AEPD vs AENA: 10,04 M€ pour une AIPD défaillante en biométrie
Le 20 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une AIPD non conforme liée à l’embarquement biométrique. Signal fort: l’AIPD doit désormais être complète, probante et traçable.
Résumé — Le 20 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une analyse d’impact (AIPD) non conforme sur l’embarquement biométrique. Enseignement clé: une AIPD « complète et probante » est désormais contrôlée au millimètre. BOE-A-2026-6543. (boe.es)
L’affaire
AENA, l’opérateur des aéroports espagnols, a déployé des dispositifs d’embarquement par reconnaissance faciale. L’Agencia Española de Protección de Datos (AEPD) a infligé une amende administrative de 10 043 002 € pour violation de l’article 35 du RGPD (AIPD), sanction publiée officiellement au Boletín Oficial del Estado (BOE) du 20 mars 2026 (résolution du 4 mars 2026). Le tableau annexé identifie explicitement l’infraction à l’article 35 et le montant exact. BOE-A-2026-6543. (boe.es)
Selon la publication au BOE, l’amende vise spécifiquement la non‑conformité de l’AIPD (art. 35 RGPD) pour un traitement biométrique à grande échelle. Si le détail intégral de la décision n’est pas reproduit au BOE, sa base légale et le quantum sont officiels et opposables. (boe.es)
Le raisonnement juridique
- Le cadre du RGPD. L’article 35 impose la réalisation d’une AIPD « lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes », avec un contenu minimal défini au paragraphe 7 (description systématique des opérations, évaluation de nécessité et de proportionnalité, appréciation des risques, mesures envisagées). En cas de risque résiduel élevé, l’article 36 impose une consultation préalable de l’autorité de contrôle avant mise en œuvre. Texte officiel: EUR-Lex — RGPD.
- Spécificité biométrique. Les traitements de reconnaissance faciale mettent en jeu des « données biométriques » au sens de l’article 4(14) et, le plus souvent, des « catégories particulières » au sens de l’article 9 lorsqu’ils visent l’identification ou l’authentification. Dans ces cas, l’AIPD est presque toujours exigée, avec une attention renforcée à l’irrévocabilité des gabarits et aux risques de réutilisation malveillante. Texte RGPD: EUR-Lex — RGPD.
- La doctrine européenne sur l’AIPD. Les Lignes directrices WP29 sur l’AIPD (WP248 rev.01) — endossées par le CEPD — détaillent les critères de déclenchement (surveillance systématique, grande échelle, usage de technologies innovantes, combinaison de critères, etc.) et les exigences de qualité d’une AIPD recevable (méthode, traçabilité, implication du DPO, consultation des parties prenantes). Références CEPD: page « Endorsed WP29 Guidelines » et page thématique « DPIA ». EDPB — Endorsed WP29 Guidelines; EDPB — DPIA.
- Un jalon 2026 côté CEPD. Le 10 mars 2026, le CEPD a adopté un « Template [2026] for Data Protection Impact Assessment (DPIA) — Explainer »: un canevas normalisé pour documenter l’AIPD, structuré autour de la description du traitement, des tests de nécessité/proportionnalité et de l’analyse des risques, avec renvois croisés vers les Lignes directrices pertinentes (art. 25 « privacy by design » inclus). Document officiel: EDPB DPIA Template Explainer (10/03/2026).
- Position luxembourgeoise (CNPD). La CNPD a adopté, en application de l’article 35(4), une liste des catégories d’opérations imposant une AIPD « dans tous les cas ». S’y retrouvent notamment les traitements de biométrie et de surveillance systématique. Ressources officielles: CNPD — Liste AIPD obligatoire et CNPD — AIPD (obligations).
En somme, l’amende AENA illustre la convergence: 1) biométrie = AIPD quasi systématique; 2) l’AIPD doit démontrer, preuves à l’appui, la nécessité/proportionnalité et la réduction des risques; 3) à défaut, l’autorité peut sanctionner sur le seul fondement de l’article 35, indépendamment d’autres manquements. (boe.es)
Ce que ça change concrètement
- Traitements « à risque élevé » = déclenchement AIPD avant mise en production. Cela couvre typiquement:
- authentification/contrôle d’accès biométrique (visage, empreinte, veine, voix);
- vidéosurveillance intelligente, suivi systématique d’usagers ou salariés;
- données sensibles à grande échelle (santé, inférences).
Voir la liste CNPD pour les cas « obligatoires ». CNPD — Liste AIPD. Pour piloter cette démarche, un mandat DPO dédié et une gouvernance RGPD outillée facilitent la conformité.
