Lorsqu'on évoque les sanctions en matière de protection des données, la conversation tourne généralement autour des violations de sécurité ou du traitement de données sans consentement. Il existe une infraction moins visible mais tout aussi réelle : ne pas désigner de Délégué à la Protection des Données (DPD) lorsque la réglementation l'exige, ne pas notifier cette désignation à l'Agence espagnole de protection des données (AEPD), ou ne pas publier ses coordonnées. Il ne s'agit pas d'une exigence accessoire de l'article 37 du RGPD : c'est une obligation dotée de son propre régime de sanctions, que l'AEPD intègre régulièrement dans ses critères d'inspection. Ce guide détaille le cadre juridique exact de cette infraction, la manière dont le droit espagnol la gradue, et les moyens d'éviter d'y être exposé.
Quelle infraction est réellement commise en l'absence de DPD ?
Il convient de distinguer trois manquements souvent regroupés sous un même titre de « sanction pour absence de DPD », car la loi les traite comme des obligations distinctes au sein du même article 37 du RGPD :
- Ne pas désigner de DPD alors que l'organisation y est tenue en vertu de l'article 37.1 du RGPD ou de l'article 34 de la LOPDGDD, qui élargit en Espagne les cas de désignation obligatoire au-delà des trois hypothèses générales du RGPD (autorités publiques, activités de surveillance régulière et systématique à grande échelle, ou traitement à grande échelle de catégories particulières de données).
- Ne pas notifier la désignation à l'AEPD, comme l'exige l'article 37.7 du RGPD, même lorsque le DPD a été correctement désigné. En Espagne, cette démarche s'effectue sur le portail électronique de l'AEPD et obéit à un délai de dix jours fixé par l'article 34.3 de la LOPDGDD.
- Ne pas publier les coordonnées du DPD dans un endroit accessible aux personnes concernées — politique de confidentialité, formulaires de collecte de données, contrats —, ce qui constitue le second volet de cette même obligation de l'article 37.7.
Ces trois manquements sont des infractions autonomes : il est possible de désigner correctement le DPD tout en étant sanctionné pour défaut de notification ou de publication, et inversement. L'AEPD les évalue de façon indépendante lorsqu'elle ouvre une procédure.
Le cadre juridique : article 83.4.a) du RGPD
Le régime de sanctions du RGPD distingue deux niveaux de montant selon la gravité de l'obligation méconnue. Les infractions relatives aux obligations du responsable et du sous-traitant prévues aux articles 8, 11, 25 à 39, 42 et 43 — parmi lesquelles figure l'article 37 relatif à la désignation, au statut et à la notification du DPD — sont sanctionnées en vertu de l'article 83.4.a) du RGPD, par des amendes administratives pouvant atteindre 10 000 000 d'euros ou, pour une entreprise, un montant équivalent à 2 % de son chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Il s'agit du même palier que celui appliqué à d'autres manquements de gestion du RGPD — comme l'absence de registre des activités de traitement ou le défaut de notification d'une violation de sécurité dans les délais — et il se situe un cran en dessous du régime aggravé de l'article 83.5, réservé aux infractions les plus graves relatives aux principes du traitement et aux droits des personnes concernées. L'absence de DPD n'est donc pas l'infraction la plus sévère du catalogue du RGPD, mais elle n'est pas mineure pour autant : son plafond de sanction est identique à celui d'une violation de sécurité mal gérée.
Comment l'Espagne gradue cette infraction : les articles 73 et 74 de la LOPDGDD
Le RGPD fixe les plafonds maximaux, mais c'est la Loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD) qui, dans son Titre IX, traduit ce cadre en un système de gradation interne à trois niveaux — très graves (article 72), graves (article 73) et légères (article 74) — dont dépendent à la fois le critère de proportionnalité appliqué par l'AEPD et le délai de prescription de l'infraction.
Dans ce schéma, la LOPDGDD elle-même qualifie expressément les deux comportements :
- L'absence de désignation d'un DPD alors qu'elle est obligatoire : expressément qualifiée d'infraction grave par l'article 73.v) de la LOPDGDD (« le non-respect de l'obligation de désigner un délégué à la protection des données lorsque sa nomination est exigible »), dans la mesure où elle compromet la capacité de l'organisation à superviser et à démontrer sa conformité.
