Depuis mai 2018, le Règlement général sur la protection des données — Règlement (UE) 2016/679, connu sous l'acronyme RGPD — est la norme de référence en matière de vie privée pour toutes les organisations qui traitent des données personnelles de citoyens de l'Union européenne. En Espagne, il est complété par la Loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD), qui adapte le Règlement à l'ordre juridique national et ajoute des dispositions spécifiques sur les médias numériques, la vidéosurveillance, le droit du travail et les mineurs. L'autorité de contrôle en Espagne est l'Agencia Española de Protección de Datos (AEPD).
Ce qui surprend beaucoup de PME lorsqu'elles prennent conscience de la portée réelle de ces règles, c'est précisément leur étendue : le RGPD ne concerne pas uniquement les grandes entreprises technologiques. Si votre entreprise gère des listes de clients, envoie des newsletters par courrier électronique, filme l'intérieur d'un local avec des caméras ou enregistre les présences des employés, vous traitez déjà des données personnelles et le Règlement vous est applicable.
À qui s'applique exactement le RGPD ?
Le RGPD s'applique à toute organisation — entreprise, travailleur indépendant, association, autorité publique — qui remplit l'une de ces deux conditions :
- Elle est établie dans l'Union européenne et traite des données personnelles dans le cadre de cette activité, indépendamment du lieu où s'effectue le traitement.
- Elle n'est pas établie dans l'UE mais offre des biens ou services à des personnes situées dans l'UE, ou surveille le comportement de personnes se trouvant dans l'UE (art. 3 RGPD).
En pratique, une quincaillerie de Burgos dotée d'un CRM clients, une clinique dentaire de Las Palmas avec des dossiers de patients ou un commerce en ligne de Salamanque avec une liste d'abonnés : tous relèvent du RGPD. La taille de l'entreprise allège certaines exigences formelles (les micro-entreprises de moins de 250 employés sont exemptées de tenir le registre des activités de traitement dans certains cas), mais elle ne supprime pas l'obligation de traiter les données de manière licite, transparente et sécurisée.
Qu'est-ce qu'une donnée personnelle au sens du RGPD ?
Le Règlement définit la «donnée à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD). Sont notamment des données personnelles :
- Nom, prénoms, numéro d'identité nationale (DNI/NIF) d'une personne physique.
- Adresse e-mail, numéro de téléphone, adresse postale.
- Adresse IP, identifiants d'appareils, cookies de suivi.
- Images captées par vidéosurveillance permettant d'identifier une personne.
- Données de localisation GPS.
- Dossiers médicaux ou données de santé (catégorie particulière, art. 9 RGPD).
- Données relatives à l'appartenance syndicale, aux opinions politiques, à la religion ou à la vie sexuelle (catégories particulières).
Les données relatives aux personnes morales (entreprises, sociétés) se situent en dehors du champ d'application du RGPD, bien que les coordonnées d'un travailleur indépendant ou d'un employé d'une entreprise constituent des données personnelles.
Quels principes le RGPD exige-t-il lors du traitement des données ?
L'article 5 du RGPD établit les principes qui régissent tout traitement licite. Obtenir le consentement seul ne suffit pas : tous les principes doivent être respectés simultanément :
| Principe | Ce que cela signifie en pratique |
|---|---|
| Licéité, loyauté et transparence | Il existe une base juridique valide et la personne concernée sait ce qui est fait de ses données. |
| Limitation des finalités | Les données ne sont utilisées qu'aux fins déclarées ; elles ne sont pas réutilisées sans nouvelle base juridique. |
| Minimisation des données | Seules les données strictement nécessaires à la finalité sont collectées. |
| Exactitude | Les données doivent être tenues à jour ; les données inexactes doivent être rectifiées ou effacées. |
| Limitation de la conservation | Les données ne sont pas conservées plus longtemps que nécessaire, sauf obligation légale. |
| Intégrité et confidentialité | Des mesures techniques et organisationnelles appropriées protègent les données. |
| Responsabilité (accountability) | Le responsable du traitement peut démontrer qu'il respecte tous les principes précédents. |
Bases juridiques : sur quel fondement puis-je traiter des données ?
Traiter des données sans base juridique valide constitue une infraction grave. L'article 6 du RGPD prévoit six bases possibles. Les plus courantes dans le contexte des entreprises sont :
- Consentement (art. 6.1.a) : libre, spécifique, éclairé et univoque. Les cases précochées ne constituent pas un consentement valide. Le consentement peut être retiré à tout moment.
- Exécution d'un contrat (art. 6.1.b) : le traitement est nécessaire à l'exécution du contrat conclu avec la personne concernée (p. ex., livrer une commande à l'adresse de livraison du client).
- Obligation légale (art. 6.1.c) : la loi oblige le responsable à traiter ces données (p. ex., conserver les factures pendant le délai fiscal, enregistrer le temps de travail).
- Intérêts légitimes (art. 6.1.f) : requiert un test de mise en balance documenté établissant que l'intérêt du responsable ne l'emporte pas sur les droits de la personne concernée. Ce n'est pas une clause d'échappatoire générique.
Droits des personnes que toute entreprise doit garantir
- Accès (art. 15) : la personne concernée peut demander quelles données sont détenues sur elle et à quelle fin.
- Rectification (art. 16) : correction des données inexactes ou incomplètes.
- Effacement ou «droit à l'oubli» (art. 17) : suppression des données lorsqu'elles ne sont plus nécessaires ou que le consentement est retiré.
- Opposition (art. 21) : la personne concernée peut s'opposer au traitement, notamment lorsqu'il repose sur des intérêts légitimes ou est effectué à des fins de prospection commerciale directe.
- Portabilité (art. 20) : recevoir les données dans un format structuré et lisible par machine pour les transférer à un autre responsable.
- Limitation du traitement (art. 18) : restreindre l'utilisation des données dans certaines circonstances.
Les entreprises doivent répondre à ces demandes dans un délai d'un mois, prorogeable à trois mois dans les cas complexes. Ne pas répondre ou refuser sans justification constitue une infraction sanctionnable.
Violations de données : que faire et dans quel délai ?
- Notification à l'AEPD (art. 33 RGPD) : lorsqu'une violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, elle doit être notifiée à l'autorité de contrôle dans un délai de 72 heures à compter du moment où le responsable en a pris connaissance.
- Communication aux personnes concernées (art. 34 RGPD) : lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable doit leur communiquer la violation sans délai indu, en termes clairs et simples, en indiquant la nature de la violation et les mesures prises.
Vidéosurveillance et caméras en milieu de travail
La vidéosurveillance est l'un des domaines qui génère le plus de questions pour le service de mise en conformité RGPD. La réglementation applicable combine le RGPD et la LOPDGDD :
- Art. 22 LOPDGDD (vidéosurveillance générale) : les personnes physiques ou morales peuvent traiter des images captées par des caméras de vidéosurveillance pour préserver la sécurité des personnes et des installations. L'affichage d'un panneau informatif en lieu visible est obligatoire, mentionnant la zone sous surveillance, le responsable du traitement et les modalités d'exercice des droits. Les images doivent être supprimées dans un délai maximal de 30 jours, sauf nécessité de les conserver pour établir la commission d'actes illicites ou les remettre aux forces de l'ordre.
- Art. 89 LOPDGDD (caméras en milieu de travail) : l'employeur peut traiter les images obtenues par vidéosurveillance pour contrôler les travailleurs dans l'exercice de leurs fonctions, à condition que les travailleurs ou leurs représentants aient été informés au préalable, de manière expresse, claire et concise. Il est interdit d'installer des caméras dans les zones de repos, vestiaires ou sanitaires.
Cookies et la LSSI-CE
L'utilisation des cookies est principalement régie par l'art. 22.2 de la Loi 34/2002 sur les services de la société de l'information et le commerce électronique (LSSI-CE), qui exige le consentement éclairé de l'utilisateur pour installer des cookies non techniques. L'AEPD a publié le Guide sur l'utilisation des cookies (mis à jour en 2023) qui établit notamment :
- La bannière de cookies doit permettre de refuser aussi facilement qu'accepter ; les boutons «Accepter» et «Refuser» doivent être d'égale visibilité.
- Les cases précochées et les options poussant l'utilisateur vers l'acceptation (dark patterns) ne sont pas admises.
- Les cookies non essentiels ne peuvent pas être installés avant que l'utilisateur ait donné son consentement.
Le Délégué à la Protection des Données (DPO) : quand la désignation est-elle obligatoire ?
Les articles 37 à 39 du RGPD régissent la figure du Délégué à la Protection des Données (DPO). Sa désignation est obligatoire dans trois cas précis (art. 37.1 RGPD) :
- Autorités et organismes publics.
- Organisations dont l'activité principale consiste en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, nécessitent un suivi régulier et systématique à grande échelle des personnes concernées.
- Organisations dont l'activité principale consiste en un traitement à grande échelle de catégories particulières de données (données de santé, données biométriques, données relatives à des condamnations pénales, etc.).
En dehors de ces cas, la désignation est volontaire mais recommandée. Pour les PME, la formule du DPO externe est la plus efficiente en termes de coût, permettant d'accéder à un expert qualifié sans nécessiter un recrutement à temps plein.
À quelle hauteur l'AEPD peut-elle sanctionner ?
Le RGPD établit un régime de sanctions à deux niveaux (art. 83) :
- Infractions graves : amendes pouvant atteindre 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent (le montant le plus élevé étant retenu).
- Infractions très graves : amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).
Aucun service de conseil ne peut garantir l'absence de sanctions — cela dépend uniquement de la conformité réelle et des circonstances propres à chaque dossier — mais un accompagnement expert dès le départ réduit sensiblement la probabilité d'ouverture d'une procédure et la gravité de ses conséquences.
Par où commencer ? Les étapes fondamentales de mise en conformité
- Inventaire des traitements : identifier quelles données sont traitées, à quelle fin, sur quelle base juridique, pendant combien de temps et qui y a accès. Le résultat est le Registre des activités de traitement (art. 30 RGPD).
- Analyse des risques : évaluer si les traitements font courir des risques aux personnes concernées et, le cas échéant, réaliser une Analyse d'impact relative à la protection des données (AIPD), obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé (art. 35 RGPD).
- Documentation : politique de confidentialité, clauses d'information, contrats avec les sous-traitants (prestataires qui accèdent aux données), procédures de traitement des droits et de gestion des violations.
- Mesures techniques et organisationnelles : contrôle d'accès, chiffrement, politique de mots de passe, sauvegardes, formation du personnel.
- Désignation du DPO le cas échéant, ou attribution de responsabilités internes de supervision.
- Révision périodique : la conformité n'est pas un jalon ponctuel ; elle nécessite une révision lors de changements d'activité, d'adoption de nouveaux outils numériques ou de modifications réglementaires.
Pour démarrer ce processus avec l'appui d'une équipe spécialisée, consultez notre service de mise en conformité RGPD pour les entreprises en Castille-et-León et aux îles Canaries. Vous pouvez également approfondir des aspects spécifiques dans nos articles consacrés à l'Analyse d'impact relative à la protection des données (AIPD) et au service de DPO externe.