Outils / Actualités / L'Espagne inflige 950 000 € RGPD à Yoti
Presse

L'Espagne inflige 950 000 € RGPD à Yoti

· VaultTools

L'AEPD espagnole a prononcé le 10 mars 2026 une sanction RGPD de 950 000 € contre Yoti pour traitement biométrique illicite, cases précochées et conservation de modèles faciaux et de données de localisation bien au-delà des finalités déclarées.

VaultTools · 11 mars 2026

Une interface numérique illustrant un concept de confidentialité et d'identité, représentant l'application des lois sur la protection des données contre les outils de traitement biométrique. Photo sur Unsplash

Table des matières


Ce Que L’AEPD A Constaté

Le 10 mars 2026, l’autorité espagnole de protection des données, l’Agencia Española de Protección de Datos (AEPD), a publié sa résolution condamnant la société britannique d’identité numérique Yoti Ltd à une amende de 950 000 € pour trois violations distinctes du RGPD. L’enquête avait été ouverte en décembre 2023.

Yoti exploite une application d’identité numérique utilisée pour la vérification d’âge sur plus de 60 % des sites conformes au RGPD aux États-Unis et sur plusieurs marchés européens. L’application demande aux utilisateurs de photographier une pièce d’identité officielle et de prendre un selfie. Le système de Yoti traite ces éléments pour générer un modèle biométrique facial, un enregistrement numérique réutilisable de la géométrie du visage, stocké sur les serveurs de la société pour les authentifications futures.

L’AEPD a examiné ce que Yoti faisait de ces données une fois la vérification terminée.

Trois Violations, Une Amende

La sanction de 950 000 € se répartit sur trois dispositions du RGPD :

  • 500 000 € au titre de l’article 9 pour traitement illicite de données biométriques de catégorie spéciale. Yoti soutenait que ses modèles faciaux ne servent qu’à l’authentification et ne constituent pas un traitement biométrique au sens du RGPD. L’AEPD a rejeté cet argument, estimant que les modèles stockés permettant une correspondance 1:1 lors des opérations sur le compte remplissent les trois critères du statut de catégorie spéciale. Aucune base juridique valide ne couvrait le traitement.
  • 200 000 € au titre de l’article 7 pour consentement invalide. Yoti faisait accepter par défaut aux utilisateurs que leurs données biométriques, notamment les images faciales, les enregistrements vidéo et les estimations d’origine ethnique dérivées de l’échelle de Fitzpatrick, soient utilisées à des fins de recherche interne et d’amélioration des algorithmes. Les utilisateurs devaient décocher activement une case pour s’y opposer. Le RGPD exige un consentement affirmatif pour les données de catégorie spéciale ; une case précochée ne répond pas à cette exigence.
  • 250 000 € au titre de l’article 5, paragraphe 1, point e) pour conservation des données personnelles au-delà de ce que les finalités déclarées exigent. Yoti conservait les données de géolocalisation pendant cinq ans alors qu’elles n’étaient nécessaires qu’à la création du compte. Les faux documents d’identité étaient conservés deux ans pour l’entraînement de logiciels. Les enregistrements vidéo de détection de présence étaient conservés 30 jours. L’autorité a conclu qu’aucune de ces durées de conservation n’était justifiée par la finalité originale du traitement.

L’AEPD a ordonné à Yoti de démontrer dans un délai de six mois qu’elle traite les données biométriques sur une base juridique valide, obtient un consentement conforme au RGPD et ne conserve les données que dans la stricte mesure du nécessaire.

Yoti a déclaré « rejeter avec la plus grande fermeté » la décision et a engagé un recours devant la Haute Cour espagnole.

Le Consentement Par Défaut N’est Pas Un Consentement

La violation du consentement est techniquement simple, mais pratiquement courante. L’application de Yoti permettait aux utilisateurs d’accepter la politique de confidentialité en faisant simplement glisser l’écran sans la lire, et pré-cochait une case de consentement à l’utilisation des données biométriques à des fins de recherche et développement.

En vertu de l’article 7 du RGPD, le consentement doit être libre, spécifique, éclairé et non ambigu. Pour les données de catégorie spéciale, l’article 9 ajoute l’exigence d’un consentement explicite, ce qui signifie qu’il ne peut être déduit de l’inaction ou intégré dans un accord plus large. Les cases précochées sont systématiquement rejetées par les régulateurs européens depuis l’arrêt Planet49 de la Cour de justice de l’Union européenne en 2019. L’AEPD a cité les lignes directrices 05/2020 du CEPD, qui précisent que le consentement obtenu par des paramètres précochés ne constitue pas un choix véritable.

Combien De Temps Est Trop Long Pour Conserver Des Données

L’article 5, paragraphe 1, point e) du RGPD exige que les données soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Les pratiques de conservation de Yoti ont échoué à ce test sur plusieurs points.

Les données de géolocalisation collectées pour déterminer quelles règles de restriction d’âge s’appliquent à un utilisateur sont pertinentes au moment de la vérification. Les conserver cinq ans ne répond à aucune finalité proportionnée. De même, l’entraînement d’un modèle d’IA sur de faux documents d’identité constitue un objectif distinct de la vérification d’âge initiale. Conserver ces documents deux ans à cette fin constitue une nouvelle activité de traitement non couverte par la collecte d’origine.

Cette affaire reflète un schéma que les régulateurs de toute l’Europe ont régulièrement dénoncé : les organisations collectent des données pour une finalité limitée, puis les réutilisent pour l’entraînement, l’analyse ou l’amélioration de produits sans nouvelle base juridique.

Ce Que Cela Signifie Pour Les Outils Qui Traitent Des Fichiers Personnels

Les violations de Yoti sont structurellement identiques aux risques qui s’appliquent à tout outil en ligne traitant des données personnelles. Un outil qui reçoit un fichier contenant des informations personnelles, qu’il s’agisse d’une pièce d’identité, d’un contrat, d’un dossier médical ou de tout document comportant un nom et un visage, peut tomber sous les mêmes catégories du RGPD.

Conserver les fichiers téléversés au-delà de la session, les utiliser pour l’entraînement de modèles sans consentement explicite et appliquer des paramètres d’opt-in par défaut pour un usage secondaire des données sont autant de pratiques qui disposent désormais de précédents d’application documentés, valorisés entre 250 000 et 500 000 € par violation.

Les outils qui traitent les fichiers entièrement dans le navigateur grâce à WebAssembly sont structurellement exempts de ces risques. Aucun fichier n’atteint un serveur. Il n’y a pas de données téléversées à conserver, pas de modèle à stocker, pas de pipeline d’entraînement à divulguer dans une politique de confidentialité, et pas de mécanisme de consentement à mal gérer. L’amende infligée à Yoti illustre le coût réglementaire de ces manquements. Le traitement local supprime totalement la question.


Sources