Protection des données en Espagne — RGPD et LOPDGDD

Le cadre juridique : RGPD + LOPDGDD

La protection des données en Espagne repose sur un cadre à deux niveaux :

1. RGPD (Règlement (UE) 2016/679) : Directement applicable dans tous les États membres de l’UE depuis le 25 mai 2018. Il établit les principes, droits et obligations généraux — il est auto-exécutoire et ne nécessite pas de transposition nationale.

2. LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre) : La loi nationale espagnole de mise en œuvre et de complément. Elle ne remplace pas le RGPD mais comble les lacunes là où le RGPD autorise des dérogations nationales, précise les procédures administratives et ajoute des règles spécifiques à l’Espagne.

Ensemble, ces instruments créent un cadre complet applicable à toute organisation traitant des données personnelles de personnes en Espagne, ou ciblant des biens ou services sur des personnes en Espagne — quel que soit le lieu d’établissement de l’organisation.

L’AEPD : l’autorité de contrôle espagnole

L’Agencia Española de Protección de Datos (AEPD) est l’autorité nationale espagnole de contrôle en matière de protection des données (autoridad de control). Ses fonctions :

• Instruire les plaintes des personnes concernées
• Mener des investigations proactives et des audits
• Rendre des décisions contraignantes, des avertissements et des amendes
• Publier des orientations et des résolutions contraignantes sur les questions de protection des données
• Se coordonner avec les autres autorités de contrôle de l’UE dans les affaires transfrontalières via le mécanisme du guichet unique du CEPD

L’AEPD a été l’une des autorités de contrôle de l’UE les plus actives en termes de volume d’amendes. Elle peut infliger des amendes pouvant atteindre :

• 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (niveau inférieur — pour les obligations techniques)
• 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (niveau supérieur — pour les violations des principes fondamentaux, les problèmes de consentement, les droits des personnes concernées)

Les actions d’application notables de l’AEPD ont ciblé des banques, des opérateurs de télécommunications, des plateformes de médias sociaux et des administrations publiques.

Obligations clés du RGPD pour les organisations en Espagne

1. Base légale du traitement

Toute activité de traitement requiert une base légale au titre de l’article 6 du RGPD :

• Consentement (consentimiento) : Librement donné, spécifique, éclairé, non ambigu. Particulièrement requis pour le marketing et les cookies de traçage.
• Exécution d’un contrat (ejecución de contrato) : Traitement nécessaire à l’exécution d’un contrat avec la personne concernée.
• Obligation légale (obligación legal) : Requise par le droit de l’UE ou espagnol.
• Intérêts vitaux (intereses vitales) : Rare ; pour les urgences mettant la vie en danger.
• Mission d’intérêt public (tarea de interés público) : Pour les organismes du secteur public.
• Intérêts légitimes (intereses legítimos) : Nécessite un test d’équilibre en trois étapes (finalité, nécessité, équilibre des droits individuels). L’AEPD examine attentivement les invocations d’intérêts légitimes.

2. Notice de confidentialité (Información al Interesado)

Les organisations doivent fournir des notices de confidentialité claires au moment de la collecte des données, couvrant :

• L’identité et les coordonnées du responsable du traitement
• Les coordonnées du DPD (s’il en est désigné un)
• Les finalités et bases légales du traitement
• Les catégories de données traitées
• Les destinataires et transferts internationaux
• Les durées de conservation
• Les droits des personnes concernées et la manière de les exercer
• Le droit de déposer une plainte auprès de l’AEPD

3. Registre des activités de traitement (Registro de Actividades de Tratamiento)

Tous les responsables du traitement et sous-traitants (à l’exception des organisations de moins de 250 salariés, sauf si leur traitement présente un risque élevé) doivent tenir un registre interne de toutes les activités de traitement — article 30 du RGPD. Il s’agit d’un document d’accountability fondamental.

4. Protection des données dès la conception et par défaut

Les contrôles de confidentialité doivent être intégrés dès la phase de conception de tout nouveau produit, système ou processus (et non ajoutés après coup). Les paramètres par défaut doivent être les plus protecteurs de la vie privée.

