Échelle de sanctions RGPD

Comment les autorités de contrôle devraient-elles
déterminer le montant de leurs amendes ?

 

Si le Règlement Général sur la Protection des Données (RGPD) fournit aux autorités de contrôle des indications sur la manière de fixer le montant des amendes administratives qu’elles infligent, leur évaluation et leur justification relèvent in fine de leur seule discrétion.

Pour rappel, ces amendes constituent l’une des mesures correctrices pouvant être prononcées par les autorités de contrôle, à la place ou en complément d’un avertissement, d’un rappel à l’ordre, d’une injonction de se conformer à la législation en vigueur dans un délai déterminé, du retrait d’une certification, voire d’une limitation ou interdiction temporaire ou définitive d’un traitement.

Afin d’harmoniser les différentes pratiques des autorités régulatrices des Etats membres de l’Union Européenne et d’éclaircir ces calculs quelque peu obscurs, le Comité Européen de la Protection des Données[1] (CEPD) a récemment publié ses lignes directrices sur le sujet[2].

Elle a ainsi établi une méthodologie destinée à calculer le montant de ces amendes en tenant compte des circonstances de chaque affaire. Cette marche à suivre est divisée en 5 étapes clés.

Identifier les comportements susceptibles d’être sanctionnés par une amende

 

L’autorité de contrôle doit d’abord clairement pointer du doigt les manquements pouvant être reprochés au responsable de traitement.

Si plusieurs manquements sont constatés, l’autorité devra décider si ceux-ci forment un tout, c’est-à-dire s’il existe une unité de temps, d’auteur et d’intention entre eux, ou s’il s’agit d’infractions distinctes.

Cette question est fondamentale car si les violations sont considérées comme liées, le RGPD prévoit que le montant total de l’amende ne pourra pas excéder le seuil maximal fixé pour la violation la plus grave retenue. Dans le cas contraire, chacune des violations pourra être sanctionnée par une amende.

 

Exemple : une entreprise a recours à un centre d’appel pour effectuer une étude de marché. Elle n’analyse pas, avant de signer un contrat avec cette société, sa capacité à protéger les données personnelles des clients qui lui sont confiées (1). Elle n’inscrit pas non plus les références de ce centre dans son registre des activités de traitement (2).

Ces deux violations peuvent être jugées comme faisant partie d’une même opération.

A l’inverse, une entreprise recueille les données personnelles de ses clients afin d’alimenter ses bases de données. Elle ne fournit pas à ces derniers les informations obligatoires concernant cette collecte de données (1). Elle refuse également, par souci d’économies, d’adopter toutes les mesures de sécurité requises pour assurer la protection de ces données, une fois obtenues (2). Victime d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés de ses clients, l’organisme s’abstient de notifier l’autorité compétente de cet événement (3).

Ces trois manquements constituent des violations distinctes, réalisées dans des contextes différents, et pouvant chacune être punie d’une amende.

Effectuer une première appréciation du montant de l’amende, selon les critères listés à l’article 83 du RGPD

 

Les textes n’assortissent pas la violation de chaque disposition spécifique du RGPD à une sanction précise. Pour déterminer le montant de l’amende qu’elle envisage de prononcer, l’autorité de contrôle se doit donc d’examiner les conditions dans lesquelles les manquements à la législation en vigueur en matière de protection des données sont intervenus.

Pour ce faire, elle doit notamment prendre en compte :

  • La nature de l’infraction

Comme nous le verrons plus tard, le RGPD distingue lui-même deux types d’infraction. Cette différenciation peut constituer une première indication du sérieux de la violation.

  •  La gravité de l’infraction

Cette gravité des manquements constatés dépend, entre autres :

① De la nature du traitement

L’autorité compétente enquêtera sur le contexte dans lequel le traitement de données litigieux est mis en œuvre (dans le cadre d’une activité lucrative ou non, d’une collectivité ou d’une entreprise privée, d’un parti politique…) ainsi que sur les enjeux induits par ce traitement.

Exemple : la décision de l’autorité de contrôle sera plus sévère si le traitement a pour objet d’évaluer le comportement de certaines personnes en vue de prendre des décisions les concernant, plutôt que s’il était utilisé en interne, sans incidence sur des tiers.

