L'Autorité hellénique de protection des données (HDPA) de Grèce a rendu 89 décisions d'application en 2024, soit une augmentation de 162 % par rapport à 34 décisions en 2022. Cette accélération marquée de l'application reflète à la fois la capacité croissante de la HDPA et les échecs de conformité spécifiques aux secteurs, notamment le tourisme — qui représente 38 % des cas de la HDPA — et les opérations maritimes.
AFM : L'identifiant commercial principal de la Grèce
L'ΑΦΜ (Αριθμός Φορολογικού Μητρώου, Numéro d'Enregistrement Fiscal) est un numéro à 9 chiffres attribué à tous les citoyens, résidents et entreprises grecs pour l'administration fiscale. Le chiffre de contrôle utilise un algorithme de somme pondérée : multiplier les chiffres 1-8 par des poids (256,128,64,32,16,8,4,2), faire la somme, prendre le modulo 11. Si le résultat = 10, le numéro est invalide. Sinon, le chiffre de contrôle = résultat modulo 10.
L'AFM apparaît dans tous les documents commerciaux grecs — factures, contrats, accords d'emploi et formulaires gouvernementaux. C'est l'identifiant commercial principal pour les individus et les entreprises en Grèce.
Précision de détection : Les outils NLP génériques détectent l'AFM avec une précision de 52 % (analyse HDPA 2024). Les modes d'échec :
- Le format à 9 chiffres de l'AFM correspond à de nombreux numéros de référence et composants de date dans les documents grecs
- Le chiffre de contrôle à deux étapes modulo-11/modulo-10 n'est pas couramment implémenté dans les outils génériques
- Les documents grecs présentent souvent l'AFM sans étiquette explicite dans le contexte (intégré dans des blocs d'adresse, non étiqueté "ΑΦΜ:")
AMKA : L'identifiant d'assurance sociale de la Grèce
L'ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης, Numéro d'Enregistrement de l'Assurance Sociale) est un numéro à 11 chiffres codant la date de naissance et le sexe :
- Chiffres 1-6 : Date de naissance au format JJMMAA
- Chiffre 7 : Sexe (impair = masculin, pair = féminin)
- Chiffres 8-11 : Numéro séquentiel avec chiffre de contrôle
Le codage de la date de naissance + du sexe rend l'AMKA structurellement similaire au numéro de personne suédois — et crée la même préoccupation de catégorie spéciale GDPR : le numéro révèle le sexe biologique comme une question d'enregistrement.
L'AMKA apparaît dans tous les documents de santé grecs, les déclarations de sécurité sociale et les dossiers d'employeurs. Chaque citoyen grec et résident légal a un AMKA, ce qui en fait l'équivalent d'un numéro de sécurité sociale pour l'accès aux soins de santé et aux prestations sociales.
Alphabet grec : Le défi de l'infrastructure NLP
Le texte grec utilise l'alphabet grec — un système d'écriture totalement différent des langues à alphabet latin. Cela crée un défi fondamental d'infrastructure pour la détection des PII :
Plages Unicode : Les caractères grecs occupent la plage Unicode U+0370 à U+03FF (bloc grec et copte) et U+1F00 à U+1FFF (grec étendu pour les formes polytoniques). Les outils qui ne gèrent que les caractères ASCII ou latin étendu échouent à traiter le texte grec.
Modèles NER grecs : Le modèle el_core_news de spaCy fournit une capacité NER grecque — mais nécessite une configuration explicite de la langue grecque. Les organisations utilisant des configurations de langue par défaut (typiquement en anglais) ne recevront aucun résultat pour les documents en écriture grecque.
Documents à écriture mixte : Les documents commerciaux et gouvernementaux grecs mélangent fréquemment l'écriture grecque (contenu principal) avec l'écriture latine (noms de marques, termes techniques, annotations en anglais). Les pipelines NLP doivent gérer les deux écritures dans le même document.
Reconnaissance des noms en grec : Les noms grecs apparaissent au nominatif (Γεώργιος Παπαδόπουλος) mais aussi sous des formes génitive/accusative dans les phrases grecques (Γεωργίου Παπαδόπουλου au génitif). La reconnaissance NER consciente de la casse nécessite une analyse morphologique grecque.
Secteur du tourisme : Conformité au traitement des données saisonnières
Le tourisme représente 38 % des cas d'application de la HDPA. Le défi de conformité est l'échelle et la saisonnalité :
Systèmes PMS hôteliers : Les systèmes de gestion immobilière traitent des informations complètes sur les clients — numéros de passeport, nationalité, dates de naissance, données de contact — pour tous les clients. L'application de la HDPA a révélé que de nombreux systèmes PMS hôteliers conservent les données des clients pendant plus de 5 ans sans but documenté et sans mesures de sécurité proportionnelles au volume de données.
Données IBAN et de paiement : Les entreprises touristiques grecques traitent des données de paiement provenant de clients de l'UE et internationaux. Les folios des clients (factures d'hôtel) contiennent des numéros de carte partiels ; les systèmes de réservation contiennent des détails de paiement complets avec des dates d'expiration. La conformité PCI DSS chevauche les exigences GDPR pour les données de paiement.
Rotation des données du personnel : Les travailleurs saisonniers dans l'hôtellerie complètent généralement des contrats de 4 à 6 mois. L'application de la HDPA a révélé des échecs répétés pour révoquer l'accès au système pour le personnel saisonnier parti — un schéma commun à toute industrie avec un taux de rotation élevé des employés.
Pour la conformité de la HDPA dans les contextes de langue grecque : détection de l'AFM et de l'AMKA avec validation de la somme de contrôle, support NER en alphabet grec (spaCy el_core_news), et détection de passeports grecs/ID nationaux sont les exigences techniques. Pour la conformité spécifiquement dans le secteur du tourisme, la documentation de conservation des données PMS hôtelières et les procédures de révocation d'accès pour le personnel saisonnier sont les exigences organisationnelles supplémentaires que l'application de la HDPA rend claires.
Sources :