L'Autorité hellénique de protection des données (HDPA) a émis 89 décisions d'application en 2024 — une augmentation de 162 % par rapport à 34 décisions en 2022. La trajectoire à la hausse reflète l'expansion de l'économie numérique grecque, la capacité technique croissante de la HDPA et deux secteurs avec des défis de conformité uniques : le tourisme et le maritime.
Tourisme : Traitement massif des données saisonnières
Le secteur du tourisme en Grèce a traité plus de 30 millions de visiteurs internationaux en 2024 — chacun générant des données personnelles lors de l'enregistrement à l'hôtel, du traitement des paiements, des réservations de visites et des systèmes de point de vente (POS) des restaurants. Le défi de conformité est temporel : les données touristiques sont créées en volumes massifs pendant la haute saison (juin-septembre) et doivent être protégées pendant une période de conservation beaucoup plus longue.
L'accent mis par la HDPA en 2024 sur les systèmes de données des clients d'hôtels a révélé des violations systématiques :
Conservation des données des systèmes POS : Les systèmes POS des restaurants et du commerce de détail ont conservé les données de carte de paiement et les historiques de transactions bien au-delà de leurs périodes de conservation déclarées. La HDPA a constaté que de nombreuses entreprises d'hospitalité grecques n'avaient pas de calendrier de conservation documenté — les données étaient conservées indéfiniment "pour des raisons comptables."
Intégration des plateformes de réservation : Les hôtels utilisant des plateformes de réservation internationales (qui transmettent les données des clients à des systèmes de réservation à l'étranger) manquaient souvent d'accords de traitement des données adéquats avec les fournisseurs de plateformes ou n'avaient pas réalisé d'évaluations d'impact sur les transferts pour les transferts de plateformes non-UE.
Accès du personnel aux données des clients : Les travailleurs saisonniers embauchés pour la haute saison avaient accès aux systèmes PMS des clients sans vérification des antécédents, contrôles d'accès adéquats, ou résiliation formelle de l'accès à la fin de la saison. La HDPA a trouvé plusieurs cas où les identifiants d'accès restaient actifs des mois après la fin de l'emploi saisonnier.
Le secteur du tourisme représente 38 % des cas d'application de la HDPA — la plus forte concentration sectorielle dans l'application du GDPR en Grèce.
Conformité maritime : Plus de 90 000 employés de navires
La Grèce est la plus grande nation maritime au monde en termes de tonnage de navires enregistrés. Les navires battant pavillon grec emploient plus de 90 000 marins, et les entreprises de transport maritime basées à Athènes gèrent les données d'équipage pour des flottes multinationales.
Les données d'équipage maritime présentent des défis uniques de conformité au GDPR :
Traitement transfrontalier : Les navires battant pavillon grec opérant à l'international traitent des données d'équipage à travers plusieurs juridictions. La loi de l'État du pavillon du navire (loi grecque, appliquant le GDPR) s'applique au traitement des données personnelles à bord du navire, peu importe où se trouve le navire.
Équipages de nationalité multiple : Les équipages modernes sont souvent entièrement non-grecs, avec des membres d'équipage provenant des Philippines, d'Ukraine, d'Inde et d'Indonésie. Leurs données personnelles — passeports, certificats de marin (STCW), certificats d'aptitude médicale — sont traitées dans des systèmes de gestion d'équipage administrés par la Grèce.
Données médicales : L'emploi maritime nécessite une certification régulière d'aptitude médicale. Les dossiers de santé des équipages sont des données de catégorie spéciale selon l'article 9 du GDPR, nécessitant un consentement explicite ou une base légale spécifique, une sécurité technique renforcée et un accès restreint.
Numéros de certificat de marin : Les certificats STCW (Normes de formation, de certification et de veille) et les livres de marins ont des formats de numéro uniques selon le pays d'émission. Ces identifiants apparaissent dans les systèmes de gestion d'équipage et nécessitent une détection pour une protection adéquate des PII.
Identifiants nationaux grecs : AFM et AMKA
ΑΦΜ (Αριθμός Φορολογικού Μητρώου) : Le numéro d'enregistrement fiscal à 9 chiffres, avec un chiffre de contrôle validé à l'aide d'un algorithme de somme pondérée. L'AFM est l'identifiant commercial principal de la Grèce — apparaissant dans toutes les transactions commerciales, les dossiers d'emploi et les services gouvernementaux.
L'évaluation technique de la HDPA en 2024 a révélé que l'AFM était détecté avec seulement 52 % de précision par des outils NLP génériques. Le principal mode de défaillance : le format à 9 chiffres de l'AFM correspond à des chaînes de date et des numéros de référence, générant de nombreux faux positifs sans validation de somme de contrôle ; et les outils manquent les numéros AFM formatés sans espaces ou avec des séparateurs atypiques dans les documents grecs.
ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης) : Le numéro de sécurité sociale à 11 chiffres. L'encodage inclut la date de naissance, le sexe et un composant séquentiel. L'AMKA apparaît dans tous les documents de santé et de sécurité sociale grecs — contrats de travail, dossiers de prescription et formulaires d'admission à l'hôpital.
ID national grec (Αστυνομική Ταυτότητα) : Format d'une lettre suivie de 6 à 7 chiffres, avec des conventions d'émission uniques.
Passeport grec : Format standard de passeport de l'UE avec des conventions d'émission spécifiques à la Grèce.
Exigences NER en langue grecque
Le grec utilise un alphabet complètement différent (écriture grecque) des modèles NLP basés sur le latin sur lesquels la plupart des outils commerciaux sont formés. Cela crée un défi fondamental de détection : les outils formés sur du texte en écriture latine ne peuvent pas effectuer la reconnaissance d'entités nommées dans des documents en écriture grecque.
La NER en langue grecque nécessite :
- modèle spaCy el_core_news ou équivalent NLP en langue grecque
- tokenisation de l'alphabet grec (différentes plages de caractères par rapport au latin)
- modèles de noms spécifiques au grec (les noms grecs diffèrent considérablement des modèles anglais/allemands)
- reconnaissance du format d'adresse grec ("Οδός," "Πλατεία," "Λεωφόρος")
Pour les organisations ayant des opérations en Grèce — en particulier dans le tourisme et le maritime — la détection des PII conforme à la HDPA nécessite la détection de l'AFM et de l'AMKA avec validation de somme de contrôle plus un support NER en langue grecque.
Sources :