Le 23 février 2026, l’autorité polonaise de protection des données (UODO) a infligé une amende de plus de 11 millions de zlotys (environ 2,5 millions d’euros) à la société DPD Polska pour plusieurs manquements liés à la sous-traitance et à la sécurité des données.
Cette décision rappelle que la protection des données ne se limite pas aux systèmes informatiques : elle concerne aussi les processus opérationnels, notamment dans les secteurs de la logistique et du transport.
Les faits : des transporteurs externes sans contrat de sous-traitance
DPD Polska faisait appel à des transporteurs externes pour acheminer des colis entre ses différentes agences.
L’entreprise estimait que ces prestataires n’étaient pas des sous-traitants au sens du RGPD, car leur mission consistait uniquement à transporter des colis, sans traitement direct des données.
Cependant, l’UODO a considéré que cette analyse était incorrecte.
Lors du chargement et du déchargement des colis, les transporteurs avaient accès aux données personnelles présentes sur les étiquettes d’expédition, notamment :
- le nom du destinataire,
- l’adresse,
- parfois le numéro de téléphone.
Cet accès suffit à qualifier les transporteurs de sous-traitants, ce qui implique l’obligation de conclure un contrat de sous-traitance conforme à l’article 28 du RGPD.
Une mauvaise appréciation de la notion de traitement des données
L’affaire met en lumière une confusion fréquente :
beaucoup d’organisations pensent qu’il y a traitement de données uniquement lorsque celles-ci sont manipulées dans un système informatique.
Or, le RGPD adopte une définition beaucoup plus large.
Le simple fait de voir, manipuler ou transporter un support contenant des données personnelles constitue déjà un traitement.
Dans le cas présent, les transporteurs avaient un accès potentiel aux données figurant sur les colis, ce qui les plaçait juridiquement dans la catégorie des sous-traitants.
Des habilitations d’accès jugées insuffisantes
L’autorité polonaise a également relevé des défaillances dans la gestion des habilitations d’accès aux données.
Le système mis en place par l’entreprise reposait sur un processus automatisé :
après une formation en ligne et la réussite d’un test, un fichier informatique était généré pour attester de l’autorisation de traiter des données personnelles.
Pour l’UODO, ce dispositif ne constituait pas une habilitation valide, car le document généré ne comportait pas :
- le nom de l’employé autorisé,
- ni la signature de la personne accordant l’autorisation.
Cette absence de formalisation rendait impossible de prouver clairement qui était habilité à accéder aux données et dans quelles conditions.
Les enseignements pour les entreprises
Cette sanction délivre plusieurs messages importants pour les organisations.
D’abord, la notion de sous-traitant doit être interprétée de manière large.
Toute personne ou entité qui peut accéder à des données personnelles dans le cadre d’une mission doit être encadrée par un contrat conforme au RGPD.
Ensuite, la gestion des habilitations ne doit pas être purement technique ou automatisée.
Elle doit être clairement formalisée, traçable et attribuée à des personnes identifiées.
Enfin, les entreprises doivent analyser leurs processus opérationnels dans leur ensemble, y compris les activités logistiques ou physiques qui peuvent exposer des données personnelles.
Conclusion : la protection des données dépasse les systèmes informatiques
La décision concernant DPD Polska montre que les obligations du RGPD s’étendent bien au-delà des outils numériques.
Les flux physiques, les partenaires logistiques et les processus organisationnels peuvent eux aussi exposer des données personnelles et doivent être encadrés.
Pour les dirigeants, cette affaire rappelle qu’une conformité efficace repose sur une vision globale des traitements, intégrant aussi bien les systèmes d’information que les opérations de terrain.
