Que faire lors d'un contrôle de l'AEPD — Guide 2026

Q: Quelles sanctions l'AEPD peut-elle imposer ?

Le RGPD prévoit deux niveaux de sanctions administratives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les infractions aux obligations du responsable et du sous-traitant (articles 8, 11, 25-39, 42, 43 RGPD) ; et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux du RGPD, des droits des personnes concernées et des transferts internationaux. Ces plafonds sont les maximums théoriques. L'AEPD tient compte de critères atténuants (coopération, absence d'antécédents, mesures correctives adoptées) pour fixer le montant effectif.

Q: La procédure de l'AEPD peut-elle être suspendue si l'entreprise corrige ses pratiques ?

Oui. La LOPDGDD espagnole (Loi Organique 3/2018) prévoit une procédure de règlement volontaire : l'entreprise peut reconnaître sa responsabilité et payer une sanction réduite (réduction de 20 %) dans les 30 jours suivant la notification de la proposition de résolution. En outre, pour certaines infractions, la mise en conformité volontaire et rapide est prise en compte comme circonstance atténuante significative dans la fixation de la sanction.

Q: Que faire dans les premières 24 heures après réception d'une notification de l'AEPD ?

Les 24 premières heures sont déterminantes pour la gestion d'une procédure AEPD. Les actions prioritaires : (1) identifier la nature exacte de la notification — demande d'information préalable, ouverture de diligencias previas ou procédure de sanction formelle. Chacune implique des délais et des obligations distincts ; (2) ne commencer aucune communication avec l'AEPD sans avoir consulté un avocat spécialisé en protection des données. Les déclarations spontanées peuvent être utilisées dans la procédure ; (3) nommer un responsable unique interne pour centraliser toutes les communications et décisions relatives à la procédure — l'absence de coordination génère des réponses contradictoires qui aggravent la position de l'entreprise ; (4) mettre en place une mesure conservatoire : si l'infraction alléguée est clairement établie et corrigible rapidement (par exemple, un traitement sans base légale), la correction immédiate et documentée constitue une circonstance atténuante significative ; (5) rassembler les preuves existantes de conformité — registre des activités de traitement (RAT) à jour, politiques de protection des données, formations réalisées, contrats de sous-traitance conformes à l'art. 28 RGPD. Ces documents seront la base de la réponse. Un délai de réponse de 10 à 15 jours est généralement accordé — ce délai est contraignant et son non-respect peut être interprété négativement.

Q: Quels documents et preuves rassembler pour défendre l'entreprise lors d'une procédure AEPD ?

La défense dans une procédure AEPD repose sur deux piliers : la démonstration de la conformité préexistante (l'entreprise avait mis en place les mesures exigées) et, si une infraction est établie, la preuve des circonstances atténuantes (art. 83.2 RGPD et LOPDGDD). Les documents essentiels à rassembler immédiatement : (1) le Registre des Activités de Traitement (RAT) — obligatoire pour toute organisation de >250 salariés ou traitant des données sensibles (art. 30 RGPD), il prouve que l'organisation a analysé et documenté ses traitements ; (2) les politiques de protection des données et mentions d'information remises aux personnes concernées ; (3) les contrats de sous-traitance conclus avec les encargados del tratamiento (art. 28 RGPD) — l'absence de contrat conforme est fréquemment sanctionnée ; (4) les preuves de formation du personnel sur la protection des données (attestations, programmes) ; (5) les Analyses d'Impact (AIPD/EIPD) réalisées pour les traitements à risque élevé ; (6) les journaux et logs techniques prouvant les mesures de sécurité en place (chiffrement, contrôle d'accès, pseudonymisation) ; (7) tout antécédent de coopération avec l'AEPD (réponses à des consultations précédentes, notifications de brèches). En cas de brèche de sécurité, la notification préalable à l'AEPD dans les 72 heures (art. 33 RGPD) constitue elle-même une circonstance atténuante.

Q: Peut-on réduire la sanction AEPD en coopérant avec l'autorité et comment ?

