Castilla y León

Protection des données à Burgos

Burgos concentre un tissu économique varié — agroalimentaire, sous-traitance automobile, hôtellerie et services professionnels — dans lequel la protection des données est une obligation légale depuis l'application du Règlement (UE) 2016/679 (RGPD) et de la LOPDGDD (loi organique 3/2018). Summum Consultoría accompagne les entreprises et les PME de Burgos dans leur mise en conformité effective : audit des traitements, documentation, formation et assistance continue.

Droit applicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
CouvertureBurgos · Aranda de Duero · Miranda de Ebro · Castille-et-León
DisponibilitéEn présentiel à Burgos et à distance pour le quotidien

Burgos dispose d'un tissu productif diversifié : l'industrie agroalimentaire — boudin noir et fromages sous appellation d'origine, grands groupes de transformation de viande dans l'agglomération — coexiste avec une chaîne d'approvisionnement automobile articulée autour de multinationales telles que Grupo Antolín, dont le siège est dans la capitale, ainsi qu'un secteur hôtelier en expansion lié à la cathédrale de Burgos (inscrite au patrimoine mondial de l'UNESCO) et au Chemin de Saint-Jacques-de-Compostelle. Toutes ces organisations, quelle que soit leur taille ou leur secteur, traitent des données personnelles de clients, de salariés et de fournisseurs et sont pleinement soumises au RGPD et à la LOPDGDD.

La mise en conformité effective va bien au-delà du téléchargement d'une politique de confidentialité sur internet. Elle implique d'identifier quelles données l'organisation traite, sur quelle base juridique (art. 6 RGPD), pendant combien de temps et dans le cadre de quels contrats avec des sous-traitants lorsque des informations sont partagées avec des tiers — cabinets comptables, fournisseurs de logiciels en nuage, agences de communication. À Burgos, de nombreuses PME ont eu un premier contact avec la matière via le programme Kit Digital, mais ce niveau minimum ne garantit pas la conformité réelle face à un contrôle ou à une plainte devant l'Agence espagnole de protection des données (AEPD — Agencia Española de Protección de Datos).

Chez Summum Consultoría, nous accompagnons les organisations de Burgos, Aranda de Duero, Miranda de Ebro et l'ensemble de la province tout au long du processus de mise en conformité. Nous élaborons le Registre des activités de traitement (art. 30 RGPD), révisons les contrats avec les sous-traitants, mettons à jour les mentions d'information et définissons des mesures de sécurité proportionnées au risque. Nous ne nous substituons pas à l'AEPD et ne garantissons pas les résultats dans les procédures de sanction, mais nous veillons à ce que l'organisation agisse avec la diligence requise par la réglementation.

L'assistance continue est aussi importante que la mise en conformité initiale. Lorsque l'AEPD publie de nouveaux guides sectoriels, lorsque l'entreprise introduit un nouveau traitement ou lorsqu'un incident de sécurité survient, disposer d'un consultant référent à Burgos qui connaît la réalité de l'organisation permet de réagir rapidement sans repartir de zéro. Pour les organisations qui le nécessitent, nous assurons également la fonction de Délégué à la Protection des Données externe (arts. 37–39 RGPD), avec un interlocuteur direct auprès de l'autorité de contrôle.

Le processus Protection des données à Burgos.

Le processus · quatre étapes
01

Audit des traitements

Nous analysons les flux de données personnelles de l'organisation : quelles informations sont collectées, à quelle fin, sur quelle base juridique et avec quels tiers elles sont partagées. Le résultat est une cartographie des traitements qui sert de base au Registre des activités (art. 30 RGPD) et à l'ensemble de la mise en conformité ultérieure.

02

Mise en place documentaire et contractuelle

Nous élaborons le Registre des activités de traitement, les contrats avec les sous-traitants (art. 28 RGPD) et les mentions d'information destinées aux clients et aux salariés (arts. 13–14 RGPD), adaptés à l'activité réelle de l'organisation et non à des modèles génériques.

03

Mesures de sécurité et formation

Nous définissons et documentons les mesures techniques et organisationnelles proportionnées au risque de chaque traitement (art. 32 RGPD) et formons le personnel à ses obligations de base : gestion des accès, traitement des informations clients et réponse aux demandes d'exercice de droits ou aux incidents.

04

Assistance continue et révision périodique

Nous assurons une assistance permanente pour résoudre les questions du quotidien, traiter les demandes d'exercice de droits (arts. 15–21 RGPD), gérer les violations de données et mettre à jour la documentation lorsque l'organisation introduit de nouveaux traitements ou lorsque l'AEPD publie des critères applicables au secteur.

Ce qui est inclus

Ce qu'inclut Protection des données à Burgos.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Registre des activités de traitement

    Inventaire des traitements de données personnelles exigé par l'article 30 du RGPD, adapté à l'activité réelle et mis à jour dès l'introduction de nouveaux traitements.

  • Contrats avec les sous-traitants

    Révision et rédaction des contrats avec les prestataires ayant accès aux données de l'organisation (art. 28 RGPD) : cabinets comptables, plateformes logicielles, sociétés de surveillance et agences marketing.

  • Mentions d'information et politique de confidentialité

    Clauses d'information pour les clients et les salariés (arts. 13–14 RGPD), politique de confidentialité du site web et politique de cookies adaptées à l'activité concrète de l'organisation.

  • Mesures de sécurité (art. 32 RGPD)

    Définition et documentation des mesures techniques et organisationnelles proportionnées au niveau de risque : contrôle des accès, gestion des mots de passe, sauvegardes et procédures internes de sécurité.

  • DPO externe

    Délégué à la Protection des Données externe pour les organisations soumises à cette obligation par le RGPD ou qui optent pour cette fonction comme conseil permanent, avec interlocution directe auprès de l'AEPD.

  • Gestion des violations de données

    Protocole de réponse aux incidents : évaluation du risque, notification à l'AEPD dans les 72 heures (art. 33 RGPD) le cas échéant, communication aux personnes concernées (art. 34) et enregistrement documentaire de l'incident.

Questions fréquentes sur Protection des données à Burgos.

Quelles entreprises de Burgos sont tenues de respecter le RGPD ?

Toutes les organisations qui traitent des données personnelles sont soumises au RGPD et à la LOPDGDD, quelle que soit leur taille ou leur secteur. À Burgos, cela va d'un petit restaurant qui gère des réservations à un équipementier automobile disposant d'une base de données de salariés, en passant par des cabinets professionnels ou des commerces avec des programmes de fidélité. Ce qui varie, c'est la complexité des mesures, qui doit être proportionnée au volume et à la sensibilité des données traitées.

Quelles sanctions l'AEPD peut-elle imposer en cas de non-conformité ?

L'article 83 du RGPD prévoit deux niveaux. Les infractions les plus graves — traiter des données sans base juridique ou enfreindre les principes fondamentaux du RGPD — peuvent donner lieu à des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total. Les infractions moins graves — comme l'absence d'un registre des activités formalisé ou l'absence de contrat avec un sous-traitant — peuvent être sanctionnées jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. L'AEPD considère la diligence préalable comme une circonstance atténuante.

Une PME burgalaise est-elle obligée de désigner un DPO ?

L'obligation dépend du type de traitements, et non de la taille. L'article 37 du RGPD impose un DPO aux autorités et organismes publics, à ceux qui effectuent à grande échelle un suivi régulier et systématique des personnes concernées, et à ceux qui traitent à grande échelle des catégories particulières de données. La LOPDGDD étend cette obligation à des secteurs tels que les établissements financiers, les assureurs ou les établissements de santé. Pour les PME non soumises à cette obligation, le DPO externe est une option offrant un conseil permanent de manière économique.

Le RGPD affecte-t-il la manière dont les entreprises de Burgos gèrent les données de leurs salariés ?

Oui. Le traitement des données professionnelles — bulletins de paie, coordonnées bancaires, pointage, vidéosurveillance ou données de santé — requiert une base juridique appropriée et une information expresse du salarié. La LOPDGDD réglemente par ailleurs les droits numériques en milieu professionnel (arts. 87–91) : droit à la vie privée face à l'utilisation des appareils professionnels, droit à la déconnexion numérique et vidéosurveillance. Summum Consultoría accompagne les entreprises de Burgos dans l'adaptation de leurs procédures de ressources humaines à ces exigences.