AEPD sanctionne Yoti: 950 000 € — AIPD automatisée incontournable

Excerpt — Le 10 mars 2026, l’AEPD a infligé 950 000 € à Yoti pour traitement biométrique illicite, consentement invalide et conservation excessive. Voici comment une AIPD (DPIA) outillée et automatisée réduit ce risque et aligne vos pratiques sur le RGPD.

Les faits

Le 10 mars 2026, l’Agencia Española de Protección de Datos (AEPD) a publié une décision sanctionnant Yoti Ltd, fournisseur britannique d’identité numérique et de vérification d’âge, à hauteur de 950 000 €. Les manquements visés portent sur trois volets : traitement illicite de données biométriques (article 9 RGPD), consentement invalide (article 7) et durée de conservation excessive (article 5(1)(e)). L’AEPD a également ordonné la mise en conformité sous six mois (procédures et preuves à l’appui). Source d’actualité : Biometric Update. La société sanctionnée a confirmé publiquement la décision et son rejet de recours le 2 mars 2026 : déclaration du CEO Yoti et réponse officielle.

Au‑delà du montant, le signal pour les dirigeants luxembourgeois et européens est clair : les cas d’usage « KYC/âge/accès » qui mobilisent reconnaissance faciale ou empreintes biométriques exigent une gouvernance de la vie privée industrielle, notamment une analyse d’impact (AIPD/DPIA) robuste, vérifiable et vivante, capable de documenter la nécessité, la proportionnalité, les garanties techniques et la conformité des durées de conservation.

Le cadre légal qui s’applique

• RGPD — article 35 (AIPD/DPIA) : une AIPD est obligatoire lorsque le traitement est « susceptible d’engendrer un risque élevé », notamment en cas d’usage de biométrie, de surveillance systématique, d’échelle importante, etc. Référence officielle (CNPD Luxembourg) : AIPD — CNPD, et rappel des critères G29/EDPB (WP248 rev.01) : WP248 rev.01.
• RGPD — articles 5(1)(e), 7, 9 : limitation de la conservation (« pas plus longtemps que nécessaire »), conditions du consentement, et interdiction de principe du traitement des données biométriques sauf dérogations prévues (notamment consentement explicite et garanties renforcées).
• Luxembourg — CNPD : publication d’une liste des traitements nécessitant une AIPD (art. 35(4)), et fiches pratiques thématiques. Pour des traitements biométriques et d’authentification, une AIPD est la norme.

Dans l’affaire Yoti, l’autorité espagnole a relevé précisément ces obligations et prononcé une sanction pécuniaire assortie d’ordres de mise en conformité. Pour les entités NIS 2 (banque, énergie, santé, services numériques, etc.), ces exigences de « privacy by design » renforcent aussi la gestion des risques cybersécurité exigée par l’article 21 NIS 2.

La solution technique à déployer

DPIA/AIPD automatisée — Il ne s’agit pas d’un simple « document Word ». Une solution moderne d’AIPD outillée doit :

• Cartographier automatiquement les traitements et flux de données à partir des sources existantes (registre, CMDB, IAM, journaux applicatifs), avec détection des champs à risque (biométrie, géolocalisation, identifiants persistants).
• Évaluer le risque via des questionnaires dynamiques alignés WP248/EDPB, en scorant la nécessité, la proportionnalité, l’échelle, la vulnérabilité des personnes et les transferts.
• Lier les mesures techniques à des contrôles concrets (ISO/IEC 27001:2022 Annexe A : A.8.10 Information deletion, A.8.12 Data leakage prevention, A.5.34 Privacy and protection of PII), ainsi qu’aux bonnes pratiques NIST Privacy Framework (CT, AP) et CIS Controls (CIS 03 Data Protection, CIS 04 Access Control).
• Gérer la conservation par des retention policies applicables (tags, durées, métadonnées de preuve), scripts d’effacement/test d’effacement et journaux d’audit.
• Vérifier le consentement : intégration avec votre CMP/consent ledger pour tracer la granularité (biométrie ≠ cookies), la preuve du « consentement explicite », l’absence de cases pré‑cochées, et la révocation efficace.
• Générer des preuves « audit‑ready » : versionnage de l’AIPD, signatures, écarts traités, décisions DPO, consultation préalable (art. 36) quand requis, et liens vers les tests/rapports techniques (sécurité, biais, performance des modèles de reconnaissance).

En pratique, cette approche outillée transforme l’AIPD en contrat vivant entre Métier, DPO et IT : elle pilote automatiquement les « gaps », déclenche les actions (p. ex. durcissement de l’API biométrique, réduction de la granularité, anonymisation/pseudonymisation) et documente la conformité en continu.

Comment Luxgap déploie cela

• Notre gouvernance ISO 27001 : nos consultants Lead Implementer/Auditor intègrent l’AIPD au Système de management (ISMS), en reliant chaque risque AIPD à des contrôles ISO 27001 et des mesures vérifiables (plans d’action, propriétaires, échéances). Nous utilisons des matrices « exigence → contrôle → preuve » pour rendre l’audit fluide.
• Nos consultants DPO et CISO externalisés : cadrage du cas d’usage (biométrie, KYC/âge, accès), revue juridique (art. 9, base légale, test de nécessité), arbitrages « privacy by design » (alternatives non biométriques, tokens anonymes) et, si besoin, préparation d’une consultation préalable CNPD (art. 36) avec dossier complet. Pour un accompagnement dédié, voyez notre mandat DPO.
• Notre SOC managed (si biométrie en prod) : journalisation et surveillance des appels API, alertes sur dérives (conservation anormale, export non prévu), corrélation avec DLP et IAM. Objectif : détecter tôt les écarts de traitement qui casseraient l’AIPD. Découvrez notre offre de SOC managé.

Concrètement, nous branchons la plateforme AIPD sur vos sources (registre, IAM/CIAM, data catalog), normalisons les flux, exécutons le questionnaire WP248 dynamique, puis publions une AIPD versionnée, avec plan d’action et « evidence pack » associé (politique de conservation, consentement, fiches de risques, mesures ISO 27001 mappées).

Cas concret au Luxembourg ou en UE

Une plateforme e‑commerce luxembourgeoise, soumise à NIS 2 comme « service numérique essentiel », souhaitait introduire une vérification d’âge pour des catégories sensibles. En six semaines :

1. Cartographie des flux (capture vidéo locale, calcul d’âge sur device vs. cloud, absence de stockage des gabarits), définition d’une alternative non biométrique pour éviter la dépendance à la reconnaissance faciale.
2. AIPD outillée : scoring WP248, minimisation (pas de conservation de templates), base légale (intérêt légitime rejeté → solution d’age‑token anonyme), contrôle d’accès strict côté CIAM.
3. Politique de conservation : suppression immédiate des images, journaux techniques conservés 30 jours max, preuves d’effacement automatisées.
4. Preuves audit : pack « art. 35/5/9/7 » signé par le DPO, plan de tests, et consignes de support. Résultat : solution déployée sans biométrie persistante, documentation prête pour CNPD et clients B2B.

Premiers pas concrets

• Identifiez les cas d’usage à « haut risque » (biométrie, géolocalisation, profiling marketing, surveillance) et consolidez un inventaire unique des traitements.
• Outillez l’AIPD : choisissez une plateforme qui s’intègre à votre registre, IAM/CIAM et data catalog, avec modèles alignés WP248/EDPB et générateur de preuves.
• Figez la conservation : définissez des durées par finalité, activez l’effacement automatique, testez‑le et journalisez la preuve.
• Reprenez le consentement : vérifiez l’absence de cases pré‑cochées, la traçabilité du « consentement explicite » pour toute biométrie, et la révocation self‑service.
• Préparez l’art. 36 (si nécessaire) : si un risque élevé subsiste, montez le dossier de consultation préalable CNPD avec les mesures compensatoires formalisées.

Sources officielles

• Décision commentée — amende contre Yoti (10/03/2026) : Biometric Update ; confirmations par Yoti : CEO statement, blog Yoti.
• RGPD — AIPD (art. 35) : CNPD Luxembourg — AIPD ; lignes directrices EDPB (WP248 rev.01) : texte intégral.

Besoin d’assistance pour cadrer votre projet biométrique et documenter l’AIPD ? Contactez‑nous via la page Luxgap ou notre formulaire de contact.