- Exigence de « démonstration » et pas seulement de « description ». Une AIPD recevable doit:
- expliciter les finalités concrètes, distinguer les fins ultimes et dérivées;
- passer le test de nécessité/proportionnalité en analysant les alternatives moins intrusives;
- articuler l’analyse de risques spécifique (p. ex. irrévocabilité des gabarits biométriques, risque de function creep, couplages ultérieurs);
- lier chaque risque aux mesures techniques/organisationnelles (art. 32) et aux preuves de leur efficacité. Modéliser selon le template CEPD 2026 facilite la revue CNPD/CNIL/AEPD. Template CEPD 2026.
Pour les bases légales, registres et responsabilités, voir aussi notre page RGPD pour cadrer l’article 35 avec les autres obligations (art. 30, 32).
- Si le risque résiduel demeure « élevé » malgré les mesures, consultation préalable (art. 36) avant lancement. À défaut, l’autorité peut exiger suspension, modifications et/ou sanctionner. Texte: EUR-Lex — art. 36. Un accompagnement audit cybersécurité peut apporter les preuves d’efficacité attendues (tests, journaux, audits).
Pièges fréquents
- AIPD « documentaire » sans preuve d’efficacité. Citer des mesures (chiffrement, MFA, segmentation) ne suffit pas: il faut joindre les éléments de preuve (conception, tests, audits, revues de code, journaux d’accès), et expliquer comment elles réduisent un risque précis. Le template CEPD 2026 prévoit des champs dédiés au suivi et à la décision finale. CEPD 2026.
- Nécessité/proportionnalité traitées trop sommairement. En biométrie, l’autorité attend une comparaison étayée des alternatives (QR-code, badge, application mobile, contrôle humain), avec métriques (taux d’erreur, faux positifs/négatifs, accessibilité, sécurité), coûts/impacts et justification du choix retenu. Les lignes WP248 rev.01 insistent sur l’examen d’options moins intrusives. EDPB — Endorsed WP29 Guidelines.
- Oublier la granularité des finalités. Une AIPD qui agrège « amélioration de l’expérience passager + sûreté + lutte contre la fraude » sans détailler les opérations, bases légales, durées et destinataires par finalité est vulnérable. Le cas AENA montre que les régulateurs exigent une description systématique et « segmentée ». BOE — AENA.
- Sous‑estimer la spécificité du risque biométrique. Les gabarits sont irrévocables: une fuite ne peut pas être « réinitialisée ». L’AIPD doit prévoir des contre‑mesures adaptées (stockage isolé, dispositifs anti‑inversion, PAD/liveness test, cloisonnement fort, minimisation à la périphérie), avec des preuves d’efficacité et d’auditabilité. Références générales: EDPB — DPIA.
- Ignorer la consultation préalable (art. 36) quand le risque reste élevé. Les autorités considèrent ce manquement comme aggravant. Intégrez un « point de passage » formel dans votre gouvernance projets: si le risque résiduel haut est constaté, on fige le design, on consulte la CNPD, puis on reprend. Texte: EUR-Lex — art. 36.
Sources officielles
- Publication de la sanction AENA (montant, base légale art. 35 RGPD) — Boletín Oficial del Estado, Resolución de 4 de marzo de 2026, publiée le 20 mars 2026: BOE-A-2026-6543. (boe.es)
- Règlement (UE) 2016/679 — Articles 35 (AIPD) et 36 (consultation préalable): EUR-Lex.
- CNPD (Luxembourg) — Liste des traitements imposant une AIPD; page « AIPD — obligations »: Liste AIPD obligatoire ; AIPD — obligations.
- CEPD (EDPB) — Endossement des Lignes WP29 sur l’AIPD (WP248 rev.01); page thématique « DPIA »; « Template [2026] for DPIA — Explainer (10/03/2026) »: Endorsed WP29 Guidelines ; DPIA ; PDF.
Note aux dirigeants/DPO/CISO: au Luxembourg, une AIPD est exigée « par défaut » pour la biométrie et la surveillance systématique. En cas de doute, calquez votre démonstration sur le template CEPD 2026, cartographiez les alternatives, organisez une revue DPO documentée et, si le risque résiduel reste élevé, saisissez la CNPD avant déploiement. L’affaire AENA montre que l’absence d’une AIPD robuste coûte désormais (très) cher. Pour un accompagnement opérationnel, voyez notre page RGPD Luxembourg ou contactez un DPO certifié.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →