Castilla y León

Protection des données à Palencia

Les entreprises et entités de Palencia sont soumises au Règlement (UE) 2016/679 — le RGPD — et à la Loi organique 3/2018 — la LOPDGDD (loi espagnole de protection des données) — quelle que soit leur taille ou leur secteur. Chez Summum Consultoría, nous accompagnons le tissu économique palentin dans sa mise en conformité réglementaire, la mise en œuvre de mesures techniques et organisationnelles et la gestion continue de la vie privée, en présentiel et à distance.

Zone de couverturePalencia · Castille-et-León · Présentiel et distance
Réglementation applicableRGPD (UE) 2016/679 · LOPDGDD LO 3/2018
Autorité de contrôleAEPD — Agence espagnole de protection des données (Agencia Española de Protección de Datos)

Palencia associe un important pôle industriel — l'usine Renault et son réseau de sous-traitants — à un tissu dense de PME dans les services, le commerce et la restauration, aussi bien dans la capitale que dans les communes de la province. Ce tissu économique diversifié a en commun l'obligation de respecter le RGPD : toute entité qui traite des données à caractère personnel de personnes physiques — clients, salariés, patients, élèves — est soumise à la réglementation, sans exception liée à la taille ou au secteur. La Diputación Provincial de Palencia et la mairie sont par ailleurs légalement tenues de désigner un délégué à la protection des données (DPD), conformément à l'art. 37 du RGPD et à l'art. 34 de la LOPDGDD.

Une véritable mise en conformité va bien au-delà d'une mention légale sur un site web. Elle exige d'établir le registre des activités de traitement prévu par l'art. 30 du RGPD, d'identifier la base juridique de chaque traitement, de formaliser les contrats avec les sous-traitants selon l'art. 28, de mettre en place des voies pour répondre aux droits des personnes concernées — accès, rectification, effacement, portabilité, limitation et opposition, régis par les art. 15 à 22 du RGPD — et d'adopter des mesures de sécurité proportionnées au risque. Le non-respect de ces obligations est soumis au régime de sanctions de l'art. 83 du RGPD : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, et jusqu'à 20 millions d'euros ou 4 % pour les infractions les plus graves.

Chez Summum Consultoría, nous accompagnons des organisations de Castille-et-León depuis 2007. À Palencia, nous intervenons aussi bien en présentiel qu'à distance, en nous adaptant au rythme et aux ressources de chaque client : du petit commerce ou du cabinet dentaire qui doit mettre de l'ordre dans sa documentation, à l'entreprise industrielle gérant de multiples traitements de données de salariés et de sous-traitants. Le point de départ est toujours un diagnostic réel de la situation — non un rapport générique — qui sert de feuille de route pour une mise en conformité effective et documentée devant l'AEPD (Agence espagnole de protection des données).

Le processus Protection des données à Palencia.

Le processus · quatre étapes
01

Diagnostic initial

Nous analysons quelles données à caractère personnel l'organisation traite, à quelles fins, sur quelles bases juridiques et avec quelles mesures de sécurité. Le résultat est un rapport d'écarts — gaps — par rapport au RGPD et à la LOPDGDD, qui sert de feuille de route pour la mise en conformité.

02

Mise en conformité documentaire et technique

Nous rédigeons ou révisons le registre des activités de traitement (art. 30 RGPD), les mentions d'information, les clauses d'information pour les salariés, les contrats avec les sous-traitants (art. 28 RGPD) et la politique de sécurité. Nous recommandons des mesures techniques proportionnées au risque de chaque traitement.

03

DPD externe et canal des droits

Lorsque l'organisation est tenue de désigner un délégué à la protection des données — ou décide de le faire volontairement — nous assumons ce rôle en tant que DPD externe, enregistré auprès de l'AEPD et réellement disponible. Nous gérons le canal de traitement des droits des personnes concernées et la coordination face aux demandes ou aux contrôles du régulateur.

04

Formation et maintenance continue

Nous formons le personnel aux obligations de base en matière de protection des données propres à leur poste et révisons périodiquement la documentation pour l'adapter aux évolutions réglementaires, aux nouveaux traitements ou aux modifications organisationnelles. La conformité au RGPD est un système vivant, non un projet ponctuel.

Ce qui est inclus

Ce qu'inclut Protection des données à Palencia.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Registre des activités de traitement

    Inventaire des traitements exigé par l'art. 30 du RGPD, avec les finalités, les bases juridiques, les catégories de données, les destinataires et les durées de conservation pour chaque activité de l'organisation palentine.

  • DPD externe pour Palencia

    Délégué à la protection des données externe, enregistré auprès de l'AEPD et réellement disponible. Obligatoire pour les entités visées à l'art. 37 du RGPD et recommandé pour toute organisation effectuant des traitements de données sensibles ou à grande échelle.

  • Contrats avec les sous-traitants

    Révision et rédaction de contrats ou de clauses avec les prestataires qui accèdent à des données à caractère personnel — informatique, cabinets comptables, services de nettoyage ou de sécurité —, conformément aux exigences de l'art. 28 du RGPD.

  • Traitement des droits des personnes concernées

    Conception de la procédure interne pour recevoir, instruire et résoudre dans les délais les demandes d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition, conformément aux art. 15 à 22 du RGPD.

  • Mentions d'information et clauses informatives

    Rédaction ou mise à jour des mentions légales sur les sites web, des clauses dans les formulaires et les contrats de travail, conformément aux exigences d'information des art. 13 et 14 du RGPD et aux lignes directrices du Comité européen de la protection des données (CEPD).

  • Formation du personnel

    Sessions adaptées au secteur et au niveau de l'équipe : ce qu'est une donnée à caractère personnel, dans quels cas elle peut être traitée, comment répondre à une demande de droits et que faire face à un incident de sécurité affectant des données à caractère personnel.

Questions fréquentes sur Protection des données à Palencia.

Les PME de Palencia sont-elles tenues de respecter le RGPD ?

Oui. Le RGPD ne fixe aucun seuil minimal de taille ni de chiffre d'affaires : toute entreprise, travailleur indépendant ou entité qui traite des données à caractère personnel de personnes physiques y est soumise. L'art. 30.5 du RGPD prévoit une exemption limitée du registre des activités de traitement pour les organisations de moins de 250 salariés lorsque le traitement n'est pas effectué à titre habituel ou ne porte pas sur des données sensibles, mais cette exemption ne supprime pas les autres obligations.

Quels secteurs de Palencia présentent le plus grand risque en matière de protection des données ?

Les secteurs les plus exposés sont ceux qui traitent des catégories particulières de données ou de grands volumes de données à caractère personnel. Dans le contexte palentin, on distingue le secteur de la santé — cliniques, pharmacies —, les entreprises industrielles utilisant la vidéosurveillance ou le contrôle des accès des salariés, les cabinets professionnels — conseillers fiscaux, comptables, avocats — et les établissements d'enseignement. Le recours à des prestataires accédant à des données — informatique, paie, services auxiliaires — génère par ailleurs des obligations de contrat de sous-traitance conformément à l'art. 28 du RGPD.

Quand la désignation d'un délégué à la protection des données est-elle obligatoire ?

La désignation est obligatoire dans les cas prévus à l'art. 37 du RGPD : autorités et organismes publics, entités qui traitent à grande échelle des catégories particulières de données ou effectuent un suivi systématique de personnes. L'art. 34 de la LOPDGDD étend ces cas en Espagne aux établissements de santé, aux écoles et aux établissements financiers, entre autres. En dehors des cas obligatoires, la désignation volontaire est recommandée pour les organisations ayant des activités de traitement de données intensives.

Quelles infractions l'AEPD détecte-t-elle le plus fréquemment ?

Les plus récurrentes sont le manquement au devoir d'information (art. 13 et 14 RGPD), les traitements sans base juridique, l'absence de contrats avec les sous-traitants et des mesures de sécurité insuffisantes. L'art. 83 du RGPD prévoit deux niveaux de sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, et jusqu'à 20 millions d'euros ou 4 % pour les infractions les plus graves. L'AEPD tient compte de l'existence de mesures de conformité préalables comme circonstance atténuante.

Comment intervenez-vous auprès des clients de Palencia ?

Summum Consultoría intervient dans toute la Castille-et-León en présentiel et à distance. Pour les clients de la ville de Palencia et de la province, nous combinons des visites sur place — pour le diagnostic et la formation — avec du travail à distance lors des phases documentaires et de maintenance. Nous accompagnons des organisations de la région depuis 2007, ce qui nous permet de bien connaître le tissu économique palentin et d'adapter les solutions à chaque réalité, sans propositions génériques.