AEPD vs AENA: 10,043,002 € pour une AIPD déficiente (art. 35 RGPD)

Résumé — Le 4 mars 2026, l’AEPD a publié au BOE une amende de 10 043 002 € contre AENA pour une analyse d’impact (AIPD) non conforme sur un embarquement biométrique. Enseignement clé: une AIPD «pro forma» vaut défaut d’AIPD. Source: BOE-A-2026-6543, AEPD – PS-00431-2024.

L’affaire

Le gestionnaire aéroportuaire AENA, S.M.E., S.A. a été sanctionné pour manquement à l’article 35 du RGPD (AIPD) dans le cadre de projets d’embarquement biométrique. Le montant exact — 10 043 002 € — figure dans la résolution publiée au Boletín Oficial del Estado (BOE) du 20 mars 2026, qui récapitule les sanctions de l’AEPD supérieures à 1 M€ et identifie l’infraction à l’article 35 RGPD. Voir l’«Anexo» mentionnant AENA et l’article 35 RGPD. Sources officielles: BOE-A-2026-6543; décision détaillée AEPD – PS-00431-2024 (PDF).

La décision (Expediente EXP202304532, «PS-00431-2024») relève une AIPD insuffisante: analyse lacunaire de la nécessité/proportionnalité, non-respect des exigences minimales de l’article 35(7), évaluation incomplète des risques spécifiques aux gabarits biométriques et mesures de sécurité inadaptées (art. 32). Voir «Hechos probados» et «Fundamentos de Derecho», en particulier chap. IV et le point «1.- Incumplimiento de las obligaciones contenidas en el art. 35.7 del RGPD».

AENA a indiqué contester la décision, soutenant avoir réalisé des AIPD avant les pilotes, sans remettre en cause à ce stade les constats juridiques publiés par l’autorité. Communiqué: AENA.

Le raisonnement juridique

• Base légale et champ — L’AIPD est obligatoire «lorsqu’un type de traitement […] est susceptible d’engendrer un risque élevé» (art. 35(1)), et a fortiori pour certains traitements listés (art. 35(4)). Son contenu minimal (art. 35(7)) inclut: description du traitement et des finalités, analyse de nécessité/proportionnalité, appréciation des risques pour les droits et libertés, et mesures d’atténuation.
• Orientation CEPD/EDPB — Les Lignes directrices WP29/CEPD sur l’AIPD (WP248 rev.01), endossées par l’EDPB, listent 9 critères de «risque élevé» (surveillance systématique, données biométriques à grande échelle, technologies innovantes, etc.) et exigent une analyse argumentée et traçable. Sources: EDPB – Endorsed WP29 Guidelines; EDPB – DPIA topic.
• Application par l’AEPD — Dans PS-00431-2024, l’autorité reproche à l’AIPD d’AENA de ne pas démontrer suffisamment: 1) la nécessité et proportionnalité du dispositif biométrique au regard des finalités (fluidité, sécurité) malgré des alternatives moins intrusives; 2) l’analyse des risques propres aux gabarits biométriques (sensibilité, irrévocabilité); 3) l’adéquation des mesures de sécurité (art. 32) face au risque résiduel; 4) le respect des exigences de contenu de l’art. 35(7) RGPD.
• Résonance luxembourgeoise (CNPD) — La CNPD publie une «liste art. 35(4)»: les traitements biométriques aux fins d’identification, combinés à d’autres critères CEPD (grande échelle, surveillance d’espaces publics, nouvelles technologies), déclenchent l’AIPD et, si le risque résiduel demeure élevé, une consultation préalable (art. 36). Sources: Liste AIPD obligatoire – CNPD; AIPD & consultation préalable – CNPD.

Ce que ça change concrètement

• AIPD bâclée = absence d’AIPD. Le formalisme ne suffit pas: la nécessité/proportionnalité et la comparaison d’alternatives moins intrusives doivent être documentées, argumentées et actualisées. Un mandat DPO peut structurer cette exigence.
• Projets biométriques (embarquement, contrôle d’accès, pointage, prévention de fraude, KYC): cumul de critères CEPD, AIPD quasi systématique dès le cadrage, avec preuve écrite du raisonnement. Pour le contexte local, voir RGPD Luxembourg et conformité CNPD.
• Risque résiduel élevé: si l’AIPD le conclut, la consultation préalable auprès de l’autorité s’impose avant production (art. 36). La CNPD prévoit cette saisine (adresse dédiée, dossier AIPD): CNPD – AIPD.

Exemples d’application immédiate au Luxembourg

• Aéroports/transport: embarquement biométrique, contrôle d’accès airside, parcours «sans papier»; AIPD obligatoire, analyse de proportionnalité, droits effectifs (opt-in réel, voie alternative sans friction).
• Banques/assurances: onboarding biométrique (reconnaissance faciale vs OTP + vérification documentaire), détection de fraude en agence; AIPD, évaluation des faux positifs/erreurs et minimisation.
• Retail/immobilier: accès VIP/parkings via biométrie; démontrer la nécessité vs badges ou QR codes.
• Secteur public/santé: gestion de flux en espaces semi-publics; forte exigence AIPD et mesures renforcées (art. 9 + 32). Pour l’IA ou capteurs intelligents, envisager une gouvernance conforme à l’AI Act avec un appui IA conforme.

Pièges fréquents

1. Confondre «consentement» et «nécessité/proportionnalité». Même avec consentement, il faut démontrer l’absence d’alternative moins intrusive. Relevé par l’AEPD: PS-00431-2024.
2. AIPD trop descriptive, pas assez évaluative: sans quantification des risques, scénarios d’attaque ni matrice risques/mesures, non‑conformité à l’art. 35(7). Voir WP248 rev.01.
3. Oublier la «double clef» biométrie + autre critère: combinaison fréquente sur la liste CNPD, déclenchant quasi automatiquement l’AIPD.
4. Alternative non équivalente: une voie théorique mais dissuasive pèse contre la proportionnalité.
5. Pilote sans AIPD préalable ni mises à jour: l’AIPD doit précéder le traitement et être révisée en cas de changement; à défaut, risque de mise en demeure ou amende. Référence: BOE – 4 mars 2026.

À retenir

Pour tout projet biométrique, IA ou capteurs intelligents au Luxembourg, partez d’une matrice de nécessité/proportionnalité et d’une AIPD complète, traçable et actualisée, calée sur WP248 et la liste CNPD — et consultez la CNPD si un risque résiduel élevé subsiste. En 2026, «faire une AIPD» est une démonstration robuste et auditable, sous peine de sanctions à huit chiffres.

Besoin d’appui opérationnel et réglementaire? Contactez-nous via notre page contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.