La conformité n'est plus l'apanage des grandes entreprises. Depuis 2015, la réforme du Code pénal espagnol a introduit la responsabilité pénale des personnes morales, et depuis lors l'écosystème réglementaire qui entoure les entreprises n'a cessé de s'étendre. En 2026, une PME de taille moyenne doit gérer simultanément des obligations découlant d'au moins six cadres réglementaires distincts : protection des données, cybersécurité, lutte contre le blanchiment de capitaux, égalité, canal d'alerte et, selon le secteur, une réglementation sectorielle spécifique. Ignorer l'un d'eux n'est pas une option : les sanctions administratives peuvent dépasser plusieurs centaines de milliers d'euros et, dans certains cas, engager la responsabilité pénale des dirigeants.
Cette checklist n'a pas vocation à remplacer une analyse juridique personnalisée — chaque entreprise possède son propre profil de risque —, mais à vous fournir une carte de situation permettant d'identifier quels blocs sont obligatoires pour votre entreprise, lesquels s'appliquent selon votre taille ou votre secteur, et lesquels il convient d'anticiper même s'ils ne sont pas encore exigibles. En fin d'article vous trouverez un tableau récapitulatif avec les seuils d'application et les échéances.
Bloc 1 : Conformité pénale (programme de prévention des infractions)
L'article 31 bis du Code pénal (Loi organique 1/2015, du 30 mars) établit que les personnes morales sont pénalement responsables des infractions commises en leur nom ou pour leur compte par leurs représentants légaux, administrateurs ou salariés. L'exonération ou l'atténuation de cette responsabilité requiert d'avoir adopté et exécuté efficacement, avant la commission de l'infraction, un modèle d'organisation et de gestion incluant des mesures de surveillance et de contrôle.
La Circulaire 1/2016 du Parquet général de l'État précise ce que ce modèle doit contenir pour être considéré comme idoine par un tribunal. Les éléments minimaux sont :
- Identification des activités à risque pénal (cartographie des risques pénaux).
- Protocoles et procédures spécifiques de prévention.
- Ressources financières suffisantes pour appliquer le modèle.
- Obligations d'information sur les risques et manquements éventuels à l'organe de surveillance.
- Système disciplinaire sanctionnant le non-respect des mesures.
- Vérification périodique du modèle et mise à jour.
Il n'existe aucun seuil légal d'effectif ou de chiffre d'affaires exonérant une entreprise de la responsabilité pénale. Toutefois, l'article 31 bis.3 du Code pénal prévoit un régime simplifié pour les personnes morales de petite dimension, dans lesquelles les fonctions de supervision peuvent incomber directement à l'organe d'administration. En pratique, notre équipe recommande un programme de conformité pénale structuré pour toute entreprise à partir de 10 salariés ou exerçant dans des secteurs à risque élevé (construction, transport, alimentaire, services financiers).
Bloc 2 : Protection des données (RGPD + LOPDGDD)
Le Règlement (UE) 2016/679 (RGPD) est directement applicable dans toute l'Union européenne depuis le 25 mai 2018. En Espagne, la Loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD) adapte et complète le règlement européen.
Les obligations de base qui s'appliquent à toute entreprise traitant des données de personnes physiques sont :
- Registre des activités de traitement (RAT) : obligatoire pour tous les responsables et sous-traitants (art. 30 RGPD). Exemption partielle pour les entreprises de moins de 250 salariés ne traitant pas habituellement de catégories particulières ni de données relatives à des condamnations pénales, mais en pratique, presque toutes les PME dépassent l'un de ces seuils.
- Base juridique pour chaque traitement : consentement, contrat, obligation légale, intérêt légitime ou autres bases de l'art. 6 RGPD. Les documenter est obligatoire.
- Mentions informatives dans les formulaires, contrats et politiques de confidentialité.
- Contrats avec les sous-traitants (art. 28 RGPD) : avec chaque fournisseur ayant accès à des données personnelles (cabinet comptable, cloud, CRM, e-mail marketing, etc.).
- Procédure de notification des violations à l'AEPD dans les 72 heures (art. 33 RGPD).
- Délégué à la Protection des Données (DPO) obligatoire dans certains cas (art. 37 RGPD et art. 34 LOPDGDD) : autorités publiques, traitement à grande échelle de catégories particulières, ou surveillance systématique à grande échelle.
L'AEPD a publié en 2024 une mise à jour de son guide d'analyse des risques spécifiquement destiné aux PME. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Bloc 3 : Canal d'alerte (Loi 2/2023)
La Loi 2/2023, du 20 février, réglementant la protection des personnes signalant des infractions normatives et luttant contre la corruption (transposition de la Directive UE 2019/1937, dite Directive Lanceurs d'alerte), établit l'obligation de disposer d'un canal interne de signalement.
Les seuils d'application sont :
- Obligatoire depuis l'entrée en vigueur (13 juin 2023) pour les entreprises de 250 travailleurs ou plus.
- Obligatoire depuis le 1er décembre 2023 pour les entreprises de 50 à 249 travailleurs.
- Facultatif mais recommandé pour les entreprises de moins de 50 travailleurs, sauf si elles opèrent dans le secteur financier, auquel cas l'obligation peut découler de la réglementation sectorielle (p. ex., la Directive DORA pour les entités financières).
Le canal doit garantir la confidentialité, un accusé de réception sous 7 jours, une réponse sous 3 mois et l'indépendance du responsable du système. L'Autorité Indépendante de Protection du Lanceur d'Alerte (A-I) supervise la conformité. Les sanctions en cas de manquement varient entre 1 001 et 1 000 000 euros selon l'article 64 de la loi.
Bloc 4 : Cybersécurité (NIS2 / RD 43/2021)
La Directive (UE) 2022/2555, dite NIS2, élargit considérablement le champ d'application de l'ancienne Directive NIS. En Espagne, la transposition est en cours via un projet de loi qui, à la date de cet article (avril 2026), est encore en cours d'examen parlementaire, bien que le cadre de référence du Décret royal 43/2021 demeure en vigueur pour les opérateurs de services essentiels et les fournisseurs de services numériques.
NIS2 introduit deux catégories d'entités obligées :
- Entités essentielles : énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique et espace. Au-delà de 250 salariés ou de 50 millions d'euros de chiffre d'affaires annuel.
- Entités importantes : services postaux, gestion des déchets, fabrication de produits critiques, produits chimiques, alimentation, fabrication en général, fournisseurs numériques et de services de recherche. Entre 50 et 250 salariés ou entre 10 et 50 millions d'euros.
Les obligations comprennent des politiques de sécurité des systèmes d'information, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et l'utilisation de la cryptographie. Les sanctions pour les entités essentielles peuvent atteindre 2 % du chiffre d'affaires annuel mondial total ou 10 millions d'euros.
Bloc 5 : Lutte contre le blanchiment de capitaux (LCB-FT)
La Loi 10/2010, du 28 avril, relative à la prévention du blanchiment de capitaux et du financement du terrorisme (modifiée à plusieurs reprises, la dernière fois par la Loi 4/2022) et son Règlement (RD 304/2014) instaurent un régime de diligence raisonnable pour les personnes assujetties. Il ne s'applique pas à toutes les entreprises, mais exclusivement à certaines activités :
- Entités financières (banques, assureurs, gestionnaires de fonds).
- Notaires, greffiers, avocats et auditeurs intervenant dans certaines opérations.
- Promoteurs immobiliers et agents immobiliers.
- Bijouteries, maisons de vente aux enchères et galeries d'art (à partir de 10 000 euros en espèces).
- Bureaux de change et sociétés de transfert de fonds.
- Opérateurs de jeux d'argent.
- Gestionnaires d'actifs virtuels (cryptomonnaies) : obligation renforcée depuis la transposition de la 5e directive AMLD.
Si votre entreprise est une personne assujettie, vous devez disposer : d'un manuel LCB-FT, d'un responsable de la conformité désigné, d'une politique d'acceptation des clients, de procédures de diligence raisonnable (simplifiée, standard et renforcée), d'une formation continue du personnel et de la déclaration des opérations suspectes au SEPBLAC.
Bloc 6 : Égalité et registre des rémunérations (obligations sociales)
Le Décret royal 902/2020, du 13 octobre, relatif à l'égalité de rémunération entre femmes et hommes, exige de toutes les entreprises (sans seuil minimal d'effectif) de tenir un registre des rémunérations couvrant l'ensemble du personnel, ventilé par sexe et catégorie professionnelle, avec référence à l'écart de rémunération.
Par ailleurs, le Décret royal 901/2020 réglemente les plans d'égalité. L'obligation de négocier et d'enregistrer un plan d'égalité s'applique aux :
- Entreprises de 50 salariés ou plus (seuil en vigueur depuis le 7 mars 2022).
- Entreprises de toute taille lorsque la convention collective applicable l'exige.
- Entreprises sanctionnées pour discrimination sexuelle, lorsque l'autorité du travail l'impose.
