Le système de droits d’accès à Venise, conçu pour réguler l’afflux de touristes dans la ville historique et les petites îles de la lagune, a été jugé illégitime par le Garante (dans sa décision du 4 août 2025) pour la protection des données à caractère personnel. L’autorité a constaté que la manière dont la municipalité collecte et gère les données personnelles viole les principes fondamentaux établis par le règlement européen sur la protection des données (GDPR). La mesure prévoit déjà une amende de 10 000 euros et laisse la possibilité d’amendes beaucoup plus importantes, jusqu’à 20 millions d’euros, en cas de violations graves et persistantes.
La procédure avait été engagée à la suite de rapports et d’articles de presse qui avaient mis en évidence le caractère critique de l’enregistrement obligatoire requis pour obtenir le code QR nécessaire pour entrer dans la ville. La procédure concernait non seulement les touristes, mais aussi les catégories exemptées de paiement : travailleurs, étudiants en déplacement, résidents temporaires, personnes handicapées, personnes rendant visite à des membres de leur famille qui sont résidents ou détenus, citoyens subissant des examens médicaux, et de nombreux autres cas. Une masse d’informations qui, selon la Garante, a généré une collecte préalable disproportionnée par rapport aux objectifs fixés. En effet, l’Autorité a souligné que l’enregistrement en ligne impliquait la collecte de données qui n’étaient pas strictement nécessaires, telles que les raisons du voyage et les détails concernant la vie personnelle et familiale des personnes concernées. Des informations qui n’auraient pu être fournies qu’en cas de contrôle contextuel, par le biais d’une auto-certification ou de documents. En revanche, le traitement organisé de cette manière a abouti à une collecte massive de données dont l’utilisation réelle est limitée, étant donné que seule une petite partie sera vérifiée ultérieurement par les bureaux municipaux.
Un point particulièrement critique concernait les “totems informatiques”, placés à des endroits stratégiques de la ville pour permettre l’enregistrement. Lors d’une inspection de la Guardia di Finanza, il est apparu que les paramètres du navigateur pouvaient être modifiés par les utilisateurs, ce qui risquait de rendre visibles les données précédemment saisies. Bien que les fichiers téléchargeables ne contiennent que les initiales et la date de validité, la Garante a précisé que même ces informations, combinées à d’autres éléments, pouvaient permettre l’identification indirecte des utilisateurs. La configuration a donc été jugée inadéquate du point de vue de la sécurité.
Un autre élément important est le stockage des données. L’enregistrement anticipé sur le portail municipal signifiait que les informations personnelles étaient stockées des mois avant l’accès effectif à la ville. Selon l’autorité, cela est contraire au principe de limitation dans le temps établi par le GDPR, qui exige que les données ne soient stockées que pour la durée strictement nécessaire aux finalités indiquées. Au cours de la discussion avec la Garante, la municipalité a donc apporté quelques modifications au règlement, en élargissant la catégorie “Autres exemptions” afin de réduire la collecte d’informations spécifiques et de simplifier les procédures pour les résidents, les personnes handicapées et les hôtes des établissements d’hébergement. Toutefois, les mesures correctives ont été jugées partielles et insuffisantes pour éliminer les problèmes critiques sous-jacents. Le principal problème, selon la Garante, reste la disproportion entre la quantité de données collectées et les objectifs fiscaux.
Un autre aspect concerne l’utilisation des données à des fins autres que fiscales. Les réglementations municipales ont également lié l’enregistrement au suivi des flux touristiques et à la planification des services publics. En tout état de cause, aucun seuil de fréquentation journalière n’a jamais été fixé, ce qui aurait justifié un traitement aussi poussé. En l’absence de tels paramètres, la collecte préalable d’informations a été considérée comme dépourvue de toute nécessité réelle. La Garante a donc jugé que le traitement des données par la municipalité de Venise avait été effectué illégalement, en violation des principes de licéité, de correction, de minimisation, de proportionnalité et de confidentialité. Des mesures correctives ont été prises : la municipalité devra réduire les catégories obligées de s’inscrire au préalable, suspendre la collecte des données des invités des résidents et renforcer les mesures de sécurité du portail et des dispositifs utilisés.
En plus d’ordonner un ajustement des procédures, la mesure prévoit une amende de 10 000 euros en cas de non-règlement du litige. Mais le risque le plus sérieux est l’application de l’article 83 du GDPR, qui prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entité responsable, en cas de violation des principes fondamentaux en matière de données personnelles. Cet épisode soulève une question centrale : comment concilier la gestion des flux touristiques avec la protection des droits fondamentaux des citoyens et des voyageurs.
 |
| Venise, la Garante : violation de la vie privée avec le billet d'entrée. Amende de 10 000 à 20 millions |
Avertissement : la traduction en français de l'article original italien a été réalisée à l'aide d'outils automatiques. Nous nous engageons à réviser tous les articles, mais nous ne garantissons pas l'absence totale d'inexactitudes dans la traduction dues au programme. Vous pouvez trouver l'original en cliquant sur le bouton ITA. Si vous trouvez une erreur,veuillez nous contacter.