Oui. L'article 83.2 RGPD prévoit explicitement la coopération avec l'autorité de contrôle comme circonstance atténuante dans la fixation du montant de la sanction. La coopération effective comprend : (1) répondre complètement et dans les délais à toutes les demandes d'information de l'AEPD, sans dissimuler de documents ni retarder la transmission ; (2) adopter des mesures correctives volontaires pendant la procédure et en informer l'AEPD — non seulement prévoir de les mettre en place, mais les avoir effectivement déployées et documentées ; (3) reconnaître les infractions clairement établies sans les contester de manière dilatoire — les défenses manifestement infondées sont perçues négativement par l'AEPD ; (4) recourir au règlement volontaire prévu par la LOPDGDD (réduction de 20 % du montant de la sanction) lorsque l'infraction est avérée et la sanction proposée raisonnable. Les autres circonstances atténuantes légalement prévues : absence d'antécédents de violations, caractère négligent (non délibéré) de l'infraction, mesures préventives préexistantes, et impact limité ou inexistant sur les personnes concernées. À l'inverse, les circonstances aggravantes — délibération, enrichissement résultant de l'infraction, atteinte à des données de catégories particulières, refus de coopération — peuvent conduire à des sanctions au plafond maximum du RGPD.

Q: Quels recours sont disponibles si l'entreprise conteste la résolution de l'AEPD ?

La résolution définitive de l'AEPD peut faire l'objet de deux recours consécutifs : (1) le recours de réformation (recurso de reposición) — devant l'AEPD elle-même, dans un délai d'un mois à compter de la notification de la résolution. Ce recours n'est pas obligatoire (il est dit 'potestativo') mais sa présentation suspend le délai du recours contentieux. Il est utile lorsque des éléments factuels ou juridiques n'ont pas été correctement évalués ; (2) le recours contentieux-administratif — devant l'Audiencia Nacional (juridiction administrative compétente pour les décisions des autorités centrales de l'État), dans un délai de deux mois à compter de la notification de la résolution ou de la résolution du recours de réposition. La procédure contentieuse peut durer 2 à 4 ans. Pendant la procédure de recours, l'exécution de la sanction peut être suspendue si l'entreprise fournit une garantie bancaire ou verse le montant en consignation. En pratique, les statistiques de l'AEPD montrent que les sanctions sont confirmées dans la majorité des recours lorsque les infractions sont clairement établies, mais que les montants sont parfois réduits par l'Audiencia Nacional lorsqu'ils sont jugés disproportionnés. Le recours est pertinent pour les sanctions >50 000 € et les situations juridiquement contestables.

Recevoir une notification de l'Agence espagnole de protection des données (AEPD) est une situation qui mérite une réaction immédiate et méthodique. Les entreprises qui paniquent ou qui ignorent la notification s'exposent à des sanctions bien plus lourdes. Notre service de protection des données gère l'ensemble de la procédure de réponse à l'AEPD. que celles qui répondent de manière constructive et diligente. Ce guide vous explique ce qui se passe, comment réagir à chaque étape et comment minimiser l'impact. Notre service de DPO externalisé gère l'intégralité de la procédure.

Les types d’actes d’ouverture de procédure de l’AEPD

Demande d’information préalable

La première prise de contact de l’AEPD est souvent une simple demande d’information, avant l’ouverture formelle d’une procédure. Elle peut faire suite à une plainte d’une personne concernée ou à une initiative de contrôle de l’AEPD. À ce stade, une réponse coopérative et complète peut éviter l’ouverture d’une procédure formelle.

Procédure d’investigation (diligencias previas)

L’AEPD ouvre une phase d’investigation pour analyser les faits. Cette phase n’implique pas encore de sanction. L’entreprise reçoit une notification l’invitant à fournir des informations et des documents sur ses pratiques de traitement.

Procédure de sanction

Si l’investigation révèle une infraction, l’AEPD ouvre formellement une procédure de sanction. Elle notifie à l’entreprise les faits qui lui sont reprochés, les infractions présumées et les sanctions potentielles.