5. Analyse d’impact relative à la protection des données (AIPD)

Une AIPD est obligatoire avant tout traitement susceptible d’engendrer un risque élevé pour les personnes. L’AEPD publie une liste des activités de traitement nécessitant une AIPD obligatoire, notamment :

• Le traitement à grande échelle de données de catégorie spéciale (santé, biométrie, religion, origine raciale, etc.)
• Le profilage systématique des personnes
• Le traitement de données personnelles de personnes vulnérables
• La prise de décision automatisée ayant des effets significatifs

6. Notification des violations de données

Les violations de données (brechas de seguridad) impliquant des données personnelles doivent être :

• Notifiées à l’AEPD dans les 72 heures suivant la prise de connaissance (si la violation est susceptible d’entraîner un risque pour les personnes)
• Communiquées aux personnes concernées si la violation est susceptible d’entraîner un risque élevé

Le portail de notification en ligne de l’AEPD est utilisé pour la déclaration des violations. L’AEPD est stricte sur le délai de 72 heures et l’adéquation de la documentation sur les violations.

7. Droits des personnes concernées

En vertu du RGPD, les personnes concernées en Espagne disposent des droits suivants :

• Droit d’accès (derecho de acceso) — obtenir une copie de leurs données
• Droit de rectification (rectificación) — corriger des données inexactes
• Droit à l’effacement (supresión, « droit à l’oubli ») — demander la suppression
• Droit à la limitation du traitement (limitación) — suspendre le traitement
• Droit à la portabilité des données (portabilidad) — recevoir les données dans un format structuré
• Droit d’opposition (oposición) — s’opposer au traitement fondé sur des intérêts légitimes ou le marketing direct
• Droits relatifs à la prise de décision automatisée — demander un examen humain des décisions algorithmiques ayant des effets significatifs

Les responsables du traitement doivent répondre aux demandes d’exercice des droits des personnes concernées dans un délai d’un mois, pouvant être prolongé à trois mois pour les cas complexes.

Dispositions spécifiques à la LOPDGDD

Droits numériques dans le contexte de l’emploi (Derechos digitales)

Le titre X de la LOPDGDD établit des droits numériques spécifiques pour les travailleurs, notamment :

• Droit à la déconnexion numérique (desconexión digital) : Les employeurs doivent adopter une politique de déconnexion en dehors des heures de travail.
• Droit à la vie privée lors de l’utilisation d’équipements numériques professionnels : Les employeurs ne peuvent surveiller les équipements professionnels que dans des limites proportionnées définies et après information préalable des travailleurs (via le comité d’entreprise ou par le biais de la politique interne).
• Droit à la vie privée concernant la vidéosurveillance et l’enregistrement audio au travail : Les caméras ne peuvent être utilisées qu’à des fins de sécurité sur le lieu de travail et doivent être signalées ; la surveillance cachée est interdite sauf dans des circonstances étroites.
• Géolocalisation des travailleurs : L’utilisation de systèmes de géolocalisation (y compris le suivi des véhicules) doit être communiquée aux travailleurs à l’avance.
• Utilisation de l’intelligence artificielle dans l’emploi : L’article 22 de la LOPDGDD impose d’informer les travailleurs et leurs représentants des outils algorithmiques ou d’IA affectant les décisions d’emploi.

Partis politiques et données électorales

La LOPDGDD autorise les partis politiques à utiliser des données personnelles accessibles au public à des fins de campagne électorale sans consentement individuel — une dérogation significative qui a été controversée.

Profilage de crédit et financier

La LOPDGDD établit des règles spécifiques pour l’inclusion des personnes dans les registres de défauts de paiement ou de crédit (ficheros de morosos) : montant minimum de la dette (50 EUR), obligation de notification préalable et obligations strictes en matière d’exactitude.

Traitement des données par les avocats, conseillers fiscaux et notaires

L’Espagne a des dérogations spécifiques reconnaissant le secret professionnel en matière de traitement des données par les avocats, conseillers fiscaux et notaires, et des règles spéciales pour le traitement dans le contexte du conseil professionnel.

