AEPD Espagne : IA et protection des données des salariés
Mis à jour pour 2026
AEPD : l'autorité de contrôle la plus active de l'UE
L'AEPD (Agencia Española de Protección de Datos) est le chien de garde espagnol de la vie privée. Elle a rendu 847 décisions de sanction en 2023. Aucune autre autorité de l'UE n'en a rendu autant. Le total des pénalités a dépassé 12 millions d'euros cette année-là.
La méthode de l'agence se distingue de la plupart de ses homologues européens. Elle ne se concentre pas uniquement sur de grosses amendes contre les grandes entreprises. Elle cible aussi les PME, les collectivités locales et les organisations de taille moyenne. Cela crée une pression généralisée sur l'ensemble de l'économie espagnole.
Principaux domaines d'action en 2024 :
- Caméras et contrôles biométriques (29 % des cas)
- Marketing et communications non sollicitées (24 % des cas)
- Surveillance des salariés et dossiers RH (18 % des cas)
- Systèmes d'IA et décisions automatisées (15 % des cas — en hausse)
- Données de santé et données sensibles (14 % des cas)
L'obligation d'AIPD pour les systèmes d'IA selon l'AEPD
La Guía de adecuación al RGPD de tratamientos con IA du régulateur (2024) pose une règle claire. Tout outil d'IA qui traite des dossiers personnels doit faire l'objet d'une analyse d'impact relative à la protection des données (AIPD).
L'article 35 du RGPD exige une AIPD lorsque le traitement est « susceptible d'engendrer un risque élevé ». Il s'agit d'un test contextuel. L'autorité espagnole adopte une position plus stricte. Ses lignes directrices indiquent que tout outil ML touchant des dossiers personnels déclenche l'obligation d'AIPD. Aucune analyse préalable au cas par cas n'est requise.
Les organisations espagnoles doivent réaliser et documenter des AIPD pour :
- Les chatbots de service client
- Les outils de présélection de candidats
- Les outils de marketing
- Les modèles de traitement de texte (y compris les outils d'anonymisation)
- Tout outil d'IA traitant des dossiers de salariés ou de clients
Chaque outil utilisé en Espagne doit disposer de son propre dossier AIPD. Cela vaut même si l'outil semble peu risqué.
Standards d'anonymisation de l'AEPD
Le guide d'anonymisation de l'agence s'appuie sur les travaux de la CNIL. Il ajoute des exigences propres à l'Espagne pour les identifiants nationaux :
Types d'identifiants espagnols :
- DNI (Documento Nacional de Identidad) : numéro à 8 chiffres suivi d'une lettre de contrôle
- NIE (Número de Identificación de Extranjero) : lettre + 7 chiffres + lettre, pour les ressortissants étrangers
- NIF (Número de Identificación Fiscal) : même format que le DNI, utilisé à des fins fiscales
- Número de Seguridad Social : numéro de Sécurité sociale espagnol
L'autorité souligne que les modèles NER ratent souvent les numéros NIE. L'Espagne compte une importante population immigrée. Vérifiez que vos outils détectent les NIE lorsque vous traitez des dossiers de ressortissants non espagnols.
Particularités des noms espagnols :
La tradition espagnole impose deux noms de famille (apellidos compuestos). Les modèles NER entraînés sur des données à nom unique peuvent échouer ici. Le nom « García López, Juan Carlos » comporte deux noms de famille, pas un seul. Les modèles NER en espagnol doivent gérer cette structure.
Cas de surveillance des salariés instruits par l'AEPD
Dix-huit pour cent des dossiers concernent la surveillance des salariés. L'Espagne encadre cette surveillance via l'Estatuto de los Trabajadores (Statut des travailleurs). Le régulateur applique ces limites avec le RGPD.
Positions clés de l'autorité :
- Keyloggers : L'installation dissimulée de keyloggers est une violation du RGPD dans la plupart des cas. Les outils de capture d'écran nécessitent une justification écrite et une analyse de proportionnalité.
- Géolocalisation GPS : Autorisée sur les véhicules de société avec information préalable des salariés. Interdite sur les véhicules personnels.
- Contrôles des e-mails : Autorisés avec une notice préalable écrite et une politique dédiée. L'analyse du contenu requiert une justification supplémentaire.
- Outils de suivi par IA : Tout modèle qui suit le comportement des salariés nécessite une AIPD. Les règles de l'EDPB s'appliquent également.
La surveillance automatisée fait l'objet du plus grand contrôle de la part de l'autorité espagnole.
Documentation conforme à l'AEPD pour les systèmes d'IA
Quatre ensembles documentaires sont requis pour les organisations espagnoles utilisant des outils d'IA.
1. Inventaire des systèmes d'IA
Listez chaque outil traitant des dossiers personnels espagnols. Indiquez : nom du système, fournisseur, finalité, types de dossiers, durée de conservation et statut DPA.
2. AIPD par système
Utilisez le modèle d'AIPD publié par le régulateur. Couvrez :
- Finalité, base légale, types de dossiers et destinataires
- Vérification de proportionnalité
- Évaluation des risques pour les personnes concernées
- Mesures de contrôle : techniques et de processus
- Compte rendu de consultation du DPO (si un DPO est désigné)
3. Registre des mesures techniques
Pour chaque outil, documentez les contrôles empêchant tout accès non autorisé :
- Filtrage préalable (suppression des DCP avant l'exécution du modèle)
- Contrôles d'accès sur les résultats traités
- Application des durées de conservation
- Procédures de détection et de réponse aux incidents
4. Politique de surveillance des salariés
Si un outil surveille des salariés, ajoutez une politique écrite. Elle doit préciser le périmètre, informer les salariés, nommer la base légale et démontrer la proportionnalité.
Les audits de l'AEPD débutent par l'inventaire et les AIPD. Les organisations disposant de ces dossiers clôturent les audits bien plus rapidement. Notre guide de conformité RGPD couvre la portée documentaire. Notre présentation de la conformité sécurité détaille les contrôles techniques. Pour la détection des données personnelles espagnoles, consultez notre guide de détection multilingue des DCP.