Ce que vous devez faire dès réception de la notification

1. Ne pas ignorer la notification. Les délais de réponse sont juridiquement contraignants. Un silence peut être interprété comme un aveu ou entraîner une procédure par défaut.

2. Consulter immédiatement un avocat spécialisé en protection des données. La réponse à une procédure AEPD requiert une expertise technique (droit du RGPD et de la LOPDGDD) et procédurale (délais, formes, recours).

3. Rassembler la documentation. Identifiez et compilez tous les documents relatifs aux faits signalés : politiques de protection des données, registre des activités de traitement (outil central de toute politique de protection des données), contrats de sous-traitance, analyses d’impact, preuves de formation des employés, communications avec les personnes concernées.

4. Évaluer les pratiques actuelles. Analysez si les pratiques décrites dans la notification sont effectivement non conformes. Si oui, adoptez les mesures correctives immédiatement — même avant la réponse formelle.

Les phases de la procédure de sanction

Phase 1 — Notification de l’ouverture : L’entreprise reçoit la notification de l’ouverture de la procédure avec un délai pour présenter ses allégations (généralement 15 jours).

Phase 2 — Allégations : L’entreprise présente ses arguments de défense, ses preuves et ses mesures correctives. Cette phase est déterminante : les arguments non présentés ici ne pourront pas l’être en appel.

Phase 3 — Proposition de résolution : L’AEPD émet une proposition de résolution indiquant l’infraction retenue et la sanction proposée. L’entreprise dispose d’un nouveau délai pour formuler ses observations (généralement 10 jours).

Phase 4 — Résolution définitive : L’AEPD émet sa décision définitive. En cas de sanction, elle est exécutoire à compter de la notification.

Le règlement volontaire : une option à considérer

La LOPDGDD espagnole prévoit un mécanisme de règlement volontaire pour certaines infractions. Si l’entreprise reconnaît sa responsabilité dans les 30 jours suivant la notification de la proposition de résolution et paie la sanction proposée, elle bénéficie d’une réduction de 20 % du montant.

Ce mécanisme est pertinent lorsque l’infraction est clairement établie et que la sanction proposée est raisonnable. Dans les cas où les faits sont contestables ou la sanction disproportionnée, il est préférable de défendre sa position.

Les recours disponibles

Recours de réformation (recurso de reposición) : Devant l’AEPD elle-même, dans un délai d’un mois à compter de la notification de la résolution.
Recours contentieux-administratif : Devant les juridictions administratives (Audiencia Nacional pour les sanctions de l’AEPD), dans un délai de deux mois.

BMC dispose d’une équipe spécialisée en protection des données qui accompagne les entreprises dans les procédures AEPD et dans la mise en conformité RGPD.

Cadre réglementaire : la procédure de sanction de l’AEPD

La procédure de sanction de l’AEPD est encadrée par plusieurs textes normatifs qui définissent ses phases, les droits du mis en cause et les critères de fixation des sanctions.

Règlement (UE) 2016/679 (RGPD), article 83 : L’article 83 RGPD établit le cadre général des amendes administratives pour les violations du RGPD. Il distingue deux niveaux de sanctions maximales : pour les violations « moins graves » (article 83.4) — notamment les obligations des sous-traitants, les obligations de base des responsables du traitement — le plafond est de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Pour les violations « graves » (article 83.5) — notamment les principes fondamentaux du traitement, les droits des personnes concernées, les transferts internationaux illicites — le plafond est de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. L’article 83.2 liste les critères que l’AEPD doit prendre en compte pour fixer le montant effectif de la sanction : nature, gravité et durée de la violation, caractère intentionnel ou négligent, mesures prises pour atténuer le préjudice, degré de coopération avec l’autorité, catégories de données concernées, manière dont l’AEPD a été informée, et antécédents.

Loi Organique 3/2018 (LOPDGDD), articles 70–77 : La LOPDGDD adapte le régime de sanctions du RGPD au droit espagnol. L’article 70 LOPDGDD définit les « infractions très graves » (infracciones muy graves), qui correspondent aux violations de l’article 83.5 RGPD. L’article 71 définit les infractions graves (infractor grave) et l’article 72 les infractions légères. La LOPDGDD a introduit une disposition unique en Europe : l’article 77 LOPDGDD prévoit un régime spécifique pour les administrations publiques espagnoles, remplaçant les amendes par des avertissements (apercibimientos) accompagnés d’une obligation de mise en conformité, afin de ne pas pénaliser financièrement les services publics.

