Le RGPD (Règlement UE 2016/679) oblige les entreprises espagnoles à protéger les données personnelles, avec des sanctions pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires.

RGPD pour Entreprises : Guide Complet Conformité 2026

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Le Règlement Général sur la Protection des Données (RGPD) et la Ley Orgánica 3/2018 (LOPDGDD) ne sont pas une formalité bureaucratique : ils constituent la norme qui protège le droit fondamental à la vie privée des personnes et dont le non-respect peut coûter à votre entreprise jusqu'à 20 millions d'euros ou 4 % de son chiffre d'affaires mondial. L'Agencia Española de Protección de Datos (AEPD) a largement démontré sa capacité de sanction : ces dernières années, elle a infligé des amendes millionnaires à des entreprises de toutes tailles, des grands groupes jusqu'aux PME et travailleurs indépendants. Ce guide vous offre une vision complète et pratique de ce que vous devez faire pour vous conformer au RGPD et protéger votre activité face à un cadre de plus en plus exigeant.

Les sept principes du RGPD

Le RGPD repose sur sept principes qui doivent guider tout traitement de données personnelles. Le principe de licéité, loyauté et transparence exige que les données soient traitées de manière licite, avec une base légale valide, et en toute transparence vis-à-vis de la personne concernée. Celui de limitation de la finalité établit que les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Celui de minimisation des données exige que seules les données strictement nécessaires soient collectées. Celui d'exactitude impose que les données soient à jour et correctes. Celui de limitation de la durée de conservation stipule que les données ne doivent pas être conservées plus longtemps que nécessaire. Celui d'intégrité et de confidentialité exige des mesures de sécurité adéquates. Et celui de responsabilité (accountability) impose à l'entreprise de pouvoir démontrer à tout moment qu'elle respecte l'ensemble des principes précédents.

Les bases de légitimation : pourquoi pouvez-vous traiter des données ?

Vous ne pouvez pas traiter des données personnelles sans raison. Vous avez besoin d'une base légale valide parmi les six que le RGPD reconnaît. Le consentement de la personne concernée, qui doit être libre, spécifique, éclairé et univoque (et révocable à tout moment). L'exécution d'un contrat, qui justifie le traitement des données nécessaires pour exécuter un contrat avec la personne concernée. Le respect d'une obligation légale, comme les obligations fiscales ou sociales. La protection des intérêts vitaux, limitée à des situations d'urgence. L'intérêt public ou l'exercice de l'autorité publique. Et l'intérêt légitime, qui exige un équilibre entre l'intérêt de l'entreprise et les droits de la personne concernée.

La base légale appropriée doit être déterminée avant de lancer le traitement et documentée dans le Registre des Activités de Traitement. Confondre deux bases légales ou en changer en cours de traitement constitue l'une des erreurs les plus fréquemment sanctionnées par l'AEPD.

Le Registre des Activités de Traitement (RAT)

Le RAT est le document central de votre conformité au RGPD. Il doit contenir, pour chaque traitement de données que vous réalisez, le nom et les coordonnées du responsable (et du DPO le cas échéant), la finalité du traitement, la base légale, les catégories de personnes concernées et de données personnelles, les destinataires des données (y compris les sous-traitants et les transferts internationaux), les durées de conservation, et une description générale des mesures de sécurité.

Le RAT n'est pas un document statique : il doit être mis à jour chaque fois qu'un nouveau traitement est lancé, que la finalité d'un traitement existant change ou que l'un de ses éléments est modifié. C'est aussi le premier document que demandera un inspecteur de l'AEPD lors d'une procédure de contrôle.

Droits des personnes concernées : obligations pratiques

Le RGPD reconnaît huit droits que votre entreprise doit pouvoir traiter dans un délai maximal d'un mois. Le droit d'accès permet à la personne concernée d'obtenir une copie de ses données et l'information sur la manière dont elles sont traitées. Celui de rectification lui permet de corriger des données inexactes. Celui d'effacement (droit à l'oubli) lui permet de demander la suppression de ses données. Celui de limitation lui permet de restreindre le traitement dans certaines circonstances. Celui de portabilité lui permet de recevoir ses données dans un format structuré et de les transférer à un autre responsable. Celui d'opposition lui permet de s'opposer au traitement. Le droit à ne pas faire l'objet d'une décision automatisée la protège contre les décisions fondées exclusivement sur un traitement automatisé. Et le droit de retirer le consentement peut être exercé à tout moment.

Votre entreprise doit disposer de procédures documentées pour traiter chacun de ces droits, d'un canal de communication accessible (adresse électronique, formulaire web, adresse postale) et d'un registre des demandes reçues et traitées.

Violations de sécurité : l'obligation de notification

Lorsqu'une violation de sécurité affecte des données personnelles (accès non autorisé, perte, destruction ou altération), vous devez évaluer le risque pour les droits et libertés des personnes concernées et agir en conséquence.

S'il existe un risque, vous devez notifier l'AEPD dans un délai maximal de 72 heures à compter du moment où vous avez eu connaissance de la violation. Si le risque est élevé, vous devez en outre informer les personnes concernées sans retard injustifié.

La notification à l'AEPD doit comprendre la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les coordonnées du DPO ou du point de contact, les conséquences probables de la violation et les mesures prises pour en atténuer les effets.

L'AEPD a développé l'outil Comunica-Brecha pour faciliter l'évaluation et la notification des violations de sécurité. N'attendez pas de subir une violation pour vous familiariser avec lui.

Sanctions de l'AEPD : exemples réels

Les sanctions du RGPD se répartissent sur deux niveaux. Les infractions de niveau inférieur peuvent être sanctionnées jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les infractions de niveau supérieur atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Dans la pratique espagnole, l'AEPD a infligé des sanctions significatives à des entreprises de toutes tailles. Les sanctions aux PME oscillent généralement entre 1 000 et 60 000 euros pour des infractions telles que l'envoi de communications commerciales sans consentement, l'absence de mentions d'information, le défaut de contrat avec les sous-traitants ou la prise en charge tardive ou incorrecte des droits.

Mesures techniques et organisationnelles de sécurité

L'article 32 du RGPD exige des mesures de sécurité proportionnées au risque. Il n'établit pas de liste fermée : chaque entreprise doit évaluer quelles mesures sont adéquates en considérant l'état de l'art, les coûts de mise en œuvre, la nature et la portée du traitement, et les risques pour les droits des personnes concernées.

Les mesures les plus courantes incluent le contrôle d'accès basé sur les rôles et l'authentification multifacteur, le chiffrement des données en transit et au repos, les sauvegardes périodiques avec vérification de restauration, la formation du personnel à la protection des données, les procédures de gestion des incidents, la politique du bureau propre et du verrouillage d'écran, et la traçabilité des accès aux données personnelles.

La certification ISO 27001 constitue la preuve la plus solide que votre entreprise applique des mesures de sécurité adéquates, et elle est acceptée par l'AEPD comme démonstration de la responsabilité proactive. À défaut de certification, un référentiel inspiré du Schéma National de Sécurité espagnol (ENS) ou des bonnes pratiques d'INCIBE permet de structurer une démarche progressive proportionnée à la taille de l'entreprise et au niveau de risque réel des traitements.

Quand désigner un DPO

La désignation d'un Délégué à la Protection des Données est obligatoire pour les autorités publiques, pour les entreprises dont les activités principales exigent un suivi régulier et systématique à grande échelle de personnes concernées, et pour celles qui traitent à grande échelle des catégories particulières de données ou des données pénales. Même hors obligation, désigner un DPO interne ou externe constitue une bonne pratique de gouvernance qui rassure clients et partenaires.

Consultez notre guide ISO 27001 pour comprendre comment un SMSI certifié renforce votre conformité RGPD.

Checklist de conformité RGPD pour les PME

Vérifiez que vous disposez du Registre des Activités de Traitement complet et à jour, des mentions d'information à tous les points de collecte de données (site web, formulaires, contrats), des contrats avec tous les sous-traitants, des procédures documentées pour traiter les droits des personnes concernées, de la politique de confidentialité à jour sur votre site, de la gestion du consentement pour les communications commerciales, de l'analyse de risque des traitements de données, des mesures de sécurité mises en œuvre et documentées, de la procédure de notification des violations, et de la désignation du DPO lorsqu'elle est obligatoire. Relié : Conseil Cybersécurité Entreprises : Services et Coûts.

Consultez notre article sur le RGPD pour les PME en 10 étapes pour une version simplifiée de la conformité.

Vous devez mettre à jour la conformité RGPD de votre entreprise ? Parlons-en pour un audit de protection des données qui identifie vos écarts de conformité et vous fournit un plan d'action priorisé.

Auteur : Ángel Ortega Castro, consultant indépendant en stratégie, qualité et digitalisation pour PME. Relié : Audit de Cybersécurité : Évaluation Complète.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro