On entend encore souvent dans les réunions de direction : « Nous sommes conformes à la LOPD ». Le problème est que la LOPD originale — la loi organique 15/1999 — a été abrogée en 2018. Et que la mise en conformité de 2016 ne couvre pas les obligations de 2026. Cet article explique, sans détours, ce qu'est chaque texte, pourquoi il est important de les distinguer et quelles obligations concrètes le cadre actuel impose aux entreprises opérant en Espagne.
Qu'est-ce que chaque texte ? Hiérarchie et état actuel
La LOPD de 1999 : de l'histoire, pas une obligation
La loi organique 15/1999 relative à la protection des données à caractère personnel (LOPD) a été le texte de référence espagnol pendant près de vingt ans. Elle transposait la directive européenne 95/46/CE et instaurait le régime d'inscription des fichiers auprès de l'Agence espagnole de protection des données (AEPD), des niveaux de sécurité (basique, moyen, élevé) et les mesures de sécurité associées. Elle a été abrogée le 7 décembre 2018, à l'entrée en vigueur de la LOPDGDD. Elle n'impose aujourd'hui aucune obligation. La citer comme texte en vigueur est une erreur.
Le RGPD : le règlement européen qui a tout changé
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) est d'application directe dans tous les États membres depuis le 25 mai 2018. Il n'a pas nécessité de transposition : il s'applique tel qu'il est rédigé. En tant que règlement européen — et non une directive — son texte prévaut sur toute règle nationale contraire. C'est le texte fondateur en matière de protection des données pour toute organisation traitant des données de résidents dans l'UE, quel que soit son lieu d'établissement.
La LOPDGDD : l'adaptation espagnole du RGPD
La loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) adapte et complète le RGPD dans les marges que le règlement laisse aux États membres. Elle est entrée en vigueur le 7 décembre 2018 et a expressément abrogé la LOPD de 1999. Elle ne remplace pas le RGPD : elle l'accompagne. Lorsque le RGPD et la LOPDGDD réglementent la même matière, le RGPD prévaut ; lorsque la LOPDGDD couvre des matières que le RGPD laisse au droit national — comme l'âge minimal pour le consentement, les données syndicales, la vidéosurveillance en milieu professionnel ou les droits numériques des travailleurs — c'est la LOPDGDD qui fixe la règle concrète.
Qui contrôle ? L'AEPD comme autorité de contrôle
L'Agence espagnole de protection des données (AEPD) est l'autorité de contrôle indépendante en Espagne pour le respect tant du RGPD que de la LOPDGDD, conformément à l'article 57 du RGPD et à l'article 44 de la LOPDGDD. Ses missions incluent l'instruction des réclamations, l'imposition de mesures correctives, l'émission d'avertissements, l'application de sanctions et la publication de lignes directrices. L'AEPD ne garantit pas la conformité de toute entreprise : elle oriente, mais elle sanctionne également lorsqu'elle détecte des manquements.
Pour les questions pratiques, l'AEPD publie des guides techniques sur les cookies, la vidéosurveillance, le délégué à la protection des données et d'autres sujets. Ces documents relèvent du droit non contraignant — ils n'ont pas force de loi —, mais ils représentent les critères que l'agence applique elle-même lors de l'évaluation de la conformité.
Obligations concrètes du cadre actuel RGPD + LOPDGDD
Registre des activités de traitement
L'article 30 du RGPD impose au responsable du traitement et au sous-traitant de tenir un registre de leurs activités de traitement. Ce registre doit contenir notamment : le nom et les coordonnées du responsable, les finalités du traitement, une description des catégories de personnes concernées et de données à caractère personnel, les destinataires, les transferts internationaux et, dans la mesure du possible, les délais prévus pour l'effacement des données. Il constitue la pièce maîtresse du principe de responsabilité (accountability) exigé par le RGPD.
Base juridique de chaque traitement
L'article 6 du RGPD exige que chaque traitement repose sur une base juridique licite : consentement, exécution d'un contrat, obligation légale, intérêts vitaux, mission d'intérêt public ou intérêt légitime. Traiter des données sans base juridique constitue une violation grave. La LOPDGDD précise certaines bases dans le contexte espagnol (article 19 LOPDGDD sur l'âge minimal pour le consentement : 14 ans en Espagne, dans la fourchette de 13 à 16 ans que permet le RGPD).
Information et transparence
Les articles 13 et 14 du RGPD définissent les informations à fournir aux personnes concernées lors de la collecte de leurs données (couches 1 et 2 de la politique de confidentialité). Ces informations doivent être concises, transparentes, compréhensibles et aisément accessibles, en termes clairs et simples. Une mention légale copiée sur un modèle générique de 2016 ne satisfait pas à ces exigences.
Droits des personnes concernées
Le RGPD reconnaît les droits d'accès (art. 15), de rectification (art. 16), d'effacement ou « droit à l'oubli » (art. 17), de limitation du traitement (art. 18), à la portabilité des données (art. 20) et d'opposition (art. 21). L'entreprise doit mettre en place un canal effectif pour recevoir ces demandes et y répondre dans un délai d'un mois (prorogeable de deux mois supplémentaires dans les cas complexes). La LOPDGDD ajoute des droits numériques dans les relations de travail (arts. 87-91), notamment le droit à la déconnexion numérique, le droit à l'intimité face à la vidéosurveillance et le droit à l'intimité lors de l'utilisation d'appareils numériques au travail.
Violations de données : notification dans les 72 heures
L'article 33 du RGPD impose au responsable du traitement de notifier à l'AEPD toute violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, dans un délai maximum de 72 heures après en avoir pris connaissance. Si la notification ne peut être complétée dans ce délai, elle peut être effectuée par phases, en expliquant les motifs du retard. De plus, l'article 34 du RGPD impose de communiquer la violation aux personnes concernées lorsqu'elle est susceptible d'engendrer un risque élevé pour leurs droits et libertés, sans délai injustifié et en termes clairs et simples.
Vidéosurveillance : articles 22 et 89 de la LOPDGDD
La vidéosurveillance fait l'objet d'une réglementation spécifique dans la LOPDGDD. L'article 22 de la LOPDGDD régit la captation d'images dans des lieux publics ou accessibles au public par des personnes physiques ou morales privées : il exige une base juridique adéquate, un panneau d'information normalisé (« zone sous vidéosurveillance » avec les coordonnées du responsable) visible avant d'entrer dans la zone filmée, et un délai maximal de conservation des images d'un mois (sauf obligation de conservation plus longue imposée par une autorité judiciaire ou administrative). L'article 89 de la LOPDGDD régit l'utilisation de caméras de surveillance et d'enregistrement dans le cadre de la relation de travail : l'employeur peut installer des systèmes de vidéosurveillance pour le contrôle de l'activité professionnelle, mais doit en informer préalablement les travailleurs et leurs représentants, de manière expresse, claire et concise.
Cookies et communications électroniques : art. 22.2 LSSI-CE et Guide cookies AEPD
Les cookies ne sont pas directement réglementés par le RGPD mais par l'article 22.2 de la loi 34/2002 sur les services de la société de l'information et le commerce électronique (LSSI-CE), qui exige le consentement préalable et éclairé de l'utilisateur pour l'installation de cookies non strictement nécessaires. Le Guide sur l'utilisation des cookies de l'AEPD (mis à jour en 2023) précise les exigences : une bannière de première couche visible à l'accès au site, sans case pré-cochée, et avec la possibilité de refuser aussi accessible et simple que celle d'accepter. Le scroll ou l'accès au site ne valent pas consentement.
Délégué à la Protection des Données (DPO) : articles 37-39 RGPD
Les articles 37 à 39 du RGPD réglementent la fonction de délégué à la protection des données. Sa désignation est obligatoire dans les cas prévus à l'article 37, paragraphe 1 : autorités et organismes publics, responsables dont l'activité principale consiste en des opérations de traitement nécessitant un suivi régulier et systématique à grande échelle des personnes concernées, et responsables traitant à grande échelle des catégories particulières de données (santé, opinions politiques, origine raciale, etc.) ou des données relatives à des condamnations pénales. La LOPDGDD étend ces cas à l'article 34, en incluant les établissements d'enseignement, les établissements de crédit, les assureurs, les pharmaciens et d'autres catégories. Le DPO peut être interne ou externe, doit posséder des connaissances spécialisées en droit et en pratique de la protection des données, agit en toute indépendance fonctionnelle et rend compte au plus haut niveau de la direction.
Cadre des sanctions : l'article 83 du RGPD
Le RGPD ne fixe pas de montants de sanction pour chaque infraction spécifique : il établit un cadre à deux niveaux à l'article 83. Les infractions les plus graves — telles que traiter des données sans base juridique, violer les principes fondamentaux du traitement ou transférer des données vers des pays tiers sans garanties suffisantes — peuvent être sanctionnées d'amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé étant retenu. Les infractions de niveau inférieur peuvent atteindre 10 000 000 EUR ou 2 % du chiffre d'affaires. La LOPDGDD classe les infractions en légères, graves et très graves (arts. 72-74) et établit les délais de prescription, mais les amendes maximales sont celles prévues par le RGPD.
