anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

ANSPDCP Roumanie : Pourquoi le secteur BPO de la...

Le secteur BPO de la Roumanie traite 2,3 millions de dossiers clients de l'UE par jour.

June 5, 20268 min de lecture
Romania ANSPDCPCNP detectionBPO GDPREastern Europe complianceoutsourcing data protection

ANSPDCP Roumanie : Risques RGPD dans l'externalisation

L'autorité de protection des données de Roumanie renforce son application. L'Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) couvre l'un des secteurs d'externalisation à la croissance la plus rapide de l'UE.

Bucarest, Cluj-Napoca et Iași traitent des données de citoyens européens en provenance d'Allemagne, de France, du Royaume-Uni et des Pays-Bas. L'ANSPDCP a infligé 1,8 million d'euros d'amendes RGPD de 2022 à 2024. Les entreprises de BPO et d'externalisation étaient au cœur de la plupart des cas.

Exposition BPO : Quatre domaines de risque clés

Données personnelles à fort volume. Les centres d'appels traitent les litiges de facturation. Ils traitent des noms, adresses, numéros de compte et historiques de paiement. Les équipes de support IT accèdent aux systèmes clients. Ces systèmes contiennent des données personnelles.

Données de citoyens UE traitées à l'étranger. Les personnes concernées sont souvent allemandes, françaises, néerlandaises ou britanniques. En cas d'incident, elles contactent leur autorité nationale. Cela ajoute l'exposition au BfDI, à la CNIL, à l'ICO ou à l'AP NL en plus de la compétence propre de l'ANSPDCP. Pour en savoir plus sur les cas transfrontaliers, consultez notre guide RGPD BfDI Allemagne.

Chaînes de sous-traitance défaillantes. L'ANSPDCP a constaté que 45 % des entreprises locales n'ont pas de contrats de traitement des données valides avec leurs sous-traitants. Chaque contrat doit préciser les mesures techniques appliquées par le sous-traitant.

Lacunes dans la révocation des accès. Le BPO présente un fort taux de rotation. L'ANSPDCP trouve régulièrement d'anciens employés avec un accès actif des semaines après leur départ. Ce schéma revient dans de nombreux cas.

Le CNP : L'identifiant principal de la Roumanie

Le Cod Numeric Personal (CNP) est un numéro d'identification national à 13 chiffres. Il contient des informations personnelles clés :

  • Chiffre 1 : Genre et siècle de naissance (1=homme 1900–1999, 2=femme 1900–1999, 5=homme à partir de 2000, 6=femme à partir de 2000, 7=résident étranger masculin, 8=résidente étrangère)
  • Chiffres 2–7 : Date de naissance (AAMMJJ)
  • Chiffres 8–9 : Code du département de naissance
  • Chiffres 10–12 : Numéro séquentiel
  • Chiffre 13 : Clé de contrôle (modulo 11 pondéré)

Le CNP encode le genre, la date de naissance, la région de naissance et le statut de résidence. Il est bien plus riche que la plupart des identifiants européens. L'ANSPDCP a classé le CNP près du statut de catégorie spéciale.

Le problème de détection. L'examen 2024 de l'ANSPDCP a révélé que 78 % des outils PII utilisés dans les entreprises d'externalisation ne détectent pas le CNP. La plupart manquent de contrôles de somme de contrôle. Les numéros CNP dans les dossiers clients et les fichiers employés passent inaperçus. Les données envoyées aux sociétés mères peuvent contenir des informations sur des citoyens identifiables. Les analyses post-incident révèlent des CNP dans des fichiers étiquetés « anonymisés ».

Priorités d'application 2024–2025

Enregistrement audio en centre d'appels. L'ANSPDCP a ciblé les pratiques d'enregistrement sans plan de conservation ni contrôles d'accès. Conserver des enregistrements « indéfiniment pour la conformité » sans calendrier de suppression viole le RGPD.

Externalisation dans la santé. Les entreprises qui traitent des dossiers médicaux, des réclamations ou des prescriptions font face au risque d'amende le plus élevé. Les données de santé relèvent de l'article 9 sur les catégories spéciales. Elles nécessitent une base légale explicite, une AIPD et des contrôles techniques renforcés.

Journaux d'accès. Les audits de l'ANSPDCP relèvent régulièrement des journaux insuffisants. Les entreprises ne peuvent pas démontrer quels enregistrements ont été consultés, par qui et quand. Les journaux doivent être assez complets pour délimiter la portée d'un incident.

Langue : Une lacune de détection cachée

Les documents locaux contiennent des identifiants que les outils génériques manquent.

Cartea de identitate (CI). Il s'agit de la carte d'identité nationale. Elle a son propre format de numéro. Les copies scannées dans les dossiers d'intégration nécessitent une logique de détection spécifique.

NER spécifique à la langue. Les tickets de support et les messages clients nécessitent un NLP conçu pour cette langue. Les outils entraînés en anglais fonctionnent mal ici.

Formats d'adresse. Les termes Strada, Bulevardul et Numărul sont propres à ce marché. Les modèles entraînés en anglais ou en allemand les manquent souvent.

Pour les étapes techniques pour satisfaire le standard de l'ANSPDCP, consultez notre guide sur la cohérence de l'anonymisation pour les audits RGPD.

Ce dont les entreprises BPO ont besoin

Quatre capacités couvrent le standard technique de l'ANSPDCP :

  1. Détection du CNP avec validation de la somme de contrôle
  2. Détection de la Cartea de identitate et des passeports
  3. NER spécifique à la langue
  4. Contrats de sous-traitance avec mesures techniques nommées

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.