des bases légales invoquées, notamment dans les démarches automatisées ou numériques,
  • Documenter clairement les traitements dans le registre RGPD,
  • Éviter les approches hybrides (ex. : “obligation légale + consentement”), souvent non tenables juridiquement.

Les directions juridiques et conformité doivent donc collaborer étroitement avec les équipes métiers et les DPO pour garantir la robustesse des bases légales mobilisées.

 

Recommandations pratiques

Pour prévenir ce type de sanction, nous recommandons :

  • De réaliser un audit des traitements liés à la conformité réglementaire (KYC, LCB-FT, etc.),
  • De clarifier les bases légales dans votre registre de traitement et vos politiques internes,
  • De mettre à jour les formulaires de consentement et les processus de contractualisation,
  • De former les équipes opérationnelles à la distinction entre les bases juridiques du RGPD.

 

Vous avez un doute sur la validité de vos bases légales ?

A l’AGENCE RGPD, nous vous accompagnons pour sécuriser juridiquement vos traitements de données, notamment ceux liés à vos obligations réglementaires.

  • Analyse des traitements sensibles
  • Mise à jour de votre registre et documentation RGPD
  • Accompagnement DPO ou délégué externalisé

Contactez-nous dès aujourd’hui pour un audit personnalisé !


Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»