testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Espagne : sanction du Département de la politique sociale et de l’égalité pour absence d’accord de co-responsabilité

Le 17 novembre 2025, l’Autorité espagnole de protection des données (AEPD) a sanctionné le Département de la politique sociale et de l’égalité pour non-respect de l’article 26 du RGPD, relatif aux situations de responsables conjoints du traitement.
 L’affaire débute par un article de presse révélant que le Département avait transmis les données personnelles des titulaires de la carte de famille nombreuse à l’entreprise GADISA RETAIL S.L.U., qui utilisait ces données pour adresser des chèques-cadeaux.

 

Les faits : une transmission de données sans consentement

Selon la presse, les bénéficiaires de la carte de famille nombreuse ont reçu des chèques-cadeaux envoyés par l’entreprise GADISA RETAIL S.L.U.
 Les données nécessaires à cet envoi provenaient du Département public chargé de la gestion sociale.

Le problème :

  • les personnes concernées n’avaient jamais consenti à cette transmission,

  • et le Département affirmait traiter GADISA comme un simple sous-traitant sur la base d’un accord de 2014.

Mais l’enquête de l’AEPD a montré que cette qualification était inexacte.

Pourquoi il ne s’agissait pas d’une sous-traitance mais d’une co-responsabilité

La distinction est essentielle.
 Un sous-traitant exécute les instructions du responsable du traitement.
 Un responsable conjoint détermine avec un autre acteur les finalités et moyens du traitement.

Après analyse, l’AEPD constate que :

  • le Département et GADISA déterminaient ensemble la finalité du traitement : envoyer des avantages aux familles nombreuses,

  • les deux organisations bénéficiaient de l’opération :

    • le Département pour son programme social,

    • GADISA pour sa stratégie commerciale.

Ils fixaient donc conjointement :

  • les objectifs,

  • l’usage des données,

  • la communication aux bénéficiaires.

Conclusion  ➡️ Les deux entités étaient responsables conjoints du traitement au sens de l’article 26 du RGPD.
 ➡️ Elles auraient donc dû formaliser un accord de co-responsabilité détaillé… ce qui n’a jamais été fait.

Le manquement constaté : absence d’accord conforme à l’article 26 RGPD

L’article 26 impose que :

  • les responsables conjoints définissent de manière transparente leurs obligations respectives,

  • un accord encadre la gestion des droits des personnes,

  • les personnes concernées soient informées du rôle de chaque partie,

  • la transparence soit totale sur la finalité du partage des données.

Rien de tout cela n’avait été réalisé.

L’AEPD considère donc que :

  • les bénéficiaires n’étaient pas correctement informés,

  • la transmission des données n’était pas fondée légalement,

  • la gouvernance du traitement était insuffisante.

La décision : sanction + obligation de mise en conformité

L’AEPD ordonne au Département :

  • d’adopter, dans un délai de six mois, un accord conforme à l’article 26,

  • de clarifier la base juridique de ses pratiques,

  • de garantir la transparence vis-à-vis des citoyens.

GADISA est également impliquée dans cette obligation, puisque la co-responsabilité les concerne tous deux.

Les enseignements pour les organisations publiques et privées

Cette affaire met en lumière une confusion fréquente :
 ➡️ Beaucoup d’organisations pensent avoir un sous-traitant… alors qu’il s’agit en réalité d’un co-responsable.

Les questions clés à se poser :

  • La finalité est-elle définie uniquement par votre organisation ?

  • L’autre acteur bénéficie-t-il aussi du traitement ?

  • Les moyens essentiels sont-ils décidés conjointement ?

  • Le partenaire utilise-t-il les données pour ses propres objectifs ?

Si la réponse à l’une de ces questions est “oui”, alors la relation n’est probablement pas de la sous-traitance.

Pourquoi c’est un enjeu majeur pour les dirigeants

Ne pas identifier correctement la co-responsabilité entraîne :

  • des violations de base juridique,

  • un défaut de transparence,

  • des risques de sanction,

  • une exposition médiatique négative,

  • une perte de confiance du public ou des clients.

Les dirigeants doivent donc être en mesure de cartographier précisément toutes les relations partenaires et déterminer la qualification exacte de chaque acteur.

Conclusion : la co-responsabilité, un mécanisme juridique exigeant mais incontournable

La décision de l’AEPD rappelle que la co-responsabilité n’est pas un concept théorique : c’est une qualification juridique lourde de conséquences.
 Dès lors que deux acteurs déterminent ensemble la finalité d’un traitement, un accord clair, complet et transparent est obligatoire.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»