- Le défaut de notification de la désignation à l'AEPD ou de publication des coordonnées lorsque le DPD a bien été correctement désigné : expressément qualifié d'infraction légère par l'article 74.p) de la LOPDGDD, s'agissant d'un manquement formel qui n'affecte ni l'existence de la fonction ni son indépendance, sauf s'il se cumule avec d'autres manquements aggravant l'ensemble de la procédure.
Cette distinction a des conséquences pratiques : la LOPDGDD elle-même (articles 72 à 74) fixe des délais de prescription différents selon la qualification retenue — trois ans pour les infractions très graves, deux ans pour les graves et un an pour les légères —, de sorte que l'absence de DPD alors qu'elle est obligatoire expose l'organisation plus longtemps qu'un simple retard dans la démarche de notification.
Qui peut ouvrir une procédure et comment le manquement est détecté
L'absence de DPD est rarement le motif initial d'une inspection ; elle est généralement découverte dans le cadre d'une procédure ouverte pour un autre motif. Les origines les plus fréquentes sont :
- La plainte d'une personne concernée qui ne trouve pas les coordonnées du DPD dans la politique de confidentialité, ou qui exerce un droit relatif à ses données sans obtenir de réponse via un canal identifiable.
- La notification d'une violation de sécurité : lorsque l'AEPD traite la notification d'un incident au titre de l'article 33 du RGPD, elle vérifie systématiquement si l'organisation dispose d'un DPD désigné et notifié.
- Des inspections sectorielles engagées d'office, en particulier dans les secteurs où la désignation est légalement obligatoire — santé, banque, assurance, télécommunications, administrations publiques — où l'AEPD confronte son registre des DPD notifiés au recensement des entités soumises à obligation.
- Des demandes d'informations formulées dans le cadre d'une autre procédure de sanction, où la vérification de l'existence d'un DPD constitue une étape standard de l'instruction.
Dans chacun de ces cas de figure, l'absence de DPD n'entraîne pas automatiquement une sanction : l'AEPD ouvre une procédure, accorde un délai d'audition et apprécie les circonstances de l'espèce avant de statuer, conformément à la procédure de sanction régie par le Titre VIII de la LOPDGDD.
Circonstances aggravantes ou atténuantes de la sanction
Le montant final dans la fourchette légale n'est pas discrétionnaire : l'AEPD applique les critères de gradation de l'article 83.2 du RGPD, qui prennent en compte, entre autres, la nature et la gravité de l'infraction, son caractère intentionnel ou négligent, les mesures prises pour en atténuer les effets, le degré de responsabilité au regard des mesures techniques et organisationnelles mises en œuvre, et le caractère répété de l'infraction. Pour comprendre en détail l'application de ces critères et les fourchettes de montants observées en pratique, consultez notre guide sur la gradation des sanctions de l'AEPD.
Appliquée spécifiquement à l'absence de DPD, l'AEPD retient généralement comme circonstance aggravante le fait que l'organisation appartienne à un secteur soumis à une obligation légale expresse — par exemple les établissements de crédit ou les assureurs en vertu de l'article 34 de la LOPDGDD — et qu'elle n'ait pas agi malgré une demande préalable. Comme circonstance atténuante, elle prend en compte la désignation volontaire postérieure à la détection du manquement, la coopération active à l'instruction de la procédure, et l'absence de préjudice effectif pour les personnes concernées résultant de cette absence de désignation.
Erreurs fréquentes qui conduisent à cette sanction sans en avoir conscience
La plupart des procédures ouvertes pour ce motif ne résultent pas d'une décision délibérée de non-conformité, mais de failles de gestion récurrentes :
- Considérer que, l'organisation ne traitant pas de données particulièrement sensibles, elle ne sera jamais tenue de désigner un DPD, sans avoir examiné les cas élargis de l'article 34 de la LOPDGDD, qui incluent notamment les ordres professionnels, les établissements d'enseignement, les entités financières ou les entreprises de sécurité privée.
