Le Règlement (UE) 2016/679 — connu sous le nom de RGPD — est en vigueur depuis mai 2018, mais de nombreuses PME espagnoles continuent à ce jour d'opérer avec des politiques de confidentialité copiées sur internet, des formulaires sans base juridique clairement définie et des systèmes de vidéosurveillance sans panneau d'information obligatoire. La Loi Organique 3/2018 (LOPDGDD) adapte le règlement européen à l'ordre juridique espagnol et confie à l'Agence Espagnole de Protection des Données (AEPD) la mission de supervision et de sanction. Le cadre répressif de l'article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — des montants qui, pour une PME, peuvent menacer sa viabilité.
Ce guide ne remplace ni le conseil juridique spécialisé ni l'accompagnement d'une équipe de protection des données, mais il propose une feuille de route de la mise en conformité structurée en phases logiques et ordonnées, avec des références réglementaires vérifiables. L'objectif est que le responsable de l'entreprise sache ce qu'il doit faire, dans quel ordre et à quel moment il a besoin d'une aide extérieure.
Que signifie réellement se conformer au RGPD ?
Se conformer au RGPD ne se résume pas à publier une politique de confidentialité sur le site web. La mise en conformité implique un ensemble de mesures organisationnelles et techniques qui affectent les processus internes de l'entreprise : comment les données sont collectées, à quelle fin, pendant combien de temps elles sont conservées, qui peut y accéder et comment elles sont protégées. Le principe de responsabilité (accountability, art. 5.2 RGPD) exige que le responsable du traitement soit en mesure de démontrer à tout moment qu'il respecte le règlement — et non de se borner à l'affirmer.
Le point de départ est toujours un diagnostic : savoir quelles données l'entreprise traite, à quelle fin et sur quelle base juridique. Sans cette cartographie, toute mesure technique est lettre morte.
Phase 1 : inventaire des traitements et Registre des Activités de Traitement
L'article 30 du RGPD oblige les responsables du traitement à tenir un Registre des Activités de Traitement (RAT). Ce document n'est pas un formulaire unique : c'est un inventaire vivant qui recense, pour chaque traitement effectué par l'entreprise, au minimum :
- Le nom et les coordonnées du responsable (et du DPO, le cas échéant).
- Les finalités du traitement.
- Les catégories de personnes concernées et de données à caractère personnel.
- Les destinataires ou catégories de destinataires (y compris les sous-traitants : cabinet comptable, plateforme CRM, prestataire d'emailing...).
- Les délais prévus d'effacement des données.
- Une description générale des mesures de sécurité techniques et organisationnelles.
Pour élaborer le RAT, la première étape consiste à identifier tous les flux de données de l'entreprise : candidats envoyant leur CV, clients remplissant un formulaire de contact, salariés dont les bulletins de paie sont gérés par un prestataire externe, images captées par des caméras de sécurité, abonnés à une newsletter. Chacun de ces flux constitue un traitement qui doit être documenté.
Phase 2 : base juridique pour chaque traitement
Le RGPD n'autorise pas le traitement de données à caractère personnel sans base juridique valide (art. 6). Les six bases légales sont : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde d'intérêts vitaux, une mission d'intérêt public et l'intérêt légitime du responsable. Pour la majorité des PME, les traitements les plus courants reposent sur trois d'entre elles :
- Consentement : valide uniquement s'il est libre, spécifique, éclairé et univoque (art. 7 RGPD). Les cases pré-cochées ne constituent pas un consentement valide. C'est la base appropriée pour les abonnements à des newsletters, les communications commerciales ou les traitements allant au-delà de la relation contractuelle.
- Exécution d'un contrat : données nécessaires pour fournir le service ou gérer la relation commerciale (nom, adresse de facturation, coordonnées bancaires pour le paiement). Aucun consentement supplémentaire n'est requis.
- Obligation légale : données que l'entreprise est légalement tenue de traiter, comme celles nécessaires au respect des obligations sociales, fiscales ou de lutte contre le blanchiment de capitaux.
Attribuer la bonne base juridique à chaque traitement est fondamental, car c'est d'elle que dépendent les droits que les personnes concernées peuvent exercer et la façon dont l'entreprise doit répondre aux demandes d'accès, de rectification ou d'effacement.
Phase 3 : information et transparence envers les personnes concernées
Le devoir d'information (arts. 13 et 14 RGPD) exige que les personnes concernées reçoivent, au moment de la collecte de leurs données, des informations claires sur qui traite leurs données, à quelle fin, sur quelle base juridique, pendant combien de temps elles sont conservées et quels droits elles détiennent. Ces informations doivent être concises, transparentes et présentées dans un langage accessible : un bloc de texte juridique illisible n'est pas conforme.
