Italie — AgID sanctionnée 55 000 € pour défaut de transparence INAD/INI‑PEC

Le 28 mai 2026, le Garante italien a sanctionné l’Agence pour l’Italie numérique (AgID) à hauteur de 55 000 € pour la publication et la réutilisation, sans information adéquate, d’adresses PEC de professionnels transférées de l’INI‑PEC vers l’INAD. Les manquements ont concerné l’ensemble des professionnels inscrits, avec obligation de publication de la décision.

Les faits

Le Garante relève une utilisation d’adresses issues d’un registre professionnel (INI‑PEC) pour une nouvelle finalité (INAD) sans information préalable spécifique, ni mesures de « privacy by design/by default » adaptées au changement de contexte.

Cadre légal et fondement

• Principe de licéité, loyauté et transparence (article 5, §1, a RGPD)
• Limitation des finalités (article 5, §1, b)
• Accountability (article 5, §2)
• Privacy by design/by default (article 25)
• Obligations d’information (articles 12 et 14)

La sanction repose sur les articles 58, §2, i) et 83 RGPD, avec publication au titre du droit italien. La décision applique les Lignes directrices 04/2022 de l’EDPB sur le calcul des amendes (gravité « moyenne », correctifs tardifs) et souligne qu’une communication générique ne remplace pas une information préalable, individuelle et efficace lors d’un changement de finalité.

Pour le cadre européen, voir les articles 12, 14, 25 et 83 du RGPD et leur mise en œuvre.

Ce que cela change pour les entreprises luxembourgeoises

• Registres et annuaires publics. Au Luxembourg, la réutilisation de coordonnées professionnelles (équivalents d’INI‑PEC/INAD, ordres, répertoires sectoriels) exige une information individuelle préalable et une cohérence finalité-information. Un défaut d’information ciblée expose à un risque CNPD. Pour un accompagnement opérationnel, un mandat DPO peut sécuriser les analyses et notices.
• Privacy‑by‑design/by‑default opérationnelle. Toute migration/syndication de répertoires devrait intégrer une AIPD selon le risque, des parcours d’information « push » et une traçabilité des preuves. Référez-vous à notre page RGPD Luxembourg et attentes de la CNPD pour cadrer vos projets.
• Gouvernance transfrontière. Pour les groupes multijuridictionnels, la réutilisation interne d’annuaires (marketing, identifiants, matching) impose une base légale solide et une information avant transfert. Le seuil d’exigence vaut aussi pour les organismes publics.

Actions concrètes à entreprendre cette semaine

• Cartographier tous les « riversamenti » et réutilisations de répertoires (RH, clients B2B, membres, registres publics) et vérifier l’alignement finalités-informations (articles 5 et 14).
• Déployer un plan « transparence renforcée » avant toute nouvelle publication/réutilisation : notices individuelles, preuve d’information, versionnage, bannière de contexte.
• Intégrer le privacy‑by‑design (article 25) au cycle projet : checklists de risques, AIPD si nécessaire, mécanismes d’opposition/opt‑out, revue juridique avant mise en production, et traçabilité dans le registre des traitements. Si besoin, confier ce pilotage à un DPO Luxembourg pour accélérer la conformité.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.