Loi 39/2015, de 1er octobre, de procédure administrative commune (LPAC) : La procédure de sanction de l’AEPD suit les règles de la procédure administrative commune espagnole. L’article 89 LPAC prévoit le droit à la terminaison simplifiée de la procédure : si le mis en cause reconnaît sa responsabilité dès l’ouverture de la procédure et paie la sanction dans les délais, il bénéficie d’une réduction de 20 % de la sanction, cumulable avec la réduction pour paiement volontaire en période de paiement volontaire (20 % supplémentaires en vertu de l’article 62 LGT). Ces deux réductions peuvent réduire la sanction effective à 64 % du montant initial.

Erreurs fréquentes lors d’un contrôle AEPD

Erreur 1 : Répondre aux demandes d’information de l’AEPD sans assistance juridique. La première demande d’information (requerimiento de información) de l’AEPD marque l’ouverture d’une enquête préliminaire et n’est pas encore la procédure de sanction formelle. Cependant, les réponses fournies à ce stade peuvent devenir des éléments de preuve à charge dans la procédure de sanction ultérieure. Les organisations qui répondent sans l’assistance d’un avocat spécialisé en protection des données risquent de reconnaître des faits, de produire des documents ou de formuler des réponses qui aggravent leur position juridique.

Erreur 2 : Ne pas mettre en oeuvre les mesures correctrices immédiatement après la notification du contrôle. L’un des critères que l’AEPD prend en compte pour moduler la sanction (article 83.2.c RGPD) est la réaction de l’organisation face à la violation : les mesures prises pour en atténuer les effets et pour se mettre en conformité. Les organisations qui, informées du contrôle, attendent l’issue de la procédure avant d’agir, perdent l’opportunité de démontrer une réaction diligente qui pourrait réduire significativement le montant de la sanction.

Erreur 3 : Négliger les voies de recours disponibles contre la résolution de sanction. La résolution de sanction de l’AEPD n’est pas définitive. L’article 123 LPAC permet au mis en cause de former un recours en réexamen (recurso de reposición) devant l’AEPD dans le délai d’un mois, ou de former directement un recours contentieux-administratif (recurso contencioso-administrativo) devant les tribunaux administratifs dans le délai de deux mois. L’Audience Nationale (Audiencia Nacional) est compétente pour les recours contre les résolutions de l’AEPD. Le taux de succès partiel ou total de ces recours n’est pas négligeable, notamment lorsque l’AEPD n’a pas correctement appliqué les critères de proportionnalité.

protection-données AEPD RGPD compliance

← Retour aux publications

Nouveautés 2026

Articles et analyses

Rapports et livres blancs

Outils

Industries

Stratégie

Fiscalité

Juridique

Opérations

Publications

Nouveautés 2026

Articles et analyses

Rapports et livres blancs

Outils

Que faire si vous recevez un contrôle de l'AEPD

Les types d’actes d’ouverture de procédure de l’AEPD

Demande d’information préalable

Procédure d’investigation (diligencias previas)

Procédure de sanction

Ce que vous devez faire dès réception de la notification

Les phases de la procédure de sanction

Le règlement volontaire : une option à considérer

Les recours disponibles

Cadre réglementaire : la procédure de sanction de l’AEPD

Erreurs fréquentes lors d’un contrôle AEPD

Services associés

Compliance pénal

Protection des données & Vie privée

DPO Externalisé (Délégué à la Protection des Données)

Articles associés

Quand la désignation d'un DPO externe est-elle obligatoire ?

Protection des données et AI Act : points d'intersection

Compliance pénale : mise à jour jurisprudentielle 2026

Vous souhaitez en savoir plus ?

Contacter BMC

Rendez-vous confirmé

Contacter BMC