- Désigner le DPD en interne mais omettre la démarche de notification à l'AEPD, en considérant à tort que la désignation interne suffit.
- Notifier la désignation mais ne jamais mettre à jour la politique de confidentialité avec les coordonnées du DPD, laissant le site internet en décalage avec le registre de l'AEPD.
- Ne pas notifier une cessation de fonctions ou un renouvellement du DPD, de sorte que l'AEPD conserve dans son registre une personne qui n'exerce plus la fonction.
- Confier la fonction à une personne sans réelles garanties d'indépendance — par exemple, une personne qui décide des finalités et des moyens du traitement —, ce qui peut transformer une désignation apparemment correcte en un manquement substantiel à l'article 38.6 du RGPD.
Pour le détail de la procédure de notification correcte, avec les délais et les étapes sur le portail électronique, consultez notre guide sur la notification d'un DPD à l'AEPD.
Comment éviter la sanction : désigner, notifier et publier dans le bon ordre
Éviter cette infraction suppose de boucler l'ensemble du dispositif de l'article 37 du RGPD, et non sa seule première étape. En pratique, cela implique :
- Déterminer s'il existe une obligation de désigner un DPD, en examinant à la fois les trois cas généraux de l'article 37.1 du RGPD et les cas supplémentaires de l'article 34 de la LOPDGDD. Notre guide sur les cas où le DPD externe est obligatoire détaille ces situations secteur par secteur.
- Formaliser la désignation au moyen d'un document attestant l'aptitude professionnelle du DPD, son indépendance vis-à-vis des décisions relatives aux finalités et aux moyens du traitement, ainsi qu'un canal de contact opérationnel.
- Notifier la désignation à l'AEPD dans le délai de dix jours fixé par l'article 34.3 de la LOPDGDD, via le portail électronique, à l'aide d'un certificat numérique, d'une carte d'identité électronique (DNIe) ou de Cl@ve.
- Publier les coordonnées du DPD dans la politique de confidentialité et dans tout canal informant du traitement de données à caractère personnel.
- Tenir le registre à jour, en notifiant tout changement, toute cessation de fonctions ou tout renouvellement dans le même délai que la désignation initiale.
Le coût d'éviter la sanction face au coût de la payer
Le coût de la désignation et du maintien d'un DPD — interne ou externe — dépend du volume et de la sensibilité des traitements, du secteur d'activité et du fait que le service inclue ou non la gestion de la démarche auprès de l'AEPD ; il n'existe pas de tarif de marché unique. Ce qui reste comparable, en revanche, c'est l'échelle : face à un plafond de sanction pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial en vertu de l'article 83.4.a) du RGPD, le coût d'un DPD externe correctement désigné, notifié et publié représente une fraction marginale. Vous pouvez consulter les facteurs qui déterminent le prix dans notre guide sur le prix du DPD externe, ou confier la désignation complète à notre service de DPD externe.
Tableau récapitulatif : sanction pour absence de DPD
| Manquement | Base légale | Qualification habituelle | Montant maximal |
|---|---|---|---|
| Absence de désignation d'un DPD alors qu'elle est obligatoire | Art. 37.1 RGPD · art. 34 LOPDGDD | Infraction grave (art. 73.v LOPDGDD) | Jusqu'à 10 M€ ou 2 % du CA mondial (art. 83.4.a RGPD) |
| Défaut de notification de la désignation à l'AEPD | Art. 37.7 RGPD · art. 34.3 LOPDGDD | Infraction légère (art. 74.p LOPDGDD) | Jusqu'à 10 M€ ou 2 % du CA mondial (art. 83.4.a RGPD) |
| Défaut de publication des coordonnées | Art. 37.7 RGPD | Infraction légère (art. 74.p LOPDGDD) | Jusqu'à 10 M€ ou 2 % du CA mondial (art. 83.4.a RGPD) |
| Délai de prescription de l'infraction | Art. 73 et 74 LOPDGDD | 1 an (légère) · 2 ans (grave) | — |
Questions fréquentes
L'AEPD peut-elle sanctionner en l'absence de toute violation de sécurité ou de plainte d'une personne concernée ?
