Partout dans le monde, les entreprises et les particuliers sont désormais tous conscients du RGPD. Il s’agit d’un cadre législatif régissant la collecte et l’utilisation des données à caractère personnel des citoyens de l’UE. Ce que l’on apprécie souvent moins, c’est le rôle que jouent les États membres dans la protection des données.
C’est là qu’intervient l’AEPD espagnol.
Nous verrons ci-dessous ce qu’est l’AEPD, ses effets sur les entreprises et son lien avec le RGPD.
Qu’est-ce que l’AEPD ?
L’Agence espagnole de protection des données, connue sous le nom d’AEPD (Agencia Española de Protección de Datos), est chargée de réglementer la confidentialité des données à l’intérieur des frontières espagnoles. Il veille à ce que la collecte, le stockage et l’utilisation des données personnelles soient effectués conformément à la législation espagnole et européenne. En outre, l’AEPD agit également pour informer les citoyens espagnols de leurs droits en matière de données, ainsi que de la manière dont l’AEPD peut les aider.
L’AEPD a son siège à Madrid et est une agence indépendante du gouvernement espagnol. Elle a été créée le 26 mars 1999, dans le cadre de l’article 18, paragraphe 4, de la Constitution espagnole de 1978 :
« La loi restreint l’utilisation de l’informatique afin de protéger l’honneur et la vie privée personnelle et familiale des citoyens espagnols, ainsi que le plein exercice de leurs droits. »
Cela reste le principe directeur jusqu’à aujourd’hui.
Quelles sont les principales responsabilités de la DPEA ?
Bien que l’AEPD soit une agence gouvernementale, elle jouit d’une « indépendance absolue vis-à-vis de l’administration publique ». Cela signifie qu’il a une autorité totale sur la protection des données en Espagne. Ses responsabilités comprennent :
- Sensibilisation aux activités de l’AEPD et au droit à la protection des données personnelles
- Fournir une assistance directe en réponse aux questions des citoyens espagnols
- Protéger les droits des personnes d’accès, de rectification, d’annulation et d’opposition à la collecte et à l’utilisation des données
- Registre des systèmes de classement
- Inspection de la collecte des données et administration des sanctions.
- Coopération avec les agences internationales et les communautés autonomes intranationales (notamment la Catalogne, le Pays basque et Madrid)
- Évaluez les risques émergents, notamment les tendances en matière de données personnelles sur Internet, la vidéosurveillance des employeurs, la biométrie, l’utilisation d’Internet, etc.
Quelles sont les agences régionales espagnoles de protection des données ?
En plus de l’AEPD, il existe l’Autorité catalane de protection des données et l’Agence basque de protection des données. L’Agence de protection des données de la Communauté de Madrid a également existé de 1995 à 2013.
À quoi s’applique la LPPDO ?
À l’instar d’autres législations sur la protection des données, telles que le RGPD du Royaume-Uni et de l’UE et la LGPD du Brésil, la PDPA contient des « effets extraterritoriaux ». Cela signifie que les organisations qui ne sont pas basées à Singapour peuvent se trouver obligées de se conformer au PDPA si une organisation collecte, utilise ou divulgue des données à Singapour.
Par exemple, si une entreprise non singapourienne – comme Facebook – collecte des données auprès de Singapouriens en ligne, elle est soumise à la PDPA. Il s’expose également à des sanctions s’il s’avère qu’il n’est pas conforme au règlement.
Quel est le lien entre l’AEPD et l’UE ?
La Charte des droits fondamentaux de l’UE stipule que tous les citoyens de l’UE ont droit à la protection de leurs données personnelles. Avec l’adoption du RGPD, une protection supplémentaire des données a été mise en place : la plus stricte au monde.
À l’origine, l’AEPD a été créée pour protéger les données à caractère personnel conformément à l’article 8, paragraphe 3, de la Charte des droits fondamentaux de l’UE. Avant l’entrée en vigueur du RGPD, la directive européenne sur la protection des données prévoyait des normes pour guider la rédaction de la législation dans chaque État membre. Cette responsabilité a ensuite été intégrée à l’UE avec le RGPD.
Cette législation fonctionne en accord avec le Comité européen de la protection des données (CEPD). Il s’agit d’un organisme européen indépendant créé pour garantir l’application cohérente des règles de protection des données dans l’ensemble de l’UE.
En effet, alors que l’UE élabore le RGPD et analyse les tendances en matière de protection des données, elle n’est finalement pas capable de faire respecter la loi. Les États membres reçoivent des orientations générales du CEPD sur les concepts clés du RGPD et de la directive répressive. Le CEPD est composé de représentants des autorités nationales de protection des données des États membres de l’UE, y compris l’AEPD.
Par exemple, l’AEPD a récemment publié des directives mises à jour concernant les cookies après que le CEPD a publié de nouvelles directives.
Cas notables de l’AEPD
L’affaire la plus notable portée par l’AEPD est communément appelée Google c. Espagne. Bien que le nom réel soit Google Spain v. AEPD & Mario Costeja.
Le contexte : Un journal espagnol a publié deux annonces sur la vente forcée de biens immobiliers résultant de dettes de sécurité sociale. Mario Costeja González, propriétaire de l’une des propriétés nommées dans les annonces, a contacté le journal pour demander que son nom soit retiré. Le journal a refusé, car l’histoire avait depuis été publiée par le ministère espagnol du Travail et des Affaires sociales. Costeja a ensuite contacté Google, demandant l’effacement des liens d’annonce. Google Espagne s’est opposé à leur suppression, ce qui a conduit Costeja et l’AEPD à intenter une action en justice contre Google Espagne.
On pense généralement que l’affaire tourne autour du « droit à l’oubli ». Cependant, c’est une erreur.
Dans sa décision, le tribunal n’a pas accordé explicitement un tel droit. Au lieu de cela, les moteurs de recherche étaient tenus de supprimer les résultats de recherche lorsqu’ils « semblaient inadéquats, non pertinents ou plus pertinents ou excessifs à la lumière du temps écoulé ».
Néanmoins, c’est l’une des raisons fondamentales pour lesquelles il a été proposé d’inclure le droit à l’oubli dans le RGPD. Avant d’être remplacé par l’effacement dans des circonstances spécifiques, conformément à la décision du juge espagnol.
Conclusion
L’AEPD est l’agence officielle de protection des données du gouvernement espagnol. Comme tous les États membres, il s’agit de l’autorité nationale responsable de la promulgation du RGPD et d’autres lois pertinentes. Cependant, il a également des responsabilités supplémentaires inscrites dans la Constitution espagnole et la loi espagnole pour informer les citoyens espagnols de leurs droits en matière de protection des données.
Supposons que vous soyez une entreprise qui enfreint le RGPD à l’égard d’un citoyen espagnol. Dans ce cas, il est probable que ce soit l’AEPD qui s’occupe de votre dossier. Par conséquent, si vous êtes une entreprise en contact avec l’Espagne, il est essentiel de connaître les bases de qui et de ce qu’est l’AEPD.
J’espère qu’après avoir lu cet article, vous avez maintenant cette compréhension.
Pour de plus amples renseignements, veuillez consulter le site Web de l’AEPD.
Sources:
https://www.aepd.es/es
https://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_Gonz%C3%A1lez
https://en.wikipedia.org/wiki/Spanish_Data_Protection_Agency
https://inplp.com/latest-news/article/the-spanish-data-protection-authority-aepd-publishes-its-annual-report-summarizing-last-years-activities-including-enforcement-cases/
https://medium.com/golden-data/google-v-spain-the-right-to-be-forgotten-aaee50dae43c
https://www.linklaters.com/en/insights/data-protected/data-protected—spain
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en