Wind Tre: 1,715 M€ pour API non protégées et clés mal gérées
Le Garante italien inflige 1 715 600 € à Wind Tre pour des lacunes de sécurité: gestion défaillante des certificats/clefs et API sans contrôles adéquats, à l’origine d’une exfiltration touchant 365 048 clients (dont 41 359 avec données de paiement).
Le 16 juillet 2026, le Garante per la protezione dei dati personali a rendu publique une ordonnance-contravention de 1 715 600 € prononcée le 14 mai 2026 contre l’opérateur télécom Wind Tre S.p.A. Deux violations notifiées les 20 et 28 février 2025 sont en cause: après un accès illicite initial (23 clients), une seconde intrusion a généré près de 2 millions de requêtes par enumeration sur des API « secondaires », exposant les données de 365 048 clients, dont 41 359 avec des informations liées aux moyens de paiement (IBAN, bulletin postal, carte avec PAN masqué et date d’expiration).
Les faits
L’autorité reproche une gestion insuffisante des certificats et clefs ainsi que l’absence de contrôles essentiels (rate limiting, CAPTCHA) sur certaines API, ayant facilité une exfiltration massive. La sanction s’accompagne d’injonctions sous 30 jours et de la publication de la décision.
Cadre légal et fondement
Le Garante retient des manquements aux principes d’intégrité et de confidentialité (article 5(1)(f)) et aux exigences de sécurité (article 32(1)(b)) du RGPD. La sanction est calculée sur la base de l’article 83 RGPD, en tenant compte des critères des paragraphes 1 et 2, du plafond du paragraphe 5 et de l’article 83(3) en présence de plusieurs violations liées au même traitement. Les pouvoirs de l’article 58(2)(d) et (i) fondent les injonctions et l’amende. Voir les articles 5(1)(f) et 32 du RGPD pour le cadre détaillé.
Ce que cela change pour les entreprises luxembourgeoises
Message clé: les autorités sanctionnent désormais des failles d’ingénierie de base sur la chaîne d’authentification et la sécurité des API, même lorsque l’attaque initiale provient de social engineering chez un distributeur. Pour les groupes opérant au Luxembourg (télécoms, banques/assurances, retail, énergie) avec des réseaux d’agences ou de revendeurs, l’exposition est double: responsabilité RGPD du responsable de traitement sur tous les canaux point‑de‑vente et prestataires, et exigence de preuve technique au titre de l’article 32 (gestion des certificats/clefs, identifiants, durcissement/API security, tests ciblés). Attendez‑vous à ce que la CNPD, la CNIL et l’APD évaluent vos dispositifs sous cet angle, notamment lorsque des partenaires accèdent à vos systèmes centraux; pour un cadrage local, voyez comment évaluer vos dispositifs de cybersécurité au Luxembourg.
Actions concrètes à entreprendre cette semaine
- Cartographier et classer toutes les API exposées (y compris « secondaires »), imposer rate limiting, CAPTCHA, détection d’enumeration et journalisation centralisée; planifier des tests d’intrusion spécifiques API (OWASP API Security Top 10) et tracer la preuve. Un audit de cybersécurité centré API peut accélérer cette mise à niveau.
- Mettre sous contrôle fort les certificats/clefs et identifiants points‑de‑vente: coffre HSM/KMS, rotation et révocation formalisées, password manager obligatoire pour franchisés/agents, avec preuve d’application et d’audit.
- Revoir les playbooks RGPD: notification ciblée des personnes, évaluation de risque post‑incident et plan de remédiation mesurable; documenter la proportionnalité des mesures au regard de l’article 32 pour résister à un contrôle CNPD/CNIL/APD.
Sanction et facteurs pris en compte
Montant: 1 715 600 € (≈0,04 % du CA 2024; 1 % du plafond édital de 171,56 M€). Aggravants: nombre d’intéressés et exposition au risque. Atténuants: notification rapide, coopération et mesures post‑incident.
Sources
- Garante Privacy – Newsletter du 16 juillet 2026 (10272004).
- Garante Privacy – Provvedimento du 14 mai 2026 (doc. web 10263796).
Pour échanger sur votre contexte et prioriser les actions, contactez‑nous via la page contact.
Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →