Inspection AEPD : que faire et comment vous préparer

·

Recevoir une notification de l'Agencia Española de Protección de Datos — AEPD (Agence espagnole de protection des données) peut susciter de l'inquiétude dans n'importe quelle organisation, qu'il s'agisse d'une PME, d'une clinique ou d'une entreprise de services. Toutefois, l'inspection n'est pas la fin du processus : elle marque souvent le début d'un dialogue avec l'autorité de contrôle dans lequel la préparation, la documentation et l'attitude coopérative déterminent largement le résultat. Ce guide explique, avec rigueur normative, en quoi consiste la procédure d'inspection, quels droits assistent l'entité inspectée et quelle documentation doit être prête dès le premier jour.

Qu'est-ce qui déclenche une action de l'AEPD ?

L'AEPD peut ouvrir une procédure d'office (sur sa propre initiative, après avoir détecté des indices d'infraction) ou à la suite d'une réclamation ou d'une plainte déposée par un particulier, une entreprise ou toute autre entité. Dans les deux cas, la première étape formelle est généralement les investigations préliminaires, régies par l'article 67 de la loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD).

Ces investigations préliminaires ont un caractère inquisitoire et non répressif : l'AEPD recueille des informations, demande des documents et, si elle le juge nécessaire, peut se rendre dans les locaux du responsable du traitement ou du sous-traitant. L'article 58, paragraphe 1, du Règlement (UE) 2016/679 (RGPD) détaille les pouvoirs d'enquête des autorités de contrôle : accès à toute donnée personnelle, accès aux locaux, accès aux équipements de traitement et obtention de copies de documents.

Une investigation préliminaire n'entraîne pas automatiquement l'ouverture d'une procédure de sanction. De nombreuses affaires se concluent par un classement, des mesures d'amélioration volontaires ou la résolution de la réclamation sans sanction. La clé réside dans une réponse prompte, rigoureuse et étayée par une documentation solide.

Phases de la procédure d'inspection de l'AEPD

La procédure de l'AEPD s'articule en étapes distinctes. Les connaître permet de prioriser les actions et d'éviter de confondre une demande d'information avec une sanction déjà prononcée.

Phase Base normative Ce qui se passe Délai de réponse habituel
Investigations préliminaires Art. 67 LOPDGDD · Art. 58(1) RGPD L'AEPD demande des informations, des documents ou l'accès aux locaux. Aucune mise en cause formelle n'a encore été formulée. Tel que fixé dans la demande (généralement 10 à 15 jours ouvrables)
Décision de classement ou de renvoi Art. 67 LOPDGDD En l'absence d'indices d'infraction, l'affaire est classée. Dans le cas contraire, elle est renvoyée en procédure de sanction ou d'avertissement. Aucun délai imposé à l'entité inspectée à ce stade
Procédure d'avertissement Art. 77 LOPDGDD Pour les administrations publiques et certains organismes : l'AEPD peut prononcer un avertissement plutôt qu'une sanction pécuniaire. Délai de présentation des observations : minimum 10 jours ouvrables
Procédure de sanction Arts. 63 à 69 et 70 à 78 LOPDGDD · Art. 83 RGPD Un grief formel est formulé. La partie mise en cause peut présenter des observations, proposer des preuves et contester la décision. Délai de présentation des observations : 10 jours ouvrables à compter de la notification du grief
Décision définitive Art. 64 LOPDGDD L'AEPD rend une décision comportant des mesures correctives ou une sanction. Susceptible de recours devant l'Audiencia Nacional (tribunal national). 12 mois à compter de l'ouverture de la procédure (prorogeable)

Il convient de souligner que les sanctions pécuniaires ne sont prononcées que par une décision définitive à l'issue de la procédure de sanction. Jusqu'à ce moment, l'entité inspectée conserve l'intégralité de ses droits de la défense.

Droits de l'entité inspectée

Tout au long d'une action de l'AEPD, l'organisation inspectée dispose d'un ensemble de droits reconnus tant par la LOPDGDD que par la loi 39/2015 du 1er octobre relative à la procédure administrative commune des administrations publiques :

Connaître ces droits et les exercer au bon moment est aussi important qu'avoir sa documentation en ordre. Chez Summum Consultoría, nous accompagnons les organisations dès la réception de la première communication de l'AEPD, en les aidant à structurer leur réponse et à exercer leurs droits avec efficacité.

Obligations durant l'inspection

Parallèlement aux droits, l'entité inspectée a des obligations dont le non-respect peut aggraver sa situation :

Une attitude de coopération proactive — répondre promptement, fournir une documentation bien organisée et démontrer les mesures d'amélioration déjà adoptées ou en cours — est l'un des facteurs que l'AEPD prend expressément en compte lors de la graduation des sanctions, conformément à l'article 83, paragraphe 2, point f), du RGPD.