Oui. L'absence de désignation, de notification ou de publication du DPD constitue une infraction autonome à l'article 37 du RGPD, indépendante de la survenance d'un incident de sécurité. L'AEPD peut la détecter et engager une procédure même en l'absence de tout préjudice matériel, bien que l'absence de préjudice soit généralement retenue comme circonstance atténuante dans la gradation finale de la sanction en vertu de l'article 83.2 du RGPD.
Le montant de l'amende est-il identique en cas d'absence totale de DPD ou de simple oubli de notification à l'AEPD ?
Le plafond légal est identique — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial en vertu de l'article 83.4.a) du RGPD —, mais le montant effectif est généralement très différent. L'absence de désignation d'un DPD alors qu'elle est obligatoire est expressément qualifiée d'infraction grave au titre de l'article 73.v) de la LOPDGDD, tandis qu'un manquement purement formel de notification ou de publication, le DPD ayant été correctement désigné, est expressément qualifié d'infraction légère au titre de l'article 74.p), ce qui se traduit par des sanctions proportionnellement moindres et des délais de prescription plus courts.
Que se passe-t-il si mon entreprise ne relève pas des cas obligatoires du RGPD mais relève de ceux de la LOPDGDD ?
L'article 34 de la LOPDGDD élargit en Espagne les trois cas généraux de l'article 37.1 du RGPD à des catégories supplémentaires d'entités — ordres professionnels, établissements d'enseignement, établissements de crédit, assureurs, entreprises de sécurité privée, entre autres. Si votre organisation entre dans l'un de ces cas élargis, l'obligation de désigner un DPD est tout aussi exigible, et son non-respect est sanctionné selon le même cadre de l'article 83.4.a) du RGPD.
Un DPD désigné volontairement doit-il également être notifié à l'AEPD ?
Oui. L'article 34.3 de la LOPDGDD impose de notifier à l'AEPD les désignations, qu'elles soient obligatoires ou volontaires, dans le même délai de dix jours. Une fois notifié, le DPD désigné volontairement est soumis au même régime de statut, de fonctions et d'indépendance qu'un DPD obligatoire, y compris l'obligation de publier ses coordonnées.
De combien de temps dispose l'AEPD pour sanctionner ce manquement ?
Cela dépend de la qualification de l'infraction : au titre des articles 73 et 74 de la LOPDGDD, deux ans si elle est qualifiée de grave — critère habituel en l'absence de désignation d'un DPD alors qu'elle est obligatoire — et un an si elle est qualifiée de légère — critère habituel pour les manquements de notification ou de publication lorsqu'un DPD a déjà été désigné. Le délai court à compter du jour où l'infraction a été commise ou, pour les infractions continues, à compter de la cessation du comportement infractionnel.
Recourir à un DPD externe élimine-t-il totalement le risque de sanction ?
Cela réduit sensiblement le risque, à condition que le prestataire gère les trois étapes — désignation, notification et publication — et maintienne le registre à jour à chaque changement, mais cela n'élimine pas les autres causes de sanction au titre du RGPD étrangères à la fonction de DPD, comme un traitement sans base légale ou une violation de sécurité mal gérée. Ce que cela élimine, lorsque c'est fait correctement, c'est précisément l'infraction traitée dans ce guide.
L'absence de DPD équivaut-elle à un défaut de réponse aux demandes d'exercice des droits des personnes concernées ?
Non. Il s'agit d'infractions distinctes, fondées sur des bases légales différentes. L'absence de DPD est sanctionnée au titre de l'article 37 et de l'article 83.4.a) du RGPD ; le défaut de traitement des demandes d'exercice des droits dans les délais est sanctionné au titre des articles 12 à 22 du RGPD et peut relever du régime aggravé de l'article 83.5. En pratique, cependant, les deux manquements coïncident souvent : en l'absence d'un DPD identifiable et publié, les demandes d'exercice des droits ne sont fréquemment pas traitées dans les délais, ce qui peut transformer une seule défaillance organisationnelle en deux procédures de sanction simultanées.