Transferts internationaux de données

Le transfert de données personnelles hors de l’UE/EEE est limité sauf si le pays destinataire bénéficie d’une décision d’adéquation (ex. : Royaume-Uni, Japon, États-Unis dans le cadre du EU-US Data Privacy Framework) ou si des garanties appropriées sont en place :

• Clauses contractuelles types (CCT) : Les CCT de 2021 publiées par la Commission européenne sont le mécanisme le plus courant.
• Règles d’entreprise contraignantes (BCR) : Pour les transferts intra-groupe dans les entreprises multinationales.
• Dérogations spécifiques : Circonstances exceptionnelles limitées.

L’AEPD est compétente pour enquêter et sanctionner les transferts internationaux illicites par des responsables du traitement établis en Espagne.

DPD (Delegado de Protección de Datos)

Un délégué à la protection des données (DPD) est obligatoire pour :

• Les autorités et organismes publics
• Les organisations dont les activités principales nécessitent une surveillance systématique à grande échelle des personnes
• Les organisations dont les activités principales impliquent un traitement à grande échelle de données de catégorie spéciale

Le DPD peut être interne (salarié) ou externe (sous contrat). Ses coordonnées doivent être notifiées à l’AEPD et publiées dans les notices de confidentialité. Le DPD ne peut recevoir aucune instruction sur la manière d’exercer ses missions de protection des données.

Conformité en matière de cookies et d’ePrivacy

L’Espagne met en œuvre la directive ePrivacy par la Ley de Servicios de la Sociedad de la Información (LSSI). L’AEPD a publié des orientations spécifiques sur les exigences de consentement aux cookies :

• Cookies strictement nécessaires : Aucun consentement requis.
• Cookies analytiques, publicitaires et de traçage : Consentement préalable et éclairé requis (opt-in). Les cases pré-cochées et le consentement implicite par la poursuite de la navigation ne sont pas valides.
• Les bannières de cookies ne doivent pas utiliser de dark patterns (boutons de consentement plus prominents que le refus, superposition confuse) — l’AEPD a sanctionné plusieurs sociétés pour des interfaces de consentement non conformes.

Questions fréquentes

Le RGPD s’applique-t-il à une petite entreprise en Espagne avec seulement 5 salariés ? Oui. Le RGPD s’applique à toute organisation traitant des données personnelles de résidents de l’UE, quelle que soit sa taille. Les petites organisations peuvent être exemptées du registre des activités de traitement si elles ont moins de 250 salariés et que leur traitement ne présente pas de risque élevé — mais toutes les autres obligations RGPD (base légale, notices de confidentialité, droits des personnes concernées, sécurité) s’appliquent pleinement.

Quelle est la différence entre un responsable du traitement et un sous-traitant en droit espagnol/européen ? Le responsable du traitement (responsable del tratamiento) détermine les finalités et les moyens du traitement — il décide pourquoi et comment les données personnelles sont utilisées. Le sous-traitant (encargado del tratamiento) traite les données pour le compte du responsable du traitement, en suivant ses instructions. Un accord de traitement de données (ATD) formel — accord au titre de l’article 28 du RGPD — est obligatoire entre le responsable du traitement et le sous-traitant.

Devons-nous désigner un DPD en Espagne ? Seulement si votre traitement remplit les critères légaux déclencheurs (autorité publique, surveillance à grande échelle, ou traitement à grande échelle de données de catégorie spéciale). De nombreuses entreprises espagnoles désignent volontairement un DPD comme mesure de bonne pratique. L’outil en ligne de l’AEPD peut aider à évaluer l’obligation.

Quels sont les motifs de sanction les plus courants de l’AEPD ? Les motifs de sanction les plus fréquents de l’AEPD incluent : le consentement aux cookies invalide, des notices de confidentialité inadéquates, le défaut de réponse aux demandes d’exercice des droits des personnes concernées dans le délai légal, des mesures de sécurité insuffisantes entraînant des violations de données, et l’utilisation illicite de données à des fins de marketing direct sans base légale valide.

Peut-on transférer des données de salariés de l’UE vers une société mère hors UE ? Oui, mais uniquement avec des garanties appropriées. Le mécanisme le plus courant est les clauses contractuelles types de 2021 (module 1 : responsable du traitement à responsable du traitement, ou module 4 : sous-traitant à responsable du traitement pour les flux de données RH vers une société mère). Une évaluation de l’impact du transfert de données (EITD) est requise pour évaluer la législation et la pratique du pays de destination.