Le plan doit être enregistré dans le Registre des Plans d'Égalité (REGCON) du MITES. Le non-respect peut entraîner des amendes allant jusqu'à 225 018 euros pour une infraction très grave en vertu de la LISOS (RDL 5/2000).
Bloc 7 : ESG et durabilité (CSRD et chaîne de valeur)
La Directive (UE) 2022/2464, dite CSRD (Corporate Sustainability Reporting Directive), oblige à publier des rapports de durabilité selon les normes ESRS. Les dates d'application directe sont :
- Exercice 2024 : grandes entreprises déjà soumises à la NFRD (plus de 500 salariés).
- Exercice 2025 : nouvelles grandes entreprises (plus de 250 salariés ou 25 millions d'actifs ou 50 millions de chiffre d'affaires).
- Exercice 2026 : PME cotées (avec la norme simplifiée VSME).
Cependant, les PME non cotées qui se situent en dehors du champ direct de la CSRD sont indirectement concernées par la chaîne d'approvisionnement : leurs grands clients leur adresseront des questionnaires ESG comme condition d'homologation en tant que fournisseur. Anticiper avec une déclaration de durabilité volontaire fondée sur la norme VSME (publiée par l'EFRAG en décembre 2024) représente un réel avantage concurrentiel dans les appels d'offres et les concours fournisseurs.
Bloc 8 : AI Act (application progressive 2024-2026)
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024 avec un calendrier d'application progressif :
- 2 février 2025 : interdiction des pratiques d'IA inacceptables (manipulation subliminale, notation sociale par le secteur public, etc.).
- 2 août 2025 : application des obligations de gouvernance et des modèles d'IA à usage général (GPAI).
- 2 août 2026 : pleine application pour les systèmes d'IA à haut risque (Annexe III).
Pour la majorité des PME, l'obligation immédiate est de classer les systèmes d'IA qu'elles utilisent ou déploient selon l'Annexe III du règlement et de vérifier s'ils sont à haut risque. Si une PME utilise des outils d'IA pour la prise de décisions relatives aux ressources humaines (recrutement, évaluation des performances), à l'octroi de crédits, à l'accès à des services essentiels ou à des composantes d'infrastructures critiques, elle est probablement en présence d'un système à haut risque avec des obligations de transparence, de documentation technique, d'enregistrement et de supervision humaine.
Tableau récapitulatif : seuils et échéances de conformité 2026
| Bloc réglementaire | Texte principal | Seuil d'application | Sanction maximale | Statut en 2026 |
|---|---|---|---|---|
| Conformité pénale | Code pénal art. 31 bis (LO 1/2015) | Toutes les personnes morales | Dissolution / amende jusqu'au quintuple du bénéfice | En vigueur |
| RGPD / LOPDGDD | Règlement (UE) 2016/679 + LO 3/2018 | Toute entreprise traitant des données personnelles | 20 M€ ou 4 % du CA mondial annuel | En vigueur |
| Canal d'alerte | Loi 2/2023 | ≥ 50 travailleurs (depuis déc. 2023) | Jusqu'à 1 000 000 € | En vigueur |
| NIS2 / Cybersécurité | Directive (UE) 2022/2555 | Secteurs essentiels/importants ≥ 50 salariés | Essentielles : 10 M€ ou 2 % du CA mondial ; importantes : 7 M€ ou 1,4 % | Transposition en cours (ES) |
| LCB-FT | Loi 10/2010 + RD 304/2014 | Personnes assujetties par secteur uniquement | Jusqu'au double du bénéfice obtenu | En vigueur |
| Égalité / Plan | RD 901/2020 + RD 902/2020 | Registre : toutes ; Plan : ≥ 50 | Jusqu'à 225 018 € (LISOS) | En vigueur |
| CSRD / ESG | Directive (UE) 2022/2464 | Directe : ≥ 250 sal. ; PME : pression chaîne | Variable selon l'État membre | Progressif 2024-2026 |
| AI Act | Règlement (UE) 2024/1689 | Toute entreprise utilisant/déployant de l'IA | 35 M€ ou 7 % du CA mondial annuel | Progressif 2025-2026 |
Comment construire votre cartographie de conformité en quatre étapes
Étape 1 : Inventaire des activités et des actifs
Avant de déterminer quelles réglementations s'appliquent, vous devez savoir ce que fait votre entreprise, avec quelles données elle travaille, quelle technologie elle utilise et dans quels secteurs elle opère. Un inventaire des processus métier, des traitements de données et des systèmes d'information est le point de départ de tout diagnostic sérieux de conformité. Sans cet inventaire, l'analyse des écarts sera superficielle.
