L'Agencia Española de Protección de Datos (AEPD) a émis 847 résolutions de sanction en 2023 — le plus grand nombre de décisions d'application de tout DPA de l'UE. Bien que les amendes individuelles soient souvent plus petites que les affaires de RGPD en tête d'affiche provenant de l'Irish DPC ou du Dutch AP, le volume élevé d'application de l'AEPD crée une exposition significative à la conformité pour toute organisation ayant des opérations en Espagne.
Cadre d'application axé sur l'IA de l'AEPD
L'AEPD a publié les directives de protection des données spécifiques à l'IA les plus complètes de l'UE, y compris :
"Adecuación al RGPD de tratamientos que incorporan IA" (2020, mise à jour 2024) : Le guide de l'IA de l'AEPD exige une DPIA pour tout système d'IA traitant des données personnelles — peu importe si le traitement de l'IA atteint le seuil de risque de l'article 35 du RGPD pour les DPIA obligatoires. C'est l'une des exigences de DPIA les plus expansives de l'UE.
Mise en œuvre de la loi espagnole sur l'IA : L'Espagne est parmi les premiers États membres de l'UE à disposer d'un registre national de l'IA pour les systèmes d'IA à haut risque. L'AEPD coordonne avec l'organisme de supervision de l'IA en Espagne pour faire respecter les exigences combinées de la loi sur l'IA et du RGPD.
Identifiants nationaux espagnols : Le fossé de détection
Les outils NLP génériques détectent le DNI et le NIE avec seulement 34 % de précision dans les documents espagnols (analyse AEPD 2024). Comprendre pourquoi nécessite de comprendre les structures des identifiants :
DNI (Documento Nacional de Identidad) : 8 chiffres + 1 lettre de contrôle. La lettre de contrôle est calculée comme le reste du nombre divisé par 23, mappée à une séquence de lettres spécifique (pas A-Z — certaines lettres sont exclues). Cet algorithme lettre-de-nombre est spécifique à l'Espagne et n'est pas mis en œuvre dans des outils génériques.
Exemple : DNI 12345678Z — la lettre Z est déterminée par 12345678 mod 23 = position dans la séquence de lettres. Les outils qui détectent des nombres à 8 chiffres sans la validation de la lettre, ou qui valident uniquement le modèle sans le calcul du module, génèrent des faux positifs et des faux négatifs.
NIE (Número de Identificación de Extranjeros) : Format X/Y/Z + 7 chiffres + lettre de contrôle. Le NIE est attribué aux ressortissants étrangers en Espagne à des fins fiscales et administratives. Les trois formats (préfixe X, Y, Z) reflètent différentes périodes d'émission. Le même algorithme de lettre de contrôle s'applique. Le NIE apparaît dans les dossiers d'emploi, les contrats et les documents fiscaux pour la population étrangère significative de l'Espagne.
CIF/NIF empresarial : Le numéro d'identification fiscale de l'entreprise, format 1 lettre + 7 chiffres + caractère de contrôle (chiffre ou lettre). La première lettre indique le type d'entreprise (A=S.A., B=S.L., etc.), et le caractère de contrôle utilise un algorithme différent de celui du DNI/NIE.
Tarjeta Sanitaria Individual : Le numéro de carte de santé national de l'Espagne. Le format varie selon la région — les communautés autonomes espagnoles (Catalogne, Madrid, Andalousie, etc.) utilisent différents formats de carte de santé. Cette fragmentation rend la détection automatisée difficile.
Espagnol latino-américain : Conformité AEPD dans un contexte mondial
La connexion linguistique et historique de l'Espagne avec l'Amérique latine crée une dimension de conformité qui s'étend au-delà des frontières espagnoles. Les organisations ayant des opérations sur les marchés hispanophones ont besoin d'outils PII couvrant :
Mexique : CURP (Clave Única de Registro de Población) — codage alphanumérique de 18 caractères pour la date de naissance, le sexe, l'état de naissance et les initiales du nom. RFC (Registro Federal de Contribuyentes) — identifiant fiscal alphanumérique de 13 caractères pour les individus, 12 pour les entreprises.
Argentine : CUIL (Código Único de Identificación Laboral) — format à 11 chiffres avec un chiffre de contrôle (préfixe + CUIT + contrôle). CUIT (Código Único de Identificación Tributaria) — même format que CUIL. DNI argentin — ID national à 7-8 chiffres.
Chili : RUT (Rol Único Tributario) / RUN — 7-9 chiffres + tiret + chiffre de contrôle (chiffre ou K). Le chiffre de contrôle utilise un algorithme de module-11. Chaque individu et entité commerciale chilienne a un RUT.
Colombie : Cédula de Ciudadanía — ID national de 8-10 chiffres. NIT (Número de Identificación Tributaria) — 9 chiffres + chiffre de contrôle pour les entreprises.
Pour les organisations multinationales servant des marchés hispanophones à travers l'Espagne et l'Amérique latine, la couverture des outils PII des identifiants espagnols de l'UE (DNI, NIE, CIF) et des identifiants nationaux latino-américains (CURP, RUT, CUIL, Cédula) est requise pour la conformité AEPD et la conformité LGPD/DPA locale dans chaque pays.
Focalisation de l'application de l'AEPD en 2024
847 décisions d'application — le plus grand nombre de l'UE — reflètent le volume élevé de plaintes de l'AEPD et une application systématique. Secteurs clés :
Télécommunications et services financiers : 42 % des résolutions de l'AEPD. Vérifications de crédit non autorisées, conservation excessive des données et consentement inadéquat pour le marketing.
Santé et assurance : 22 % des résolutions. Partage de données de santé sans consentement, dé-identification inadéquate pour l'utilisation de la recherche et traitement biométrique pour la gestion des rendez-vous.
Emploi : 19 % des résolutions. Surveillance des employés, filtrage des réseaux sociaux et vidéosurveillance sans notification adéquate.
Systèmes d'IA : Catégorie en croissance — l'AEPD a trouvé plusieurs entreprises espagnoles déployant de l'IA sans DPIA complètes, en violation de l'exigence de DPIA obligatoire du guide de l'IA de l'AEPD.
La détection du DNI/NIE avec validation de la lettre de contrôle, NER en langue espagnole (spaCy es_core_news) et couverture des identifiants latino-américains pour CURP, RUT, CUIL et Cédula représentent les exigences techniques de base pour une conformité complète aux PII en langue espagnole.
Sources :