Documentation clé à avoir à disposition

Le principe de responsabilité (accountability) de l'article 5, paragraphe 2, du RGPD exige que le responsable du traitement soit en mesure de démontrer la conformité, et pas seulement de la respecter. Face à une inspection, cela se traduit par la disponibilité immédiate des documents suivants :

1. Registre des activités de traitement (RAT)

Le registre des activités de traitement (RAT), régi par l'article 30 du RGPD, est le document central de tout audit en matière de protection des données. Il doit mentionner, pour chaque activité de traitement : les finalités, les catégories de données et de personnes concernées, les destinataires (y compris les transferts internationaux), les délais de suppression et les mesures de sécurité. Un RAT obsolète, incomplet ou ne reflétant pas la réalité des traitements est l'un des constats les plus fréquents lors des inspections de l'AEPD et signale un manque de gouvernance en matière de données.

2. Contrats de sous-traitance

L'article 28 du RGPD impose de formaliser par écrit — sur papier ou en format électronique — tous les contrats avec les sous-traitants : fournisseurs cloud, plateformes de gestion de la paie, cabinets comptables, services d'emailing, développeurs de logiciels accédant aux données des clients, etc. L'absence de ces contrats ou leur contenu insuffisant constitue une infraction autonome que l'AEPD examine systématiquement. Le contrat doit comprendre au minimum : l'objet, la durée, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées, les obligations et droits du responsable du traitement, et les instructions documentées de traitement.

3. Base juridique de chaque traitement

Chaque activité du RAT doit disposer d'une base juridique parmi celles prévues à l'article 6 du RGPD (consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public ou intérêt légitime). Si le traitement repose sur le consentement, des registres doivent être conservés attestant quand, comment et par qui ce consentement a été recueilli.

4. Politique de confidentialité et clauses d'information

Les textes d'information destinés aux personnes concernées (formulaires web, contrats avec les clients, candidats à des recrutements, etc.) doivent satisfaire aux exigences des articles 13 et 14 du RGPD. L'AEPD vérifie que l'information est complète, transparente et disponible au moment de la collecte des données.

5. Analyses d'impact (AIPD) le cas échéant

Pour les traitements à haut risque — vidéosurveillance à grande échelle, profilage de personnes, traitement massif de catégories particulières de données — l'article 35 du RGPD exige la réalisation d'une analyse d'impact relative à la protection des données (AIPD) avant le début du traitement. Si l'organisation effectue l'un de ces traitements sans AIPD, cette absence constitue un manquement direct que l'inspection détectera.

6. Registre des violations de données

L'article 33, paragraphe 5, du RGPD oblige à documenter toutes les violations de données, qu'elles soient notifiées à l'AEPD ou non. Ce registre atteste que l'organisation dispose de mécanismes de détection et de réponse actifs. Si vous souhaitez réviser votre protocole de notification, consultez notre guide sur comment notifier une violation de données à l'AEPD dans les 72 heures.

Comment agir dans les premiers jours suivant la réception de la communication

Les premiers mouvements sont déterminants. Voici les priorités lors de la réception de toute communication de l'AEPD :

  1. Lire attentivement la notification : déterminer s'il s'agit d'une demande d'information dans le cadre d'investigations préliminaires, d'un grief dans une procédure de sanction ou d'un autre type de communication. La nature de la communication détermine le délai et la réponse appropriée.
  2. Noter le délai de réponse et ne pas attendre le dernier moment. Si ce délai est insuffisant, une prorogation motivée peut être demandée avant son échéance.
  3. Désigner un interlocuteur interne (ou le DPO, s'il existe) chargé de coordonner la collecte des documents et les échanges avec l'AEPD.
  4. Rassembler la documentation pertinente : RAT, contrats de sous-traitance, bases juridiques, politiques de confidentialité, registres de consentement et tout autre document lié aux traitements faisant l'objet de l'enquête.
  5. Évaluer si un soutien externe est nécessaire : dans les procédures de sanction, bénéficier d'un conseil spécialisé dès le départ — avant de répondre au grief — peut faire une différence significative dans les observations et dans la proposition de mesures correctives.
  6. Ne pas supprimer ni modifier la documentation relative aux traitements faisant l'objet de l'enquête : toute modification postérieure à la notification pourrait être interprétée comme une obstruction.

