UODO Pologne : Plus d'amendes RGPD qu'en France
Mis à jour pour 2026
La Pologne dépasse son poids
L'autorité de protection des données polonaise est le Urząd Ochrony Danych Osobowych (UODO). Elle a infligé 47 amendes RGPD en 2023. Montant total : 2,8 millions d'euros. Elle a aussi traité 8 234 plaintes la même année. Par habitant, ce taux d'amende surpasse la France, l'Allemagne et la plupart des pays d'Europe de l'Ouest.
Pour les entreprises opérant en Pologne, c'est un risque réel — pas seulement de la paperasse.
Pourquoi la Pologne contrôle plus que l'Ouest
Culture de la plainte. La Pologne compte 38 millions de personnes sensibles aux droits numériques. Les groupes de défense de la vie privée déposent de nombreuses plaintes. L'autorité instruit des milliers de dossiers chaque année.
Exposition du secteur BPO. La Pologne est un des principaux centres d'externalisation en Europe. Les centres d'appels polonais traitent des données pour des clients en Allemagne, en France, au Royaume-Uni et aux Pays-Bas. Chaque flux crée deux risques : une action de l'autorité polonaise et une action de l'autorité chef de file des citoyens concernés.
Violations de données de santé. Les notifications de violations de données de santé ont augmenté de 45 % en 2024. Les données de santé sont des données de catégorie particulière au sens de l'article 9 du RGPD. Cela entraîne un risque d'amende plus élevé pour les traiteurs de données de santé.
Registres manquants. 34 % des entreprises polonaises n'ont pas de Registre des Activités de Traitement (RAT) documenté. Les auditeurs le cherchent en premier. Un RAT absent conduit à un contrôle plus approfondi.
Le problème PESEL
Le PESEL est le numéro d'identité national polonais à 11 chiffres. Les chiffres 1 à 6 codent la date de naissance. Les chiffres 7 à 10 forment un numéro de séquence. Le dernier chiffre est un chiffre de contrôle. Il utilise une formule pondérée du ministère polonais des Affaires numériques.
Les outils PII génériques échouent sur le PESEL de deux façons.
Échec de reconnaissance de motif. La plupart des outils connaissent les formats américains ou britanniques. Un numéro de sécurité sociale américain comporte 9 chiffres. Un numéro NI britannique est alphanumérique. Le format à 11 chiffres du PESEL n'est pas dans leurs données d'entraînement. Ils le manquent.
Échec de validation. Même quand un outil trouve 11 chiffres, il ne peut pas confirmer le chiffre de contrôle. Cela crée des faux positifs et des faux négatifs. De vrais PESEL avec des chiffres inversés passent à travers.
Le PESEL apparaît dans presque chaque document polonais : dossier médical, fichier d'emploi, formulaire fiscal et police d'assurance. Ne pas le détecter expose l'identifiant le plus sensible.
89 % des outils PII testés sur des documents polonais ne détectent pas correctement le PESEL.
Autres identifiants polonais manqués par les outils
NIP (Numer Identyfikacji Podatkowej). Numéro fiscal à 10 chiffres avec somme de contrôle pondérée. Présent dans les factures, contrats et documents de travail.
REGON. Numéro d'entreprise à 9 ou 14 chiffres pour toutes les sociétés polonaises. Apparaît dans les documents fournisseurs et acheteurs.
Dowód osobisty. Carte d'identité polonaise au format XXX NNNNNN — trois lettres, puis six chiffres — avec sa propre règle de chiffre de contrôle. Obligatoire pour les contrôles d'identité en banque, en santé et auprès des administrations.
Les trois présentent des lacunes de détection similaires au PESEL.
Priorités d'application 2024–2025
Données de santé. Les rapports de violation des prestataires de santé ont augmenté de 45 % en 2024. Des audits proactifs sont en cours. Constats fréquents : contrôles d'accès faibles, absence de chiffrement et analyses d'impact manquantes (AIPD).
Surveillance des employés. Le travail à distance a conduit de nombreuses entreprises à ajouter des journaux de frappe et la capture d'écran. La plupart violent les règles de limitation de la finalité du RGPD. Les affaires de données d'employés représentent 28 % des actions de contrôle.
Chaînes de sous-traitants. Le secteur d'externalisation polonais utilise des réseaux de prestataires complexes. Les audits révèlent des accords de traitement de données (ATD) manquants entre processeurs principaux et sous-traitants. Les outils des sous-traitants doivent aussi respecter l'article 32 du RGPD.
Mesures techniques qui passent l'audit
Les décisions d'application pointent vers trois contrôles obligatoires.
Chiffrement. Toutes les données personnelles doivent être chiffrées au repos et en transit. Les contrôles d'accès seuls ne suffisent pas. Des entreprises qui ne s'appuyaient que sur des règles d'accès ont été sanctionnées.
Anonymisation documentée. Les entreprises qui affirment que des données sont anonymisées doivent le prouver. L'autorité exige des preuves techniques que la réidentification n'est pas faisable.
Couverture de détection PII. Les mesures de protection doivent couvrir les identifiants polonais. Le PESEL avec validation de somme de contrôle, le NIP, le REGON et le dowód osobisty doivent tous être détectables. Les outils entraînés en anglais ne répondent pas à cette exigence.
Le secteur BPO polonais traite 2,3 millions d'enregistrements de clients européens chaque jour. Les entreprises sans détection PII spécifique au polonais exposent de lourdes amendes — de l'autorité nationale et des autorités chefs de file dans l'UE.
Notre guide de conformité RGPD couvre les exigences documentaires. Notre aperçu de la conformité sécurité explique les contrôles techniques. Pour la détection PII multilingue, voir notre guide de détection PII multilingue.