← Tous les articles

redaction

Italie: 100 000 € contre Lepida pour défauts sur LepidaID

Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.

Résumé. Le Garante italien a infligé 100 000 € à Lepida S.c.p.A. pour des manquements au cadre de protection des données concernant le système d’identités numériques LepidaID. Les principaux griefs portent sur la transparence, la minimisation des données et la rétention excessive des journaux techniques.

Les faits

Le 29 avril 2026, l’autorité italienne de protection des données (Garante) a sanctionné Lepida S.c.p.A. – société in-house de la Région Émilie‑Romagne – d’une amende de 100 000 € pour des violations du RGPD liées au système d’identités numériques LepidaID. La décision précise que le service touche « plus de 1,5 million de personnes » et relève notamment une conservation des traces de transactions au-delà de 24 mois, une information insuffisante (art. 13) et des carences de privacy by design/by default. La presse spécialisée a relayé la décision le 1er juillet 2026.

Cadre légal et fondement

  • Article 5(1)(c), (e), (f) RGPD : minimisation, limitation de la conservation, intégrité/confidentialité.
  • Article 13(1)(a) RGPD : information claire aux personnes concernées.
  • Articles 25 et 32 RGPD : privacy by design/by default et sécurité des traitements.

Le Garante se réfère aux Lignes directrices 04/2022 de l’EDPB sur le calcul des amendes (v2.0, 24 mai 2023) pour apprécier la gravité et fixer le montant, et rappelle la possibilité de publication de la sanction (art. 166 du Code italien). La conservation au‑delà de 24 mois contrevient aussi à la discipline sectorielle SPID et au principe de limitation de la conservation.

Ce que cela change pour les entreprises luxembourgeoises

  • Identité numérique et services publics/para‑publics. Les attentes sont transposables aux écosystèmes eID/eIDAS, portails guichets uniques et prestataires KYC : gouvernance claire des rôles (responsable/sous‑traitant/cotraitant), information précise et conservation strictement bornée et documentée des logs.
  • Rétention des logs et conformité NIS 2/DORA. Les journaux sont essentiels à la détection et à l’investigation, mais leur durée doit être justifiée, limitée et sécurisée. Alignez vos pratiques avec les exigences NIS 2 et, pour le secteur financier, avec le cadre DORA, sans excéder le nécessaire au regard du RGPD.
  • Transparence et by design. Les autorités renforcent l’exigence de granularité de l’information et de la conception (paramètres par défaut, moindre privilège, traçabilité des accès), y compris à grande échelle (>1,5 M d’usagers).

Actions concrètes à entreprendre cette semaine

  • Cartographier et geler les durées de conservation des logs. Documentez finalités, bases légales et délais (p. ex. 6, 12, 24 mois), activez une purge automatique, et conservez les preuves (captures, tickets de changement, enregistrements SIEM). Un SOC managé pour la journalisation et la détection d’incidents peut aider à opérer ces contrôles.
  • Mettre à jour l’information (art. 13 RGPD) dédiée aux logs et à l’identité. Prévoyez une section spécifique sur types de logs, finalités (sécurité, lutte contre la fraude), bases légales, durées, droits et transferts. Un mandat DPO certifié facilite la cohérence et la traçabilité (versions, dates, diffusion).
  • Vérifier les rôles et accès opérateurs. Révisez les habilitations administrateurs (moindre privilège, justification métier, journalisation des accès) et formalisez les clauses de sous‑traitance/cotraitance (art. 28/26 RGPD) avec preuves d’audit et plan de remédiation ≤ 30 jours.

Références

  • Garante Privacy – Provvedimento del 29 aprile 2026 n. 10263964 (Lepida S.c.p.A.)
  • Federprivacy – Il Garante Privacy sanziona Lepida per violazioni del Gdpr (01/07/2026)

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →