Ir al contenido

Glossaire des affaires

RGPD en Espagne (LOPD-GDD)

L'Espagne transpose le Règlement général sur la protection des données de l'UE (RGPD) par la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD). L'autorité de contrôle est l'Agencia Española de Protección de Datos (AEPD), l'une des autorités de protection des données les plus actives de l'UE.

Numérique

RGPD et LOPD-GDD Espagnole

Le Règlement général sur la protection des données de l’UE (RGPD — Règlement 2016/679) s’applique directement dans toute l’Espagne depuis le 25 mai 2018. Il est complété et renforcé par la loi nationale de transposition espagnole, la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), qui adapte le RGPD au droit constitutionnel espagnol (le droit à la vie privée est un droit fondamental au titre de l’article 18 de la Constitution espagnole) et ajoute des règles sectorielles.

Pour les entreprises opérant en Espagne, c’est la combinaison du RGPD et de la LOPD-GDD — et non le RGPD seul — qui définit la norme de conformité.

L’Autorité Espagnole de Protection des Données : AEPD

L’Agencia Española de Protección de Datos (AEPD) est l’autorité de contrôle indépendante espagnole. Elle est constamment l’une des autorités de protection des données les plus actives de l’UE, imposant régulièrement des amendes substantielles à des entreprises de toutes tailles. Les actions d’application de l’AEPD notables ont inclus des amendes contre de grands opérateurs de télécommunications, des compagnies aériennes et des banques, ainsi que contre des entreprises plus petites pour des manquements de conformité de base.

Les priorités d’application de l’AEPD comprennent :

  • L’utilisation illicite des cookies et des technologies de suivi
  • Les bases légales inadéquates pour le traitement des données personnelles
  • L’absence de réponse aux demandes de droits des personnes concernées dans les délais légaux (un mois)
  • Les mesures de sécurité techniques et organisationnelles inadéquates suite à des violations de données

Principales Obligations de Conformité

1. Base Légale du Traitement

Toute activité de traitement doit reposer sur l’une des six bases légales du RGPD : consentement, exécution d’un contrat, obligation légale, intérêts vitaux, mission d’intérêt public ou intérêts légitimes. En Espagne, l’AEPD examine attentivement les mécanismes de consentement — les cases pré-cochées, le consentement groupé et le consentement utilisé comme base fourre-tout pour le profilage commercial sont tous régulièrement contestés.

2. Registre des Activités de Traitement (RAT)

Les entreprises de plus de 250 salariés, ou qui traitent des données sensibles ou effectuent un traitement systématique, doivent tenir un registre écrit documentant toutes les activités de traitement, leurs finalités, les catégories de données, les durées de conservation et les mesures de sécurité.

3. Délégué à la Protection des Données (DPD)

Un DPD est obligatoire pour les autorités publiques, les entreprises traitant des données sensibles à grande échelle, ou les entreprises effectuant une surveillance systématique à grande échelle des personnes. Le DPD peut être un employé ou un prestataire externe et doit être enregistré auprès de l’AEPD.

4. Contrats de Traitement des Données (DPA)

Tout prestataire tiers qui traite des données personnelles pour le compte de votre entreprise (fournisseurs cloud, prestataires de paie, plateformes marketing) doit disposer d’un contrat de traitement signé conforme aux exigences de l’article 28 du RGPD. Il s’agit d’une lacune couramment constatée dans la due diligence des entreprises espagnoles.

5. Cookies et Suivi en Ligne

La Guía sobre el uso de las cookies de l’AEPD est l’un des documents d’orientation les plus détaillés de l’UE. Le consentement doit être spécifique, éclairé et librement donné ; les murs de consentement (blocage de l’accès si les cookies ne sont pas acceptés) ne sont autorisés que dans des circonstances spécifiques. Les cookies analytiques ne sont pas « strictement nécessaires » et requièrent un consentement.

6. Données RH

La LOPD-GDD ajoute des dispositions spécifiques sur la surveillance des salariés, les droits numériques sur le lieu de travail, et l’utilisation des données biométriques pour les systèmes de contrôle des présences (pratique populaire mais juridiquement complexe en Espagne).

Amendes et Sanctions

Le RGPD autorise des amendes allant jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires annuel mondial (selon le montant le plus élevé) pour les violations les plus graves. L’AEPD impose régulièrement des amendes dans la fourchette de 50 000 à 300 000 EUR pour les entreprises de taille moyenne et a prononcé des amendes dépassant 5 millions EUR pour les grandes organisations.

