Toute entreprise gérant des données personnelles — et aujourd’hui pratiquement toutes le font — est soumise à une réglementation de protection des données qui n’est ni optionnelle ni progressive : on la respecte ou on ne la respecte pas, et les conséquences vont des amendes millionnaires aux atteintes à la réputation difficiles à contrecarrer. En 2026, après huit ans d’application du RGPD et cinq ans de vigeur de la LOPDGDD (loi espagnole complétant le RGPD), l’AEPD a abandonné la phase pédagogique et sanctionne régulièrement. Ce guide explique exactement ce que votre entreprise doit faire pour être en règle.
Pour les entreprises françaises ayant des opérations en Espagne, il convient de noter que le RGPD s’applique de manière uniforme dans toute l’UE — les obligations sont les mêmes en Espagne et en France — mais la LOPDGDD espagnole et les orientations de l’AEPD (équivalent de la CNIL en France) introduisent des spécificités nationales, notamment concernant les secteurs obligés d’avoir un DPO et les droits des travailleurs à la déconnexion numérique. Une entreprise française établissant une filiale en Espagne devra interagir avec l’AEPD comme autorité de contrôle compétente.
Cadre normatif : RGPD, LOPDGDD et directives applicables
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, est le texte de référence. Il s’applique directement dans toute l’UE sans nécessité de transposition et établit les obligations fondamentales pour tout responsable ou sous-traitant du traitement. Son effet extraterritorial — article 3 — signifie qu’il s’applique également aux entreprises établies hors de l’UE traitant des données de personnes en territoire européen.
La Loi Organique 3/2018, de Protection des Données Personnelles et garantie des droits numériques (LOPDGDD), adapte le RGPD à l’ordre juridique espagnol et ajoute des obligations propres : elle élargit les secteurs avec DPO obligatoire, régit le droit à l’oubli sur les réseaux sociaux, établit des droits numériques pour les travailleurs (déconnexion numérique, vidéosurveillance, géolocalisation) et fixe les critères de graduation des sanctions appliqués par l’AEPD.
Outre ces deux textes, l’entreprise doit tenir compte des directives et résolutions de l’AEPD — disponibles sur aepd.es — et des lignes directrices du Comité Européen de la Protection des Données (EDPB), qui interprètent et développent des aspects concrets du RGPD.
Principes du traitement : le standard que l’AEPD vérifie
L’article 5 du RGPD énumère les principes régissant tout traitement de données personnelles :
Licéité, loyauté et transparence. Les données doivent être traitées avec une base juridique valide, de manière loyale et sans tromperie, en informant la personne concernée de manière claire et accessible sur ce qui est fait de ses données.
Limitation des finalités. Les données collectées pour une finalité concrète ne peuvent pas être utilisées à des fins incompatibles avec la finalité initiale.
Minimisation des données. Seules les données strictement nécessaires à la finalité déclarée doivent être traitées.
Exactitude. Les données doivent être actualisées.
Limitation de la durée de conservation. Les données ne peuvent pas être conservées indéfiniment. Il est nécessaire de définir et documenter des délais de suppression pour chaque catégorie de traitement.
Intégrité et confidentialité. Le responsable doit garantir la sécurité des données par des mesures techniques et organisationnelles adéquates.
Responsabilité (accountability). Ce principe, articulé à l’article 24 du RGPD, oblige le responsable non seulement à respecter les obligations, mais aussi à être en mesure de démontrer qu’il les respecte.
Bases légales pour le traitement : bien choisir dès le début
Avant d’initier tout traitement de données, l’entreprise doit identifier laquelle des bases juridiques de l’article 6 du RGPD le justifie. Une base incorrecte — ou l’absence de base — est l’erreur la plus sanctionnée par l’AEPD.
Consentement (art. 6.1.a). Il doit être libre, spécifique, éclairé et univoque. Le consentement tacite, la case précochée ou le consentement obtenu comme condition pour fournir un service n’est pas valable.
Exécution d’un contrat (art. 6.1.b). Couvre le traitement nécessaire pour exécuter ou préparer le contrat avec la personne concernée.
Obligation légale (art. 6.1.c). Lorsqu’une norme oblige au traitement : déclarations fiscales, prévention du blanchiment, registre des salariés, factures électroniques.
Intérêt légitime (art. 6.1.f). Base habituelle dans les contextes B2B, marketing direct ou prévention de la fraude. Nécessite de réussir le test de mise en balance : l’intérêt du responsable doit être légitime, nécessaire et ne pas prévaloir sur les droits de la personne concernée. Ce test doit être documenté.
