Décision du 14 octobre 2025 – AEPD (Autorité espagnole de protection des données)
Le 14 octobre 2025, l’AEPD a engagé une procédure contre la Mairie de Vigo pour avoir envoyé au domicile d’un administré des courriers administratifs mentionnant explicitement la nature d’une procédure de recouvrement. Les enveloppes comportaient des termes tels que « diligence de saisie » et « ordonnance de contrainte », ainsi qu’un numéro de dossier.
Ces mentions, visibles par toute personne manipulant le courrier (voisin, membre du foyer, tiers), ont été jugées contraires au principe de confidentialité prévu par le RGPD.
👉 Décision complète : https://www.aepd.es/documento/ps-00258-2023.pdf
Les faits
Dans le cadre d’une procédure de recouvrement forcé, la mairie a adressé au plaignant deux notifications postales.
Problème : l’enveloppe contenait des informations sensibles sur l’objet du courrier — informations qui révélaient la situation financière de la personne concernée.
Or, pour assurer l’acheminement, seule l’information suivante est nécessaire :
- l’identité du destinataire,
- son adresse.
Toute mention supplémentaire exposant la nature de la procédure est superflue… et risquée.
Le manquement constaté
L’autorité espagnole estime que la mairie n’a pas assuré une protection suffisante de la confidentialité des données personnelles du plaignant.
Elle rappelle que :
- les données liées à une situation économique ou à l’endettement sont considérées comme sensibles,
- leur divulgation peut porter atteinte à la dignité et à la vie privée de la personne concernée,
- les organismes publics sont soumis à une obligation renforcée de prudence lorsqu’ils communiquent ce type d’informations.
En inscrivant ces mentions sur l’enveloppe, la mairie a donc violé l’article 5(1)(f) du RGPD, qui impose une sécurité adaptée pour empêcher l’accès non autorisé à des données personnelles.
Pourquoi cette décision concerne toutes les organisations
On aurait tort de croire que ce problème ne concerne que les municipalités.
Il s’agit en réalité d’un risque fréquent dans de nombreuses structures :
- services administratifs,
- offices publics,
- cabinets d’experts-comptables,
- banques, assurances, bailleurs sociaux,
- entreprises privées envoyant des documents relatifs à des situations contractuelles ou financières.
Chaque fois qu’un courrier, un e-mail ou un avis affiche plus d’information que nécessaire, il y a risque de violation de confidentialité.
Ce que doivent faire les dirigeants
Cette affaire rappelle un principe simple :
La confidentialité se joue souvent… sur l’enveloppe.
Pour se mettre en conformité, il est recommandé de :
- Limiter strictement les informations visibles sur les enveloppes et les objets des e-mails.
- Former les équipes de gestion administrative au principe de minimisation.
- Mettre à jour les modèles de courriers, enveloppes préimprimées et parapheurs.
- Mettre en place une relecture RGPD avant diffusion de documents sensibles.
Ces ajustements sont simples, rapides et préviennent des risques inutiles.
Conclusion : Une erreur simple, un rappel fondamental
La décision de l’AEPD montre qu’une violation du RGPD ne vient pas toujours d’un piratage informatique.
Parfois, il s’agit simplement d’une enveloppe trop bavarde.
Cette affaire souligne l’importance :
- du principe de minimisation,
- du respect de la confidentialité,
et de la vigilance quotidienne dans les communications administratives ou commerciales.