En pratique, cela concerne les formulaires web, les clauses dans les contrats avec les clients, les mentions dans les formulaires de collecte de CV, les panneaux informatifs aux entrées sous vidéosurveillance et les clauses informatives dans les contrats de travail. Chaque point de collecte de données doit être accompagné de sa mention d'information correspondante.
Phase 4 : vidéosurveillance et caméras dans l'environnement de travail
L'installation de systèmes de vidéosurveillance est régie par l'article 22 de la LOPDGDD, qui impose l'obligation d'apposer un panneau d'information visible indiquant la présence de caméras, l'identité du responsable et la possibilité d'exercer des droits. La durée maximale de conservation des images est de trente jours, sauf si elles servent de preuve pour des faits devant être signalés à la police ou aux tribunaux.
Lorsque les caméras sont installées dans un environnement de travail, l'article 89 de la LOPDGDD (contrôle des travailleurs) entre également en jeu. Celui-ci autorise l'usage de caméras pour contrôler le respect des obligations professionnelles, mais exige d'en informer préalablement les travailleurs et leurs représentants légaux de manière expresse, claire et univoque. La vidéosurveillance dissimulée en milieu de travail — sauf dans des circonstances très exceptionnelles dûment justifiées — constitue une infraction grave.
Phase 5 : politique de cookies et conformité à la LSSI-CE
Les cookies non strictement nécessaires au fonctionnement du site requièrent le consentement préalable de l'utilisateur, conformément à l'article 22(2) de la Loi 34/2002 sur les Services de la Société de l'Information (LSSI-CE) et au Guide de l'AEPD sur l'utilisation des cookies (mis à jour en 2023). Les exigences sont contraignantes :
- La bannière de cookies doit permettre de refuser les cookies non nécessaires aussi facilement qu'on peut les accepter. Un bouton «Tout accepter» mis en valeur face à un lien «Paramétrer» peu visible n'est pas conforme.
- Les cases de consentement ne peuvent pas être pré-cochées.
- L'utilisateur doit pouvoir retirer son consentement à tout moment aussi facilement qu'il l'a donné.
- La politique de cookies doit détailler quels cookies sont installés, leur finalité, leur durée et qui les gère (y compris les tiers comme Google Analytics ou Meta Pixel).
L'AEPD a déjà sanctionné plusieurs entreprises pour des bannières de cookies ne répondant pas à ces exigences. La révision du système de gestion des cookies du site web est l'une des actions offrant la plus grande visibilité externe pour un coût de correction parmi les plus faibles.
Phase 6 : contrats avec les sous-traitants
Toute entreprise faisant appel à des prestataires tiers impliquant l'accès à des données à caractère personnel — un cabinet comptable gérant les paies, une plateforme d'emailing, un fournisseur de CRM en mode SaaS, un prestataire externe de vidéosurveillance — doit conclure avec ces prestataires un contrat de sous-traitance des données (art. 28 RGPD). Ce contrat doit notamment stipuler que le sous-traitant ne traitera les données que sur instruction du responsable, appliquera des mesures de sécurité appropriées et supprimera ou restituera les données à l'issue de la prestation.
L'absence de ce contrat est l'une des défaillances les plus fréquemment détectées lors des inspections de l'AEPD et peut entraîner une responsabilité partagée entre le responsable et le sous-traitant.
Phase 7 : gestion des violations de données
Le RGPD oblige les responsables du traitement à notifier à l'AEPD toute violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées dans un délai maximal de 72 heures à compter du moment où ils en ont pris connaissance (art. 33 RGPD). Si la notification ne peut être complète dans ce délai, elle peut être transmise par étapes, en indiquant les motifs du retard.
De plus, lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable doit également en informer les personnes affectées dans les meilleurs délais (art. 34 RGPD), sauf si des mesures techniques telles que le chiffrement ont été appliquées rendant les données inintelligibles pour toute personne non autorisée à y accéder.
Pour gérer correctement une violation, l'entreprise doit disposer au préalable d'un protocole interne établissant qui notifie, comment l'incident est documenté et quels sont les canaux de communication. La notification à l'AEPD s'effectue via le portail électronique de l'AEPD.
Phase 8 : quand la désignation d'un Délégué à la Protection des Données est-elle obligatoire ?
Le Délégué à la Protection des Données (DPO) est obligatoire dans les cas prévus par l'article 37 du RGPD : lorsque le traitement est effectué par une autorité ou un organisme public, lorsque les activités de base nécessitent un suivi régulier et systématique des personnes concernées à grande échelle, ou lorsque des catégories particulières de données sont traitées à grande échelle (santé, origine ethnique, orientation sexuelle, données biométriques, entre autres). La LOPDGDD ajoute des cas supplémentaires à son article 34 pour le contexte espagnol.
Même lorsqu'il n'est pas obligatoire, de nombreuses entreprises choisissent de désigner un DPO externe comme figure de conseil permanent. Les fonctions du DPO (arts. 38–39 RGPD) comprennent l'information et le conseil au responsable, la surveillance du respect des dispositions, la coopération avec l'AEPD et la fonction de point de contact pour les personnes concernées. Le DPO doit exercer ses missions en toute indépendance et ne peut recevoir d'instructions dans le cadre de celles-ci.
Phase 9 : mesures de sécurité techniques et organisationnelles
Le principe de sécurité (art. 32 RGPD) exige la mise en œuvre de mesures techniques et organisationnelles appropriées au niveau de risque du traitement. Il n'existe pas de liste fermée de mesures obligatoires : la norme requiert une analyse préalable des risques et l'application de mesures adéquates pour les atténuer. Parmi les plus courantes pour les PME :
- Contrôle des accès fondé sur les rôles : chaque utilisateur n'accède qu'aux données nécessaires à ses fonctions.
- Chiffrement des données sensibles au repos et en transit.
- Politique de mots de passe robuste et authentification à deux facteurs pour les accès critiques.
- Sauvegardes périodiques et vérifiées.
- Formation de base du personnel en matière de protection des données et de sensibilisation au hameçonnage.
- Procédure documentée pour la gestion des incidents de sécurité.
Quand une Analyse d'Impact relative à la Protection des Données (AIPD) est-elle requise ?
Lorsque le traitement envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le RGPD impose la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD) avant le début du traitement (art. 35 RGPD). L'AEPD a publié des listes des types de traitement qui nécessitent une AIPD et de ceux qui n'en nécessitent pas. Si vous n'êtes pas sûr que votre entreprise en a besoin, consultez notre article dédié sur quand une AIPD est obligatoire.
Questions fréquentes
Le RGPD et la LOPDGDD sont-ils la même chose ?
Non. Le Règlement (UE) 2016/679 (RGPD) est une norme européenne d'application directe dans tous les États membres. La Loi Organique 3/2018 (LOPDGDD) est la loi espagnole qui adapte et complète le RGPD au contexte national, en ajoutant des spécificités telles que les cas de désignation obligatoire du DPO en Espagne ou le régime de vidéosurveillance en milieu de travail. Les deux instruments coexistent et s'appliquent simultanément.
Que se passe-t-il si je subis une violation de données et ne la notifie pas à l'AEPD ?
Ne pas notifier une violation qui devait l'être constitue une infraction à l'article 33 du RGPD. Le cadre répressif de l'article 83 prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour ce type de manquement (palier inférieur), et jusqu'à 20 millions ou 4 % pour les infractions les plus graves. Outre la sanction pécuniaire, l'absence de notification peut aggraver la responsabilité envers les personnes concernées.
Une politique de confidentialité sur le site web suffit-elle à respecter le RGPD ?
Non. La politique de confidentialité est un élément de transparence, mais la conformité au RGPD est bien plus large : elle requiert un Registre des Activités de Traitement, des bases juridiques documentées, des contrats avec les sous-traitants, des mesures de sécurité techniques et organisationnelles, des protocoles de gestion des violations et, le cas échéant, un DPO et une AIPD. La politique de confidentialité n'est que la couche visible d'un système de conformité qui doit être construit de l'intérieur.
Combien de temps faut-il pour mettre une PME en conformité avec le RGPD ?
Cela dépend de la complexité des traitements et du point de départ de l'entreprise. Pour une PME de moins de 20 salariés avec des traitements habituels (clients, fournisseurs, salariés, site web), un processus de mise en conformité accompagné peut être mené à bien en quatre à douze semaines. Le coût et le délai varient en fonction du volume de données, de la diversité des traitements et de l'état préalable de la documentation. Pour une estimation indicative sans engagement, vous pouvez consulter notre équipe de protection des données.
En quoi ce processus diffère-t-il de celui réalisé en 2018 ?
La mise en conformité initiale de 2018 a été, dans de nombreux cas, un exercice documentaire mené à la hâte. Depuis lors, l'AEPD a publié de nouveaux guides (cookies, intelligence artificielle, vidéosurveillance en milieu de travail), la Cour de justice de l'UE a rendu des arrêts affectant les transferts internationaux de données, et les entreprises elles-mêmes ont adopté de nouveaux outils numériques qui génèrent de nouveaux traitements. La conformité au RGPD n'est pas un projet que l'on réalise une fois pour toutes : c'est un système de gestion vivant qui doit être révisé périodiquement.