Ajouts de la LOPD-GDD au-delà du RGPD

La LOPD-GDD ajoute des droits et obligations spécifiquement espagnols absents du RGPD de base :

  • Droit à la déconnexion numérique au travail (derecho a la desconexión digital)
  • Droit à ne pas faire l’objet d’un profilage automatisé dans les décisions d’emploi
  • Règles spécifiques pour le traitement des données de personnes décédées

Comment BMC Peut Vous Aider

Nous réalisons des audits de conformité RGPD, préparons les registres RAT et les politiques internes, négocions les contrats de traitement des données avec les fournisseurs, accompagnons la désignation du DPD, gérons les plaintes et enquêtes auprès de l’AEPD, et conseillons sur les aspects liés à la protection des données dans les opérations de M&A.

Questions fréquentes

En quoi la LOPD-GDD diffère-t-elle du RGPD en Espagne ?
Le RGPD (Règlement 2016/679) s'applique directement en Espagne en tant que droit européen. La LOPD-GDD (Ley Orgánica 3/2018) est la loi nationale de transposition espagnole qui adapte le RGPD au cadre constitutionnel espagnol — où la vie privée est un droit fondamental au titre de l'article 18 — et ajoute des règles spécifiques à l'Espagne. Les principaux ajouts de la LOPD-GDD comprennent les droits numériques dans l'emploi (droit à la déconnexion numérique, droit à ne pas faire l'objet d'un profilage dans les décisions RH), des règles détaillées sur la surveillance des salariés, et des dispositions spécifiques sur le traitement des données de personnes décédées.
Quelles amendes l'AEPD peut-elle imposer pour des violations du RGPD en Espagne ?
L'AEPD peut imposer des amendes allant jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) pour les violations les plus graves du RGPD, telles que le traitement illicite, des mesures de sécurité insuffisantes ayant entraîné une violation de données, ou le refus de droits des personnes concernées. Pour les infractions moins graves, des amendes allant jusqu'à 10 millions EUR ou 2 % du chiffre d'affaires mondial s'appliquent. Dans la pratique, l'AEPD impose régulièrement des amendes dans la fourchette de 50 000 à 300 000 EUR pour les entreprises de taille moyenne et a prononcé des amendes dépassant 5 millions EUR pour les grandes organisations.
Quand un Délégué à la Protection des Données (DPD) est-il obligatoire en Espagne ?
Un DPD est obligatoire au titre du RGPD pour les autorités publiques, les entreprises qui traitent des données sensibles à grande échelle, et les entreprises qui effectuent une surveillance systématique à grande échelle des personnes. En vertu de la LOPD-GDD espagnole, l'obligation s'étend aux établissements d'enseignement, aux établissements de crédit, aux compagnies d'assurance et à plusieurs autres catégories. Le DPD doit être enregistré auprès de l'AEPD et peut être un employé interne ou un prestataire externe.
Quelles sont les exigences de conformité en matière de cookies en Espagne ?
Les orientations de l'AEPD sur les cookies figurent parmi les plus détaillées de l'UE. Les cookies analytiques et publicitaires ne sont pas « strictement nécessaires » et requièrent un consentement spécifique, éclairé et librement donné — les cases pré-cochées sont invalides. Les murs de consentement (blocage de l'accès à un site web si les cookies ne sont pas acceptés) ne sont autorisés que dans des circonstances limitées et uniquement lorsqu'une véritable alternative est offerte. Le retrait du consentement aux cookies doit être aussi aisé que son octroi, et l'AEPD s'applique activement contre les sites web non conformes.
Quelles obligations RGPD s'appliquent aux données des salariés en Espagne ?
Les employeurs traitant des données de salariés au titre du RGPD doivent disposer d'une base légale valide (généralement la nécessité contractuelle ou l'obligation légale). La LOPD-GDD ajoute des règles spécifiques : les données biométriques pour les systèmes de contrôle des présences requièrent un consentement explicite ou une base légale spécifique ; la surveillance des communications au travail nécessite une information préalable des salariés et de leurs représentants ; les salariés ont droit à la déconnexion numérique en dehors des heures de travail. Les données de paie, les dossiers de surveillance de la santé et les dossiers disciplinaires ont chacun des durées de conservation spécifiques.

Service associé

Legal

Découvrez nos services dans ce domaine

Secteurs associés

Technologies & Startups Services Financiers

Termes associés

Due Diligence Sociedad Limitada (SL) — Société à responsabilité limitée espagnole Registre du Commerce (Registro Mercantil) Conformité intégrée Directive NIS2 ISO 27001 (Système de management de la sécurité de l'information) Délégué à la Protection des Données (DPD) Canal de signalement (Lanceur d'alerte)

Articles associés

août 2023

Protection des données et IA : nouveaux défis juridiques

Retour au glossaire

Demandez une consultation personnalisée

Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.

Consultation gratuite
Appeler Contact