Recevoir une notification de l'Agence espagnole de protection des données (AEPD) est une situation qui mérite une réaction immédiate et méthodique. Les entreprises qui paniquent ou qui ignorent la notification s'exposent à des sanctions bien plus lourdes que celles qui répondent de manière constructive et diligente. Ce guide vous explique ce qui se passe, comment réagir à chaque étape et comment minimiser l'impact.
Les types d’actes d’ouverture de procédure de l’AEPD
Demande d’information préalable
La première prise de contact de l’AEPD est souvent une simple demande d’information, avant l’ouverture formelle d’une procédure. Elle peut faire suite à une plainte d’une personne concernée ou à une initiative de contrôle de l’AEPD. À ce stade, une réponse coopérative et complète peut éviter l’ouverture d’une procédure formelle.
Procédure d’investigation (diligencias previas)
L’AEPD ouvre une phase d’investigation pour analyser les faits. Cette phase n’implique pas encore de sanction. L’entreprise reçoit une notification l’invitant à fournir des informations et des documents sur ses pratiques de traitement.
Procédure de sanction
Si l’investigation révèle une infraction, l’AEPD ouvre formellement une procédure de sanction. Elle notifie à l’entreprise les faits qui lui sont reprochés, les infractions présumées et les sanctions potentielles.
Ce que vous devez faire dès réception de la notification
1. Ne pas ignorer la notification. Les délais de réponse sont juridiquement contraignants. Un silence peut être interprété comme un aveu ou entraîner une procédure par défaut.
2. Consulter immédiatement un avocat spécialisé en protection des données. La réponse à une procédure AEPD requiert une expertise technique (droit du RGPD et de la LOPDGDD) et procédurale (délais, formes, recours).
3. Rassembler la documentation. Identifiez et compilez tous les documents relatifs aux faits signalés : politiques de protection des données, registre des activités de traitement, contrats de sous-traitance, analyses d’impact, preuves de formation des employés, communications avec les personnes concernées.
4. Évaluer les pratiques actuelles. Analysez si les pratiques décrites dans la notification sont effectivement non conformes. Si oui, adoptez les mesures correctives immédiatement — même avant la réponse formelle.
Les phases de la procédure de sanction
Phase 1 — Notification de l’ouverture : L’entreprise reçoit la notification de l’ouverture de la procédure avec un délai pour présenter ses allégations (généralement 15 jours).
Phase 2 — Allégations : L’entreprise présente ses arguments de défense, ses preuves et ses mesures correctives. Cette phase est déterminante : les arguments non présentés ici ne pourront pas l’être en appel.
Phase 3 — Proposition de résolution : L’AEPD émet une proposition de résolution indiquant l’infraction retenue et la sanction proposée. L’entreprise dispose d’un nouveau délai pour formuler ses observations (généralement 10 jours).
Phase 4 — Résolution définitive : L’AEPD émet sa décision définitive. En cas de sanction, elle est exécutoire à compter de la notification.
Le règlement volontaire : une option à considérer
La LOPDGDD espagnole prévoit un mécanisme de règlement volontaire pour certaines infractions. Si l’entreprise reconnaît sa responsabilité dans les 30 jours suivant la notification de la proposition de résolution et paie la sanction proposée, elle bénéficie d’une réduction de 20 % du montant.
Ce mécanisme est pertinent lorsque l’infraction est clairement établie et que la sanction proposée est raisonnable. Dans les cas où les faits sont contestables ou la sanction disproportionnée, il est préférable de défendre sa position.
Les recours disponibles
- Recours de réformation (recurso de reposición) : Devant l’AEPD elle-même, dans un délai d’un mois à compter de la notification de la résolution.
- Recours contentieux-administratif : Devant les juridictions administratives (Audiencia Nacional pour les sanctions de l’AEPD), dans un délai de deux mois.
BMC dispose d’une équipe spécialisée en protection des données qui accompagne les entreprises dans les procédures AEPD et dans la mise en conformité RGPD.
