L’autorité italienne de protection des données a infligé une amende de plus de 12,5 millions d’euros à deux sociétés postales après avoir déterminé que leurs applications mobiles collectaient les données des utilisateurs d’une manière qui violait les réglementations sur la vie privée.
Les pénalités ont été infligées à Poste Italiane SpA, un prestataire de services postaux et financiers contrôlé par l’État, et à sa filiale de paiements numériques Postepay SpA. Poste Italiane a été condamné à une amende de 6,6 millions d’euros, tandis que Postepay a écopé d’une amende de 5,9 millions d’euros à la suite d’une enquête sur ses pratiques de traitement des données.
L’enquête a débuté en avril 2024 après que les autorités ont reçu des plaintes concernant le fonctionnement des applications mobiles des entreprises. L’enquête s’est concentrée sur les applications utilisées pour les services financiers, notamment BancoPosta et Postepay, largement utilisées pour les paiements et la gestion de comptes en Italie.
Selon le régulateur, ces applications exigeaient que les utilisateurs autorisent la surveillance des données stockées sur leurs appareils mobiles comme condition d’accès aux services. Cela comprenait des informations sur les applications installées et en cours d’exécution, ainsi que d’autres données liées aux appareils utilisées pour évaluer les risques potentiels de sécurité.
Les entreprises ont déclaré que ces mesures visaient à détecter les logiciels malveillants et à prévenir la fraude, invoquant le respect des réglementations sur les services de paiement. Cependant, l’autorité italienne de protection des données a constaté que le niveau de surveillance dépassait ce qui était nécessaire pour des raisons de sécurité.
Les régulateurs ont qualifié les méthodes de collecte de données d’excessivement intrusives et ont déterminé qu’elles ne respectaient pas les exigences de proportionnalité prévues par les lois sur la protection des données. L’autorité a également indiqué que les utilisateurs n’avaient pas reçu suffisamment d’informations sur la manière dont leurs données étaient traitées.
D’autres constatations incluaient des manquements à la mise en place de mesures de sécurité adéquates et la conservation des données collectées plus longtemps que ce qui est permis par la réglementation applicable.
Une analyse distincte du système a indiqué que les applications pouvaient collecter des identifiants liés aux applications installées et au comportement des appareils, qui pouvaient être utilisés pour déduire des informations détaillées sur les utilisateurs. Le régulateur a conclu que ce traitement des données pouvait impliquer des informations personnelles sensibles et nécessitait des contrôles plus stricts.
Cette action d’exécution fait partie des sanctions les plus importantes infligées par l’autorité italienne de protection des données ces dernières années. Les autorités n’ont pas indiqué si des sanctions supplémentaires ou des mesures correctives suivront.