← Tous les articles

consultant

Droit d’accès aux enregistrements: l’affaire Vodafone (GR), 2026

Le 11 février 2026, l’autorité grecque a sanctionné Vodafone-Panafon pour entrave au droit d’accès et manquements aux articles 12, 15 et 18 RGPD. Enseignement-clé: livrer une copie exploitable des enregistrements sous un mois.

Droit d’accès aux enregistrements d’appels: l’affaire Vodafone (GR), un signal fort pour 2026. Le 11 février 2026, l’autorité grecque a sanctionné Vodafone-Panafon pour avoir entravé l’accès à des enregistrements et mal géré les demandes de droits (art. 12, 15, 18 RGPD). Enseignement-clé pour les organisations au Luxembourg: vos parcours “droit d’accès” doivent permettre de livrer, dans le mois, des copies exploitables. Pour un cadrage local des exigences, voir la conformité RGPD au Luxembourg.

L’affaire

Le 11 février 2026, l’Autorité hellénique de protection des données a infligé une amende de 30 000 € à Vodafone-Panafon S.A. (télécom) pour plusieurs manquements aux droits des personnes, dont:

  • refus/obstacles d’accès à des conversations enregistrées,
  • mauvaise information sur la procédure,
  • défaut de facilitation et de respect des délais,
  • manquements à la limitation du traitement pendant l’examen de la demande.

Base légale retenue: articles 12(1) à 12(4) RGPD (transparence, facilitation, délai d’un mois et information en cas d’inaction), article 15 (droit d’accès, y compris copie des données) et article 18 (droit à la limitation). L’autorité a ordonné des mesures correctrices, notamment la mise en place de procédures et formations pour traiter “proprement et en temps utile” les demandes, avec preuve à l’appui sous 6 mois. Source officielle: publication de l’autorité grecque avec décision n° 2/2026 et résumé détaillé; l’EDPB relaie l’affaire dans ses “National news”. Voir: Hellenic DPA, “Επιβολή προστίμου σε πάροχο υπηρεσιών τηλεπικοινωνίας (2/2026)” et lien vers le PDF; EDPB, “Imposition of fine on a telecommunications company for violations of data subject’s rights” (Background: Date of final decision 11/02/2026; Controller: Vodafone-Panafon; Articles 12, 15, 18; 30 000 €). (dpa.gr)

Le raisonnement juridique

  • Article 12 RGPD: le responsable doit fournir “des informations concises, transparentes, compréhensibles et aisément accessibles” et “faciliter l’exercice des droits”. Délai normal: un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité, sous réserve d’en informer le demandeur et d’en motiver la prolongation; en cas de refus ou d’inaction, le responsable doit informer des raisons et des voies de recours. Textes officiels: voir le RGPD sur EUR‑Lex (chapitre III, art. 12). (eur-lex.europa.eu)
  • Article 15 RGPD (droit d’accès): la personne obtient confirmation, accès, et “une copie des données à caractère personnel faisant l’objet d’un traitement”, ce qui inclut — lorsque pertinent — les enregistrements d’appels/visios dès lors qu’ils contiennent des données à caractère personnel identifiables. Texte officiel: EUR‑Lex (art. 15). L’EDPB a précisé en détail la portée du droit d’accès (quelles données, comment fournir la copie, formats, limites) dans ses Lignes directrices 01/2022 — version finale. (edpb.europa.eu)
  • Article 18 RGPD (limitation du traitement): pendant l’examen de certaines demandes (contestation d’exactitude, opposition, etc.), l’organisation doit limiter le traitement. L’autorité grecque a retenu que ce gel n’était pas correctement respecté. Références: EUR‑Lex et rappel thématique EDPB. (eur-lex.europa.eu)

Pour un rappel pratique des articles 12, 15 et 18, consultez le RGPD (chapitre III) en bref.

Position des autorités

  • EDPB: ses lignes directrices 01/2022 insistent sur la nécessité de fournir une “copie” fidèle des données traitées, dans un format compréhensible par la personne, et rappellent que le droit d’accès couvre aussi des extraits pertinents (par ex. segments audio) lorsque la donnée personnelle est imbriquée dans un contenu plus large. (edpb.europa.eu)
  • CNPD (Luxembourg): communique régulièrement sur l’effectivité du droit d’accès et propose des ressources pédagogiques (modèles, délais, exceptions). Utile aux DPO luxembourgeois: la page “Le droit d’accès” résume attentes et modalités pratiques. (cnpd.public.lu)

Ce que ça change concrètement

Le cas Vodafone-Panafon transpose très directement aux organisations luxembourgeoises et frontalières qui:

  • enregistrent des appels (centres de relation clients, banques/assurances, helpdesks, fonctions qualité/formation),
  • conservent des visios (comités, conseils, ventes en visio, support),
  • traitent des logs/écoutes qualité, transcripts, ou résumés IA contenant des données personnelles.

En pratique, cela impose:

  1. Parcours “droit d’accès” industrialisé: accusé de réception, vérification d’identité proportionnée, qualification de la demande, collecte des sources (CRM, ACD/CTI, enregistreur, SaaS de visio), extraction des segments pertinents et contrôle des données de tiers, réponse sous 1 mois (art. 12(3)). (eur-lex.europa.eu) Pour organiser et piloter ce dispositif, appuyez-vous sur un mandat DPO structuré.
  2. Livraison d’une “copie exploitable”: pour l’audio, fournir le segment correspondant (ou transcription fidèle) avec explications nécessaires; pour la visio, idem. Se borner à un “résumé de l’appel” est insuffisant si la personne demande la copie. L’EDPB l’indique expressément: la copie doit refléter les données personnelles effectivement traitées, pas une synthèse. (edpb.europa.eu)
  3. Information loyale et non contradictoire: un portail, une page “Exercer vos droits” et des scripts d’agents doivent décrire clairement les canaux, délais, limites et voies de recours (art. 12(1)–(4)). (eur-lex.europa.eu)
  4. Limitation du traitement pendant le litige (art. 18): par exemple, geler le score qualité ou l’usage du call pour formation tant que la demande de rectification/effacement liée au même appel est en cours d’examen, sauf exception prévue par la loi. (eur-lex.europa.eu)

Exemple concret

Un client demande “la copie de l’appel du 3 mai à 10:14 avec l’agent 123”. L’entreprise doit:

  • retrouver l’appel (métadonnées ACD), extraire le segment audio, vérifier la présence de tiers, expurger si nécessaire uniquement les données de tiers non pertinentes, puis livrer la copie (audio ou transcription) avec les informations de l’art. 15(1)(a) à (h).
  • si le traitement doit être limité (ex. contestation d’exactitude), appliquer l’art. 18 le temps des vérifications.
  • si la demande est complexe (multiples appels), elle peut prolonger de deux mois, mais doit notifier et motiver la prolongation dans le premier mois (art. 12(3)). (edpb.europa.eu)

Pour cadrer vos pratiques avec les attentes de la CNPD et des lignes EDPB, appuyez votre programme sur un référentiel RGPD adapté au contexte luxembourgeois.

Pièges fréquents

  1. Remplacer la “copie” par un simple “compte-rendu”. Non conforme si la personne a demandé la copie de ses données (art. 15). Les lignes directrices EDPB précisent que la copie doit refléter les données effectivement traitées; un résumé ne suffit pas. (edpb.europa.eu)
  2. Oublier les silos. Les enregistrements d’appels peuvent résider hors du CRM (ACD/CTI, enregistreur, solution de visio SaaS). Votre procédure d’accès doit couvrir toutes les sources et inclure les transcripts générés par IA quand ils contiennent des données personnelles. (edpb.europa.eu)
  3. Délai d’un mois mal géré. Beaucoup d’organisations notifient la prolongation après l’échéance — trop tard. La prolongation (jusqu’à +2 mois) doit être motivée et communiquée dans le premier mois (art. 12(3)). (eur-lex.europa.eu)
  4. Scripts contradictoires côté service client. Dans l’affaire Vodafone, l’autorité a relevé une information contradictoire sur la procédure d’accès. Harmonisez vos e-mails modèles, FAQ, IVR et scripts d’agents. (edpb.europa.eu)
  5. Ne pas activer la limitation (art. 18) pendant une contestation. Conservez et “geler” le minimum nécessaire le temps de statuer; documentez ce gel et les dérogations légales éventuelles. (eur-lex.europa.eu)

Sources officielles

En synthèse

L’affaire Vodafone-Panafon confirme que les autorités européennes contrôlent désormais la mise en œuvre “opérationnelle” des droits: livrer une véritable copie des enregistrements, dans les délais et avec une information cohérente, n’est plus négociable. Pour les dirigeants, DPO et CISO au Luxembourg, la priorité est d’outiller un parcours de bout en bout — identification, collecte multi-silos, expurgation des tiers, gel des traitements, livraison — et d’en conserver la preuve.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →