← Tous les articles

consultant

31,8 M€ contre Intesa Sanpaolo: 72 h pour notifier une violation RGPD

Le Garante italien a infligé 31,8 M€ à Intesa Sanpaolo pour carences de sécurité et notification RGPD tardive/incomplète. Enjeu immédiat au Luxembourg: respecter les 72 h et savoir quoi notifier.

Le 30 mars 2026, le Garante italien a sanctionné Intesa Sanpaolo S.p.A. à hauteur de 31,8 M€ après un data breach causé par des accès internes non autorisés aux informations bancaires de 3 573 clients sur plus de deux ans (21/02/2022 → 24/04/2024). L’autorité constate des graves carences des mesures techniques et organisationnelles, une notification tardive et incomplète à l’autorité, et une communication aux personnes concernées effectuée seulement après une injonction du 02/11/2024. Le communiqué officiel précise que des clients « à haut risque », y compris des personnalités publiques, étaient concernés et que les mécanismes de contrôle/monitoring n’avaient pas détecté les accès indus. Références: communiqué du Garante du 30/03/2026 et renvoi au « Provvedimento del 26 marzo 2026 ». Voir le communiqué officiel du Garante.

Pourquoi cela importe au Luxembourg? Parce que l’ossature juridique est la même (RGPD) et que les attentes de la CNPD en matière de notification sous 72 h et de contenu sont alignées sur les lignes directrices de l’EDPB (Guidelines 01/2021). La CNPD met à disposition un formulaire officiel de notification, rappelant expressément le délai de 72 h. Accéder au formulaire CNPD et aux Lignes directrices 01/2021 de l’EDPB (FR).

Le raisonnement juridique

  • Article 32 RGPD: sécurité du traitement (« mesures techniques et organisationnelles appropriées »). Des contrôles d’accès inefficaces et l’incapacité à détecter/empêcher des consultations injustifiées violent le principe d’intégrité/confidentialité (art. 5(1)(f)) et l’exigence d’« appropriation » de l’article 32. Le Garante reproche un modèle d’accès « en pleine circularité » à l’ensemble de la base clients, sans contrôles compensatoires efficaces. Source: Garante.
  • Article 33 RGPD: notification d’une violation à l’autorité « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », avec motifs du retard et contenu minimal (art. 33(3): nature, catégories/volume, conséquences probables, mesures prises/proposées). Texte officiel: EUR‑Lex.

Interprétation des autorités

  • Garante (Italie): l’ineffectivité des contrôles internes et la notification tardive/incomplète aggravent la gravité. Les manquements aux articles 32 et 33 justifient une amende élevée (durée, nombre de clients, sensibilité des profils, échec du monitoring). Communiqué.
  • EDPB (UE): les Guidelines 01/2021 donnent des cas concrets: quand notifier, évaluer le risque, communiquer aux personnes (art. 34) et contenu attendu.
  • CNPD (Luxembourg): formulaire de notification et rappel du délai de 72 h; en cas de dépassement, les motifs doivent être justifiés. Formulaire CNPD.

Note importante — Distinction NIS 2: si vous êtes « entité essentielle/importante », l’alerte/notification d’incident cyber auprès de l’ILR suit des délais spécifiques (24 h/72 h/1 mois) qui s’ajoutent — ils ne remplacent pas la notification RGPD. Rappel Commission européenne. Pour un cadrage local, consultez les délais NIS 2 au Luxembourg.

Ce que ça change concrètement

  • La barre de preuve monte pour l’article 32. Un SI bancaire (ou tout SI sensible) doit démontrer: un modèle d’accès need-to-know/least privilege; un monitoring continu et corrélé (détections d’accès anormaux, règles UEBA, alertes sur consultations massives ou clients VIP/PEP); une traçabilité exploitable (journaux immuables, revues régulières); et des contrôles compensatoires (segmentation, four-eyes, alerting quasi-réel). Source: Garante.
  • La notification sous 72 h n’est pas optionnelle. Même si l’analyse est en cours, une notification initiale doit partir dans les 72 h « si possible », puis être complétée. Suivez le staged reporting recommandé par l’EDPB. Réf.: Guidelines 01/2021.
  • Communication aux personnes (art. 34) sans délai en cas de risque élevé, avec langage clair et conseils concrets (surveillance de compte, changement d’identifiants, gel de crédit, etc.). Base: articles 33–34 (EUR‑Lex).
  • Au Luxembourg, cadrez vos procédures autour du formulaire CNPD. Intégrez les champs requis, joignez les pièces utiles et documentez l’horodatage de la « prise de connaissance » (déclenche le délai), point souligné par l’EDPB pour l’accountability. Pour le cadre général, voir les articles 32, 33 et 34 du RGPD.

Pièges fréquents

  1. Attendre une preuve d’exfiltration avant de notifier: erreur classique. L’obligation repose sur la vraisemblance d’un risque pour les droits et libertés. En cas de doute raisonnable, notifiez puis complétez. Réf.: EDPB 01/2021.
  2. Sous-estimer les accès internes non autorisés. Les accès « curiosité » ou « open directory » sont des violations et révèlent souvent des défauts structurels d’article 32. L’affaire Intesa recense plus de 6 600 consultations indues sans détection. Source: Garante.
  3. Notification hors délai non justifiée. En cas de dépassement des 72 h, l’article 33 exige d’expliquer les motifs du retard; l’absence d’explication ou un contenu incomplet est un facteur aggravant. Garante.
  4. Communication tardive ou inadéquate aux personnes. Une lettre générique, sans mesures concrètes ni explication claire, est insuffisante. Base: art. 34 et rappels de la Commission. Garante.
  5. Confondre RGPD et NIS 2. Notifier l’ILR n’exonère pas de notifier la CNPD, et inversement. Vos playbooks doivent prévoir les deux canaux, les délais et contenus spécifiques. Voir les synthèses officielles.

Sources officielles

En synthèse: l’affaire Intesa fixe un standard européen applicable à toute entité luxembourgeoise. Une architecture d’accès trop large, des contrôles inopérants et une notification RGPD tardive/incomplète exposent à des sanctions lourdes. La bonne réponse: détection des accès indus par un monitoring en profondeur, playbooks de notification alignés sur l’article 33 et l’EDPB 01/2021, et usage discipliné du formulaire CNPD dès la prise de connaissance.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →