Lorsqu'une entreprise reçoit une notification d'ouverture de procédure de la part de l'Agencia Española de Protección de Datos (AEPD) — l'autorité espagnole de protection des données —, la première question qui se pose est de savoir combien peut coûter l'infraction. La réponse n'est pas simple : le Règlement (UE) 2016/679 (RGPD) et la Loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD) mettent en place un système échelonné dans lequel le montant de la sanction n'est jamais automatique, mais résulte de la pondération de multiples critères. Comprendre ce système est la première étape pour le gérer avec diligence.
Cet article explique le régime légal des sanctions de l'AEPD, les deux niveaux d'amende de l'article 83 du RGPD, la typologie de la LOPDGDD et les facteurs pouvant aggraver ou atténuer le montant final. Les montants de résolutions spécifiques ne sont pas cités, car chaque dossier est unique ; ce qui est décrit ici, c'est le cadre normatif applicable à titre général.
L'article 83 du RGPD : deux tranches, deux plafonds
L'article 83 du RGPD est la pierre angulaire du régime européen de sanctions en matière de protection des données. Il établit que les sanctions doivent être effectives, proportionnées et dissuasives (art. 83.1) et fixe deux tranches d'amende en fonction de la gravité de l'infraction.
La première tranche (article 83.4 du RGPD) couvre les infractions aux obligations applicables aux responsables du traitement et aux sous-traitants en matière de mesures techniques et organisationnelles, de conditions relatives aux sous-traitants, de registres des activités de traitement, de coopération avec l'autorité de contrôle, de sécurité du traitement, de notification des violations de données, d'analyse d'impact et de désignation du délégué à la protection des données. L'amende maximale dans cette tranche est de 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
La deuxième tranche (article 83.5 du RGPD) réserve les sanctions les plus élevées aux infractions les plus graves : violation des principes de base du traitement (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation et intégrité et confidentialité), violation des conditions applicables au consentement, violation des droits des personnes concernées, non-respect des règles relatives aux transferts internationaux de données et non-respect des ordres de l'autorité de contrôle. Le plafond s'élève dans ce cas à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. L'article 83.6 applique également cette deuxième tranche au non-respect d'un ordre de l'autorité de contrôle émis conformément à l'article 58.2.
| Tranche | Infractions typiques | Amende maximale |
|---|---|---|
| Article 83.4 RGPD | Mesures de sécurité, registres des activités de traitement, notification des violations, DPD, analyses d'impact, obligations des sous-traitants | 10 000 000 EUR ou 2 % du chiffre d'affaires mondial (le montant le plus élevé) |
| Article 83.5 RGPD | Principes de base, consentement, droits des personnes concernées, transferts internationaux, non-respect des ordres de l'autorité de contrôle | 20 000 000 EUR ou 4 % du chiffre d'affaires mondial (le montant le plus élevé) |
Il importe de souligner que ces montants sont des plafonds maximaux, non des sanctions automatiques. Le montant concret à l'intérieur de chaque tranche dépend des critères de graduation analysés ci-après.
La LOPDGDD : une typologie tripartite des infractions
La LOPDGDD complète le cadre du RGPD avec une typologie propre d'infractions organisée en trois niveaux, selon la tradition du droit administratif répressif espagnol. Cette classification ne remplace pas l'article 83 du RGPD ; elle le complète pour les infractions dont la base juridique se trouve spécifiquement dans la loi organique.
L'article 72 de la LOPDGDD énumère les infractions très graves, parmi lesquelles, à titre d'exemple non exhaustif : le traitement de données portant atteinte aux principes de l'article 5 du RGPD, le traitement sans base juridique valide lorsque les données appartiennent à des catégories particulières (art. 9 RGPD), la violation du devoir de confidentialité, le non-respect des obligations imposées aux sous-traitants au détriment des droits des personnes concernées, ou le transfert international de données vers des pays ne disposant pas d'un niveau de protection adéquat sans les garanties exigibles. Le délai de prescription de ces infractions est de trois ans.
L'article 73 de la LOPDGDD recense les infractions graves, qui comprennent le fait de ne pas satisfaire ou de satisfaire de manière déficiente les droits d'accès, de rectification, d'effacement, de portabilité et d'opposition des personnes concernées ; le défaut de désignation d'un représentant lorsque cela est obligatoire ; l'absence de registre des activités de traitement ; ou le non-respect de l'obligation de notification des violations de données à l'AEPD. Ces infractions se prescrivent par deux ans.
L'article 74 de la LOPDGDD définit les infractions mineures, qui comprennent les manquements formels ou de moindre importance : ne pas satisfaire dans les délais les demandes de droits des personnes concernées dans les cas non qualifiés de graves, ne pas publier les coordonnées du délégué à la protection des données, ou ne pas notifier à l'AEPD la désignation ou la révocation du DPD. Ces infractions se prescrivent par un an.
L'article 76 de la LOPDGDD (Sanctions et mesures correctives) ne fixe pas de montants propres en euros et ne se limite pas aux sujets hors article 83 du RGPD ; il applique les montants de l'article 83.4, 83.5 et 83.6 et ajoute des critères de graduation supplémentaires à ceux de l'article 83.2 — tels que le caractère continu de l'infraction, le lien entre l'activité de l'organisation et le traitement des données ou les bénéfices obtenus (art. 76.2) —. Le régime spécial pour les autorités publiques — avertissement sans amende pécuniaire — relève de l'article 77, traité dans la section suivante.
Les onze critères de graduation de l'article 83.2 du RGPD
À l'intérieur de chaque tranche, l'AEPD ne fixe pas la sanction de manière discrétionnaire : elle est liée par les critères de graduation de l'article 83.2 du RGPD. Ces onze critères déterminent en pratique si l'amende se rapproche du minimum ou du maximum de la tranche.
- Nature, gravité et durée de l'infraction, en tenant compte de la nature, de la portée ou de la finalité du traitement, du nombre de personnes concernées et du niveau des dommages subis.
- Caractère intentionnel ou négligent de l'infraction.
- Mesures prises pour atténuer les dommages subis par les personnes concernées.
- Degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles mises en œuvre.
- Infractions antérieures pertinentes commises par le responsable du traitement ou le sous-traitant.
- Degré de coopération avec l'autorité de contrôle afin de remédier à l'infraction et d'en atténuer les effets négatifs.
- Catégories de données à caractère personnel affectées par l'infraction (les catégories particulières relevant de l'art. 9 et les données relatives aux condamnations pénales relevant de l'art. 10 alourdissent l'évaluation).
- Manière dont l'autorité de contrôle a eu connaissance de l'infraction, notamment si le responsable l'a notifiée et dans quelle mesure.
- Respect antérieur des mesures visées à l'article 58.2 du RGPD, lorsque de telles mesures avaient été imposées précédemment au responsable du traitement ou au sous-traitant concerné.
- Adhésion à des codes de conduite approuvés en vertu de l'article 40 du RGPD ou à des mécanismes de certification approuvés conformément à l'article 42.
- Tout autre facteur aggravant ou atténuant applicable aux circonstances de l'espèce, tels que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, grâce à l'infraction.
La pondération de ces critères transforme chaque procédure de sanction en une analyse individualisée. Deux organisations commettant la même infraction peuvent recevoir des sanctions très différentes selon leur taille, leur historique de conformité, leur attitude au cours de la procédure et les mesures qu'elles ont prises pour minimiser l'impact sur les personnes concernées.
Si votre organisation évalue son niveau d'exposition ou souhaite le réduire de manière proactive, chez Summum Consultoría nous accompagnons la mise en conformité au RGPD avec une approche pratique et adaptée à chaque secteur, avec des bureaux en Castille-et-León et aux îles Canaries.
Facteurs atténuants : comment les amendes peuvent être réduites
Bien que l'article 83.2 du RGPD liste conjointement les facteurs aggravants et atténuants, certains d'entre eux opèrent systématiquement en faveur du contrevenant lorsque celui-ci agit avec diligence.
Les facteurs atténuants les plus pertinents sont :
- Absence d'intentionnalité : la simple négligence pèse moins que le dol. Démontrer que le manquement était non intentionnel, qu'il a été détecté en interne et qu'il a été corrigé immédiatement peut réduire sensiblement l'évaluation de gravité.
- Adoption de mesures correctives avant la résolution : la mise en place de contrôles supplémentaires, la révision des procédures ou la notification volontaire des personnes concernées sont des démarches que l'AEPD apprécie positivement.
- Coopération active avec l'AEPD : faciliter l'accès aux documents requis, répondre avec ponctualité aux demandes et adopter les mesures provisoires suggérées par l'autorité durant l'instruction du dossier sont des signaux de bonne foi qui influent sur la graduation.
- Absence d'antécédents : une organisation qui n'a pas d'infractions préalables en matière de protection des données part d'une position plus favorable que celle qui a déjà été sanctionnée.
- Adhésion à des codes de conduite ou certifications : la participation à des schémas de certification reconnus ou l'adhésion à des codes de conduite approuvés par l'AEPD ou le Comité européen de la protection des données (CEPD) peut atténuer la responsabilité, sans l'exclure toutefois.
- Préjudice limité ou inexistant pour les personnes concernées : lorsque la violation ou le manquement n'a pas causé de dommages matériels identifiables à des personnes physiques, ce critère peut contribuer à modérer la sanction.
À l'opposé, constituent des facteurs aggravants l'existence d'un avantage économique tiré de l'infraction, l'atteinte à des données sensibles (santé, opinions politiques, origine raciale, données biométriques), le nombre élevé de personnes concernées, la récidive ou le non-respect d'ordres antérieurs de l'autorité.
Sanctions pour les administrations publiques
Le régime de sanctions varie lorsque le responsable du traitement est une administration publique. L'article 77 de la LOPDGDD prévoit que, dans ces cas, l'AEPD n'impose pas d'amendes financières, mais émet une résolution d'avertissement (apercibimiento), publiée au Journal officiel de l'État (BOE) et pouvant inclure l'ordre d'adopter des mesures spécifiques. La responsabilité disciplinaire du personnel fautif peut en outre être engagée par les voies prévues dans la réglementation de la fonction publique.
Cette distinction ne signifie pas que les entités publiques échappent à toute responsabilité réelle : l'avertissement public et l'obligation de corriger le manquement sous la supervision de l'AEPD constituent des conséquences significatives, notamment pour les organisations traitant de grands volumes de données de citoyens.
La procédure de sanction : des diligences préalables à la résolution
Comprendre la procédure de sanction permet d'identifier les moments clés où l'attitude du mis en cause peut influencer le résultat. L'AEPD peut ouvrir une procédure d'office (de sa propre initiative, à partir d'informations publiques ou de tiers) ou à la suite d'une plainte d'une personne concernée.
La procédure type comprend les phases suivantes :
- Diligences préalables ou actes d'enquête : l'AEPD recueille des informations pour déterminer s'il existe des indices d'infraction. À ce stade, elle peut demander des documents au mis en cause, qui est tenu de coopérer.
- Décision d'ouverture de la procédure de sanction : si les indices sont suffisants, l'intéressé est notifié de l'ouverture du dossier, avec une description des faits reprochés et la qualification juridique provisoire.
- Procédure d'audience et d'observations : le mis en cause peut présenter des observations, apporter des preuves et proposer des mesures correctives. C'est le moment le plus critique pour faire valoir les facteurs atténuants.
- Proposition de résolution : l'instructeur émet une proposition comprenant la qualification définitive et la sanction proposée.
- Résolution : l'AEPD rend une résolution avec la sanction définitive, qui peut être contestée devant l'Audiencia Nacional (Haute Cour nationale).
Les infractions se prescrivent selon leur gravité — trois ans pour les très graves, deux ans pour les graves et un an pour les mineures — en vertu des articles 72 à 74 de la LOPDGDD ; l'article 78 régit la prescription des sanctions en fonction de leur montant.
Disposer d'un conseil spécialisé dès les premières diligences fait la différence entre une réponse réactive et une stratégie de défense solide. Chez Summum Consultoría, nous accompagnons les organisations de Castille-et-León et des îles Canaries tant dans la prévention que dans la réponse aux procédures de l'AEPD.
Questions fréquentes
L'AEPD peut-elle imposer des mesures correctives en plus de l'amende ?
Oui. L'article 58.2 du RGPD confère à l'AEPD un large éventail de pouvoirs correctifs allant au-delà de l'amende : avertissements et rappels à l'ordre, ordres de satisfaire aux demandes des personnes concernées, limitation temporaire ou définitive du traitement (y compris son interdiction), ordre de rectification ou d'effacement des données, suspension des flux transfrontaliers de données et retrait de certifications. L'amende peut être la mesure principale ou être combinée avec l'une ou plusieurs de ces mesures. Dans certains cas, l'AEPD choisit d'imposer uniquement des mesures correctives sans amende pécuniaire, lorsque l'infraction est de faible gravité ou que le contrevenant a agi avec une diligence particulière.
Comment la taille de l'entreprise influence-t-elle la sanction ?
La taille de l'entreprise joue de deux façons. Premièrement, le plafond des amendes est calculé sur le chiffre d'affaires annuel mondial total, ce qui signifie qu'en termes absolus, une grande entreprise peut recevoir une amende bien supérieure à celle d'une PME pour la même infraction. Deuxièmement, les critères de graduation évaluent le degré de responsabilité en tenant compte des mesures techniques et organisationnelles mises en œuvre : une grande entreprise disposant de davantage de ressources est censée avoir mis en place des contrôles plus robustes, et son manquement peut être apprécié plus négativement que celui d'une microentreprise aux moyens limités. En tout état de cause, aucune entreprise n'est exemptée de se conformer au RGPD.
Que se passe-t-il si le même comportement enfreint plusieurs dispositions du RGPD ?
L'article 83.3 du RGPD prévoit que lorsqu'un responsable du traitement ou un sous-traitant enfreint plusieurs dispositions du règlement par le biais du même traitement ou de traitements liés entre eux, le montant total de l'amende ne peut excéder le montant applicable à l'infraction la plus grave. Cela évite l'accumulation illimitée de sanctions pour un même fait, sans empêcher que la concurrence de plusieurs infractions soit prise en compte comme facteur aggravant dans l'appréciation globale de la gravité.
Le fait d'avoir un DPD réduit-il les sanctions ?
Avoir un délégué à la protection des données (DPD) correctement désigné et doté de fonctions réelles n'élimine pas automatiquement la responsabilité sanctionnatrice, mais contribue positivement de plusieurs façons : il facilite la détection précoce des manquements, permet d'adopter des mesures correctives avant que l'AEPD n'intervienne et démontre à l'autorité que l'organisation a pris au sérieux ses obligations en matière de protection des données. Dans le cadre des critères de l'article 83.2 du RGPD, ces éléments peuvent opérer comme facteurs atténuants. Cela dit, un DPD qui n'existe que sur le papier, sans fonctions réelles, non seulement n'atténue pas la situation, mais pourrait l'aggraver si l'AEPD constate que la fonction est purement formelle.