Registre des Activités de Traitement (RAT) : contenu et maintenance
L’article 30 du RGPD oblige à tenir un Registre des Activités de Traitement. Dans la pratique, l’exemption pour les entreprises de moins de 250 salariés est très étroite : l’AEPD recommande que toutes les entreprises maintiennent le RAT.
Le RAT doit contenir, pour chaque activité de traitement :
- Nom et coordonnées du responsable et du DPO
- Finalité du traitement
- Description des catégories de personnes concernées et des données traitées
- Catégories de destinataires (y compris les sous-traitants)
- Transferts internationaux et les garanties applicables
- Délais de suppression prévus pour chaque catégorie
- Description générale des mesures de sécurité techniques et organisationnelles
Le RAT n’est pas un document élaboré une fois et archivé. Il doit être revu et mis à jour chaque fois que l’entreprise intègre un nouvel outil numérique, fait appel à un prestataire accédant aux données ou modifie un processus interne. L’AEPD peut le demander à tout moment, et un RAT incomplet ou obsolète constitue une infraction autonome.
Quand l’entreprise a-t-elle besoin d’un DPO ?
L’article 37 du RGPD établit trois cas de DPO obligatoire : organismes publics, responsables effectuant un suivi régulier et systématique de personnes concernées à grande échelle, et responsables traitant à grande échelle des catégories spéciales de données de l’article 9.
La LOPDGDD (article 34) étend cette liste pour l’Espagne avec des secteurs spécifiques : établissements de crédit, assureurs, sociétés d’investissement, distributeurs et commercialisateurs d’énergie électrique et de gaz, ordres professionnels, promoteurs immobiliers traitant des données à grande échelle, établissements d’enseignement, entités de jeux en ligne et opérateurs d’infrastructures critiques.
Pour les autres entreprises, le DPO n’est pas obligatoire, mais fortement recommandé lorsque le volume ou la sensibilité des traitements le justifie. Le DPO externe est la formule habituelle pour les PME : il permet d’accéder à cette fonction sans le coût d’un salarié dédié et garantit l’indépendance qu’exige le RGPD.
Droits des personnes concernées et délais de réponse
Le RGPD reconnaît aux personnes concernées un catalogue de droits que l’entreprise doit pouvoir exercer de manière effective :
- Accès (art. 15) : la personne concernée a le droit de savoir si ses données sont traitées et d’en obtenir une copie.
- Rectification (art. 16) : correction des données inexactes ou incomplètes.
- Suppression ou droit à l’oubli (art. 17) : dans les cas prévus par la loi.
- Limitation du traitement (art. 18) : suspension du traitement pendant la résolution d’un litige.
- Portabilité (art. 20) : recevoir les données dans un format structuré lorsque le traitement est basé sur le consentement ou le contrat.
- Opposition (art. 21) : particulièrement pertinent en matière de marketing direct.
Le délai de réponse est d’un mois à compter de la réception de la demande. Il peut être prolongé de deux mois supplémentaires lorsque la complexité le justifie. L’absence de réponse dans les délais est une infraction sanctionnable.
Violations de sécurité : notification à l’AEPD en 72 heures
Une violation de sécurité est tout incident occasionnant la destruction, la perte, l’altération, la communication ou l’accès non autorisé à des données personnelles. Cela inclut des cas aussi fréquents que l’envoi massif d’e-mails avec tous les destinataires en CC, le vol d’un ordinateur portable contenant des données clients ou une attaque par rançongiciel.
L’article 33 du RGPD oblige à notifier la violation à l’AEPD dans le délai de 72 heures à compter de la prise de connaissance de celle-ci, dans la mesure où elle est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
La notification doit inclure : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements affectés, les coordonnées du DPO, les conséquences probables et les mesures adoptées ou proposées pour remédier à la situation.
Lorsque la violation représente un risque élevé pour les personnes concernées — exposition de données de santé, mots de passe ou données financières —, l’entreprise doit également le notifier aux personnes concernées, sans délai injustifié, dans un langage clair et accessible.
Le non-respect du délai de 72 heures est l’une des infractions les plus sanctionnées. En 2024, l’AEPD a ouvert des dossiers de sanction pour des violations non notifiées ou notifiées tardivement avec des amendes oscillant entre 50 000 et 300 000 euros.
Transferts internationaux : le cadre post-Schrems II
Tout transfert de données personnelles vers un pays hors de l’Espace Économique Européen (EEE) requiert une garantie adéquate. Le cadre applicable est l’article 46 du RGPD, avec trois mécanismes principaux :
Décisions d’adéquation de la Commission européenne. Permettent de transférer des données sans garanties supplémentaires. En 2026, bénéficient d’une décision d’adéquation : Royaume-Uni, Japon, Nouvelle-Zélande, Canada (secteur privé), Israël, Argentine, Suisse, Uruguay, Corée du Sud, Andorre, et les États-Unis sous le Data Privacy Framework (DPF), en vigueur depuis juillet 2023.