Tableau comparatif : LOPD 1999, RGPD et LOPDGDD en un coup d'œil
| Aspect | LOPD (LO 15/1999) | RGPD (UE 2016/679) | LOPDGDD (LO 3/2018) |
|---|---|---|---|
| État actuel | Abrogée depuis déc. 2018 | En vigueur depuis mai 2018 | En vigueur depuis déc. 2018 |
| Origine | Loi espagnole (directive 95/46/CE) | Règlement européen (application directe) | Loi organique espagnole |
| Inscription des fichiers à l'AEPD | Obligatoire | Remplacée par le registre des activités (art. 30) | Confirme la suppression |
| Violations de données | Pas de règle spécifique | Notif. AEPD ≤ 72 h (art. 33) ; informer les personnes si risque élevé (art. 34) | Complète le RGPD |
| DPO obligatoire | N'existait pas | Arts. 37-39 (cas spécifiques) | Art. 34 étend les cas en Espagne |
| Vidéosurveillance en milieu professionnel | Pas de règle spécifique | Cadre général | Arts. 22 et 89 LOPDGDD |
| Cookies | Non réglementés | Non réglementés directement | Renvoie à l'art. 22.2 LSSI-CE et Guide AEPD |
| Amende maximale | 600 000 EUR (très grave) | 20 M EUR ou 4 % du CA (art. 83) | Renvoie au RGPD ; classe les infractions |
Ce que cela signifie pour votre entreprise
La conformité n'est pas une formalité ponctuelle. Le RGPD exige une approche proactive et continue de la responsabilité : documenter pourquoi vous traitez chaque donnée, sur quelle base juridique, pendant combien de temps et avec quelles mesures de sécurité. Les entreprises qui ont mis à jour leur documentation en 2018 devraient vérifier si leurs registres, contrats avec les sous-traitants et politiques de confidentialité sont toujours exacts en 2026, compte tenu des changements de prestataires, de processus ou de finalités survenus ces dernières années.
Chez Summum Consultoria, nous accompagnons les entreprises de Castilla y León et des Canaries dans leur mise en conformité au RGPD et à la LOPDGDD : du diagnostic initial à la mise en place du registre des activités de traitement, en passant par la révision des mentions légales, la gestion des droits des personnes concernées et la réponse aux violations de données. Si vous avez des interrogations sur les textes applicables à votre entreprise ou sur la validité de votre documentation actuelle, nous pouvons vous aider à les clarifier.
Questions fréquentes
Faut-il encore inscrire les fichiers auprès de l'AEPD ?
Non. L'obligation d'inscription des fichiers a été supprimée avec l'entrée en vigueur du RGPD en 2018. Ce qui est désormais obligatoire, c'est de tenir le registre interne des activités de traitement prévu à l'article 30 du RGPD. Il s'agit d'un document interne — et non d'une démarche auprès de l'AEPD — qui atteste quelles données l'organisation traite, à quelle fin et sur quelle base juridique.
Quand faut-il notifier une violation de données à l'AEPD ?
Lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, la notification doit être faite à l'AEPD dans un délai maximum de 72 heures après que le responsable en a eu connaissance (art. 33 RGPD). Si la notification ne peut être complétée dans ce délai, elle peut se faire par phases. De plus, si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, celles-ci doivent être informées directement (art. 34 RGPD) sans délai injustifié, en termes clairs et simples. La clé est de disposer d'un protocole interne de détection et de réponse avant qu'un incident ne survienne, et non d'improviser lorsqu'il s'est déjà produit.
Mon entreprise doit-elle désigner un délégué à la protection des données ?
Cela dépend du type de traitement que vous effectuez. La désignation d'un DPO est obligatoire, entre autres cas, lorsque l'activité principale consiste en un traitement à grande échelle de données de santé, de données biométriques, de données concernant des mineurs ou de données relatives à des infractions pénales, ou lorsqu'une surveillance régulière et systématique à grande échelle des personnes concernées est réalisée. La LOPDGDD étend ces cas en Espagne. Si aucun de ces scénarios ne s'applique, la désignation n'est pas obligatoire, bien qu'elle soit recommandée pour les organisations ayant des volumes de traitement significatifs. Vous pouvez consulter notre article sur les cas où le DPO externe est obligatoire.
Que se passe-t-il si mon site utilise Google Analytics sans bannière de cookies ?
Google Analytics installe des cookies d'analyse qui ne sont pas strictement nécessaires au service demandé. L'article 22.2 de la LSSI-CE exige le consentement préalable et éclairé de l'utilisateur avant leur installation. Faire fonctionner Google Analytics sans bannière de cookies valide — ou avec une bannière qui ne propose pas l'option de refus aussi aisément accessible que l'option d'acceptation — constitue une infraction à la LSSI-CE que l'AEPD peut sanctionner. Le Guide sur l'utilisation des cookies de l'AEPD (2023) est le document de référence pour évaluer si une bannière satisfait aux exigences.