L'Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) de Roumanie supervise une transformation de conformité dans l'un des secteurs technologiques et de sous-traitance à la croissance la plus rapide de l'UE. Bucarest, Cluj-Napoca et Iași traitent les données des citoyens de l'UE en provenance d'Allemagne, de France, du Royaume-Uni et des Pays-Bas à grande échelle — et l'application par l'ANSPDCP est en forte hausse.
L'ANSPDCP a infligé 1,8 million d'euros d'amendes en vertu du GDPR entre 2022 et 2024, le secteur BPO/sous-traitance représentant la plus forte concentration de cas d'application.
Le profil d'exposition au GDPR du BPO roumain
Traitement de données personnelles en volume élevé : Les centres d'appels traitant des litiges de facturation gèrent des noms, adresses, numéros de compte, historiques de paiement et données d'utilisation des services. Les services de support informatique accèdent aux configurations système des clients contenant des données personnelles.
Données des citoyens de l'UE entre les mains roumaines : Les personnes concernées sont principalement des citoyens allemands, français, néerlandais ou britanniques. Lorsque les choses tournent mal, les personnes concernées s'adressent à leur DPA d'origine — créant une exposition à l'application transfrontalière de la BfDI, CNIL, ICO ou AP NL en plus de la juridiction de l'ANSPDCP.
Complexité de la chaîne de sous-traitance : L'ANSPDCP a constaté que 45 % des entreprises roumaines manquent d'accords de traitement des données adéquats avec leurs sous-traitants. Les DPAs doivent spécifier les mesures techniques que le sous-traitant mettra en œuvre.
Échecs de révocation d'accès : Les secteurs BPO ont un taux de rotation élevé des employés. L'ANSPDCP constate à plusieurs reprises que d'anciens employés conservent des identifiants actifs des semaines après leur départ — une violation récurrente dans les cas d'application roumains.
Le CNP : Le principal identifiant PII de la Roumanie
Le Cod Numeric Personal (CNP) est un numéro d'identification national à 13 chiffres qui encode :
- Chiffre 1 : Sexe et siècle (1=homme 1900-1999, 2=femme 1900-1999, 5=homme 2000+, 6=femme 2000+, 7=homme résident étranger, 8=femme résident étranger)
- Chiffres 2-7 : Date de naissance (YYMMDD)
- Chiffres 8-9 : Code du département de naissance
- Chiffres 10-12 : Numéro séquentiel
- Chiffre 13 : Chiffre de contrôle (modulus 11 pondéré)
Le CNP encode le sexe, la date de naissance, la région de naissance et le statut de citoyenneté — le rendant beaucoup plus riche en informations personnelles que la plupart des identifiants d'Europe occidentale. L'ANSPDCP a classé le CNP comme nécessitant une protection accrue approchant le statut de catégorie spéciale.
Le problème de détection : L'examen de l'application de l'ANSPDCP en 2024 a révélé que 78 % des outils PII déployés dans la sous-traitance roumaine échouent à détecter le CNP avec une validation de somme de contrôle appropriée. Les conséquences :
- Les numéros CNP dans les dossiers clients, les fichiers des employés et les copies de scans d'identité passent inaperçus
- Les données partagées avec des sociétés mères d'Europe occidentale pour l'analyse ou la formation d'IA contiennent des citoyens roumains identifiables
- L'analyse post-violation révèle l'exposition du CNP dans des données certifiées comme "anonymisées"
Priorités d'application de l'ANSPDCP 2024-2025
Enregistrement audio des centres d'appels : L'ANSPDCP a ciblé les pratiques d'enregistrement qui manquent de calendriers de conservation ou de contrôles d'accès adéquats. Les enregistrements conservés "indéfiniment pour conformité" sans but documenté et calendriers de suppression violent le GDPR.
Sous-traitance des données de santé : Les entreprises roumaines traitant des dossiers médicaux, des demandes d'assurance ou des données de prescription pour des clients d'Europe occidentale font face à la plus forte exposition aux amendes. Les données de santé (catégorie spéciale de l'article 9) nécessitent une base légale explicite, une DPIA et des mesures techniques renforcées.
Contrôle d'accès et journalisation : Les audits de l'ANSPDCP identifient systématiquement une journalisation inadéquate — les organisations ne peuvent pas démontrer quelles données ont été accessibles, par qui et quand. Pour les entreprises BPO roumaines traitant des données clients de l'UE, les journaux d'accès doivent être suffisamment complets pour déterminer l'étendue de la violation en cas d'incident.
Langue roumaine : La couche manquante
Au-delà du CNP, les documents roumains contiennent des identifiants que les outils génériques manquent :
Cartea de identitate (CI) : Carte d'identité nationale roumaine avec un format de numéro unique. Les copies scannées dans les dossiers d'intégration des clients nécessitent une détection.
NER en langue roumaine : La correspondance client, les tickets de support et les documents internes en roumain nécessitent un traitement du langage naturel en langue roumaine. Les outils s'appuyant sur le NLP en anglais appliqué au texte roumain sous-performent de manière significative.
Formats d'adresse : Les conventions d'adresse roumaines ("Strada," "Bulevardul," "Numărul") diffèrent des formats d'Europe occidentale et sont souvent mal gérées par les modèles NLP formés sur l'anglais ou l'allemand.
Pour les organisations de sous-traitance roumaines : La détection du CNP avec validation de somme de contrôle, la détection de la carte d'identité nationale et du passeport roumains, le NER en langue roumaine et la gestion documentée des sous-traitants sont les quatre capacités qui satisfont la norme d'adéquation technique de l'ANSPDCP.
Sources :