Étape 2 : Analyse des écarts par bloc
Pour chacun des huit blocs ci-dessus, évaluez si la réglementation s'applique à votre entreprise (critère de taille, de secteur ou d'activité), quels contrôles vous avez actuellement mis en place et quelle distance existe entre votre situation réelle et les exigences réglementaires. Le résultat est une matrice d'écarts hiérarchisée par niveau de risque et d'urgence.
Étape 3 : Plan de remédiation avec responsable et échéance
Chaque écart identifié doit se traduire par une action concrète, avec un responsable interne désigné et une date limite. En pratique, les entreprises qui échouent en matière de conformité ne le font pas par méconnaissance de la réglementation, mais par manque d'attribution claire des responsabilités et de mécanismes de suivi.
Étape 4 : Système de veille continue
La conformité n'est pas un projet avec une date de fin : c'est un système de gestion permanent. Les réglementations évoluent, les entreprises changent et les risques se transforment. Une révision annuelle de la cartographie de conformité, combinée à la veille sur les nouveautés réglementaires (BOE, EUR-Lex, circulaires de l'AEPD, INCIBE, SEPBLAC), est le minimum requis pour maintenir le système à jour.
Questions fréquentes
Ai-je besoin d'un programme de conformité pénale si je suis une petite entreprise ?
La responsabilité pénale des personnes morales n'a pas de seuil minimal d'effectif ou de chiffre d'affaires. Ce que prévoit le Code pénal (art. 31 bis.3), c'est un régime simplifié pour les entités de petite dimension, dans lesquelles l'organe d'administration peut assumer directement les fonctions de surveillance. Cela ne signifie pas qu'il n'y a rien à mettre en place : cela signifie que le modèle peut être allégé, mais il doit exister. Une entreprise de 15 salariés opérant dans la logistique ou la construction présente un profil de risque pénal réel (accidents du travail, corruption, fraude fiscale) et l'absence de modèle documenté l'empêche d'établir l'exonération ou l'atténuation devant un tribunal.
Que se passe-t-il si mon entreprise compte moins de 50 travailleurs et n'a pas de canal d'alerte ?
Pour les entreprises de moins de 50 salariés, la Loi 2/2023 n'impose pas l'obligation de disposer d'un canal interne propre, bien qu'elles puissent adhérer à un canal partagé (par exemple, via une association professionnelle). Cependant, si la convention collective applicable à votre secteur l'exige, ou si votre entreprise appartient au secteur financier ou bénéficie de fonds européens, une obligation peut en découler. En tout état de cause, disposer d'un canal — même si ce n'est pas obligatoire — réduit sensiblement le risque qu'une alerte parvienne directement à l'autorité sans passer par un filtre interne.
Comment savoir si mon entreprise est concernée par NIS2 ?
Le premier filtre est le secteur : NIS2 concerne les secteurs hautement critiques (énergie, transports, banques, santé, infrastructure numérique, administration publique) et les secteurs importants (fabrication, alimentation, services postaux, fournisseurs numériques). Le second filtre est la taille : en général, plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires. Si votre entreprise dépasse les deux filtres dans l'un de ces secteurs, elle est probablement une entité importante ou essentielle. La transposition espagnole (en attente à la date de cet article) peut introduire des nuances supplémentaires. La démarche la plus prudente est de réaliser un diagnostic de situation avant l'entrée en vigueur de la loi.
L'AI Act me concerne-t-il même si j'utilise uniquement des outils d'IA tiers ?
Oui. L'AI Act distingue entre les fournisseurs (ceux qui développent des systèmes d'IA), les déployeurs (ceux qui les utilisent dans un contexte professionnel) et les importateurs. Si votre entreprise utilise un outil d'IA tiers pour prendre des décisions affectant des personnes (salariés, clients, candidats), vous agissez en tant que déployeur et avez vos propres obligations : vérifier que le système satisfait aux exigences du règlement, tenir des registres d'utilisation, garantir une supervision humaine et, dans certains cas, réaliser une évaluation de l'impact sur les droits fondamentaux. Se fier uniquement au fournisseur est insuffisant.
Si vous souhaitez évaluer votre situation de départ ou structurer un programme de conformité intégral pour votre entreprise, l'équipe de Summum Consultoría accompagne les PME et les entreprises de taille intermédiaire dans la mise en place de systèmes de conformité réglementaire en Castille-et-León et aux Îles Canaries depuis 2007. Le point de départ est toujours le même : savoir exactement où vous en êtes avant de décider quoi faire.