Clauses Contractuelles Types (CCT). Les CCT adoptées par la Commission européenne en juin 2021 sont le mécanisme le plus utilisé pour les transferts vers des pays sans décision d’adéquation. Elles requièrent d’être intégrées au contrat avec le prestataire étranger et, dans la plupart des cas, de compléter une Évaluation d’Impact sur le Transfert (TIA) pour évaluer si la législation du pays de destination garantit une protection essentiellement équivalente à la protection européenne.
Règles d’Entreprise Contraignantes (Binding Corporate Rules, BCR). Mécanisme propre aux groupes multinationaux transférant des données entre leurs entités. Nécessite l’approbation de l’autorité de contrôle compétente.
Des outils d’usage quotidien comme Google Workspace, Microsoft 365, Salesforce ou les plateformes de marketing par e-mail impliquent des transferts vers les États-Unis devant être couverts par les CCT ou le DPF. Il est fréquent que les entreprises utilisent ces outils sans avoir mis à jour leur RAT ni formalisé les garanties, ce qui constitue une infraction aux articles 44-49 du RGPD.
Sanctions de l’AEPD en 2024-2026 : montants et cas réels
Le RGPD prévoit deux tranches d’amende : jusqu’à 10 millions d’euros ou 2 % du CA annuel mondial pour les infractions les moins graves, et jusqu’à 20 millions d’euros ou 4 % pour les plus graves. La LOPDGDD adapte ce schéma à trois niveaux : légère (jusqu’à 40 000 euros), grave (de 40 001 à 300 000 euros) et très grave (de 300 001 à 20 millions ou 4 % du CA).
Cas représentatifs de 2024-2026 :
- Entreprise de télécommunications, amende de 6,2 millions d’euros (2024) : traitement massif de données clients sans base légale valide et omission de l’obligation d’information dans des campagnes de marketing.
- Cabinet dentaire, 150 000 euros (2024) : cession de dossiers médicaux sans consentement exprès à un assureur et absence de DPO obligatoire.
- Plateforme de ressources humaines, 300 000 euros (2025) : transferts vers les États-Unis sans CCT ni évaluation d’adéquation après changement de prestataire cloud.
- Entreprise de distribution, 75 000 euros (2025) : installation de caméras de vidéosurveillance avec champ de vision sur la voie publique sans signalisation adéquate.
- Établissement d’enseignement, 50 000 euros (2026) : conservation de données d’anciens élèves pendant plus de dix ans sans justification et sans politique de suppression documentée.
Le facteur différentiel dans la graduation des sanctions est la récidive, l’intentionnalité et, surtout, l’attitude face à l’Autorité : les entreprises qui attestent de programmes de conformité actifs, notifient les violations dans les délais et collaborent avec l’enquête obtiennent des réductions significatives.
Que faire maintenant : feuille de route de conformité
Le point de départ pour toute entreprise est un audit de protection des données qui cartographie tous les traitements actifs, identifie les bases juridiques, détecte les transferts internationaux non formalisés, évalue les mesures de sécurité existantes et détermine si la désignation d’un DPO est obligatoire. Le programme de conformité inclut :
- Élaborer ou mettre à jour le RAT avec toutes les activités de traitement
- Réviser et mettre à jour les textes d’information (clauses dans les contrats, sur le site web, dans les formulaires)
- Formaliser les contrats de sous-traitance avec tous les prestataires accédant à des données personnelles
- Régulariser les transferts internationaux (CCT, TIA, DPF selon le cas)
- Établir des protocoles de réponse aux demandes d’exercice de droits et aux violations de sécurité
- Évaluer l’obligation du DPO et, le cas échéant, le désigner — interne ou externe
- Réaliser des analyses d’impact sur la protection des données (DPIA) pour les traitements à haut risque (art. 35 RGPD)
Le RGPD ne récompense pas la perfection statique : il récompense l’amélioration continue documentée. Un programme de conformité vivant, revu périodiquement, est la meilleure défense lors d’une enquête de l’AEPD.
Pour une évaluation de l’état de conformité de votre entreprise, contactez l’équipe de protection des données de BMC ou consultez si votre organisation a besoin d’un DPO externe.
Cet article est une analyse à caractère informatif et ne constitue pas un conseil juridique. Pour une analyse spécifique de votre situation, consultez un spécialiste en protection des données. Si vous vous intéressez au traitement des données dans les contextes d’intelligence artificielle, vous pouvez lire notre analyse sur l’intersection entre l’AI Act et le RGPD.