Le régime de sanctions du RGPD et de la LOPDGDD

L'article 83 du RGPD établit deux niveaux de sanctions administratives. Les infractions les plus graves — notamment la violation des principes de traitement de l'article 5, l'absence de base juridique (art. 6) ou le non-respect des conditions du consentement (art. 7) — peuvent être sanctionnées par des amendes allant jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Les infractions de second niveau — absence de contrats de sous-traitance, manquement à l'obligation de notification des violations, absence d'AIPD — sont plafonnées à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

La LOPDGDD (loi organique 3/2018) complète ce régime à l'article 72 (infractions très graves), à l'article 73 (infractions graves) et à l'article 74 (infractions mineures), en l'alignant sur les catégories du RGPD. Pour les administrations publiques et certains organismes, l'article 77 de la LOPDGDD prévoit la mesure d'avertissement plutôt que l'amende pécuniaire, bien que la décision soit rendue publique.

Pour graduer la sanction, l'AEPD tient compte de facteurs tels que la gravité du manquement, le nombre de personnes concernées, les catégories de données impliquées, l'intentionnalité ou la négligence, les mesures prises pour limiter les dommages et le degré de coopération avec l'autorité de contrôle (art. 83(2) RGPD). Démontrer que des mesures correctives solides ont été adoptées ou sont en cours peut influer de façon significative sur la décision finale.

Le rôle du DPO lors d'une inspection

Le délégué à la protection des données (DPO), dont la désignation est obligatoire dans les cas visés à l'article 37 du RGPD, joue un rôle central lors de l'inspection. Ses fonctions comprennent le fait d'agir en tant que point de contact avec l'AEPD (art. 39(1)(e) RGPD), de coordonner la collecte des documents et de garantir que la réponse de l'organisation est cohérente et complète. Le DPO doit avoir un accès direct à la direction de l'organisation et ne peut recevoir aucune instruction quant à l'exercice de ses missions.

Les organisations qui n'ont pas l'obligation de désigner un DPO mais qui font face à une procédure de l'AEPD peuvent bénéficier des services d'un DPO externe agissant comme interlocuteur spécialisé tout au long du processus, sans qu'il soit nécessaire d'en faire un poste permanent au sein de l'effectif.

Si votre organisation a besoin de préparer sa documentation en vue d'une éventuelle inspection ou vient de recevoir une communication de l'AEPD, l'équipe de Summum Consultoría propose un accompagnement à toutes les phases de la procédure depuis nos bureaux en Castille-et-León et aux Îles Canaries.

Questions fréquentes

L'AEPD peut-elle se présenter dans mes locaux sans préavis ?

L'article 58, paragraphe 1, point f), du RGPD habilite les autorités de contrôle à accéder aux locaux du responsable du traitement ou du sous-traitant, y compris à tout équipement de traitement de données. Dans la pratique, l'AEPD débute généralement les investigations par des demandes d'information écrites avant d'effectuer des visites en personne, mais elle n'est pas tenue de notifier la visite à l'avance lorsqu'il existe des indices de risque de dissimulation de preuves. En tout état de cause, l'organisation a le droit d'exiger l'identification des inspecteurs et la présentation du document habilitant l'action.

Suis-je tenu(e) de répondre à toutes les questions de l'AEPD ?

Le devoir de coopération avec l'AEPD est étendu, mais non illimité. L'organisation doit fournir les informations demandées dans le cadre de l'action d'inspection, mais elle a le droit que ces informations ne soient utilisées qu'aux fins de la procédure et que ses droits procéduraux soient respectés. Si certaines des questions posées sont susceptibles de porter atteinte à des intérêts protégés par le secret professionnel ou d'autres règles sectorielles, il est conseillé de consulter un conseil juridique avant de répondre.

Que se passe-t-il si je corrige le manquement avant que l'AEPD ne rende sa décision ?

Adopter des mesures correctives au cours de la procédure — avant la décision définitive — est l'un des facteurs d'atténuation expressément reconnus à l'article 83, paragraphe 2, point f), du RGPD. L'AEPD peut en tenir compte pour réduire la gravité de la sanction ou, dans des affaires moins sérieuses, pour conclure sans sanction pécuniaire. Toutefois, la correction a posteriori n'élimine pas automatiquement l'infraction : sa valeur dépend du type de manquement, du moment où les mesures sont adoptées et des antécédents de l'organisation.

Puis-je contester la décision de sanction de l'AEPD ?

Oui. Les décisions de l'AEPD peuvent être directement contestées devant la chambre du contentieux administratif de l'Audiencia Nacional (tribunal national), dans un délai de deux mois à compter de leur notification, conformément à la loi 29/1998 du 13 juillet régissant la juridiction du contentieux administratif. Il n'est pas nécessaire de former au préalable un recours gracieux devant l'AEPD elle-même, bien que cela soit possible dans un délai d'un mois si l'organisation le juge opportun. Durant la procédure de recours, l'organisation peut demander la suspension de l'exécution de la décision si le recours paraît fondé en droit.