② De l’étendue du traitement : d’envergure local, national ou international

③ Des motifs du traitement : s’il entre ou non dans les activités principales de l’organisme

④ Du nombre de personnes concrètement, mais aussi potentiellement touchées

Des violations systémiques et structurelles du RGPD seront ainsi, en principe, punies plus sévèrement.

⑤ De l’ampleur des préjudices subis par les personnes concernées

Les autorités régulatrices sont invitées à tenir compte non seulement du nombre de victimes de l’infraction, mais aussi de la nature du dommage subi ou redouté (physique ou matériel / temporaire ou définitif…).

⑥ Des données touchées

De la même manière, le nombre et les catégories des données touchées influenceront la décision de l’autorité de contrôle.

La gravité de l’infraction est accrue lorsque le traitement en cause porte sur des données dites sensibles (de santé, pénales, syndicales, à connotation sexuelle, portant sur les convictions religieuses/politiques/philosophiques ou sur les origines de l’intéressé…), mais aussi sur des données susceptibles de porter atteintes aux droits et libertés des personnes concernées (numéro de sécurité sociale, localisation, données bancaires ou fiscales…).

⑦ De la durée de la violation

⑧ De l’intention du responsable de traitement

L’autorité de contrôle se montrera plus autoritaire à l’égard des infractions commises délibérément[3] que celles réalisées par négligence.

En fonction de tous ces éléments, le CEPD estime que les amendes prononcées par les autorités de contrôle devraient être comprises :

  • Entre 0 et 10 % du montant légal maximal encouru pour les violations de faible gravité ( infra) ;
  • Entre 10 et 20 % du montant légal maximal encouru pour les violations de gravité modérée ;
  • Entre 20 et 100 % du montant légal maximal encouru pour les violations graves.
  • Le chiffre d’affaires de l’entreprise

Le montant de l’amende encourue sera apprécié en fonction du montant du chiffre d’affaires mondial annuel total de l’exercice précédent de l’entreprise.

Adapter le montant obtenu en fonction d’éventuelles circonstances aggravantes ou atténuantes

 

L’autorité de contrôle peut minorer ou augmenter le montant de l’amende obtenu en analysant les circonstances dans lesquelles l’infraction a été commise. Elle peut notamment modifier ce quantum selon :

  • Les actions prises spontanément par le responsable de traitement, avant l’intervention de l’autorité de contrôle, pour minimiser les dommages subis par les personnes concernées ;
  • Le degré de responsabilité du responsable de traitement, compte tenu des mesures techniques et organisationnelles qu’il a mis en œuvre ;
  • Les éventuelles précédentes violations du responsable de traitement ou, à l’inverse, le respect de mesures précédemment ordonnées pour assurer la conformité du responsable de traitement ;
  • Le degré de coopération avec l’autorité de contrôle, en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

Pour rappel, il pèse sur les responsables de traitement une obligation générale de coopérer avec les autorités de contrôles (art. 31 RGPD). Cette collaboration ne constituera donc une circonstance atténuante que si les actions de l’organisme excèdent la simple exécution des demandes de l’autorité compétente.

A l’inverse, le fait de refuser de coopérer avec les autorités de contrôle ne constitue pas seulement une circonstance aggravante, mais bien une violation supplémentaire des obligations légales incombant au responsable de traitement.

  • La manière dont la violation a été portée à la connaissance de l’autorité de contrôle ;

De la même façon, les responsables de traitement sont parfois tenus de notifier les autorités de contrôle de certains événements. Tel est par exemple le cas en présence d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Par conséquent, seule une information spontanée de l’autorité régulatrice et non une contrainte par la loi, pourra être considérée comme une circonstance atténuante.

  • L’adhésion à un code de conduite ou à un mécanisme de certification.

Cette liste est non exhaustive. D’autres circonstances aggravantes ou atténuantes peuvent être retenues.

Exemple : le gain direct ou indirect procuré par la violation de la législation applicable en matière de protection des données au responsable de traitement.

Chacun des éléments permettant d’évaluer la gravité de l’infraction ou la responsabilité de l’organisme ne peut être pris en considération qu’une seule fois par l’autorité de contrôle.

Exemple : le fait que le traitement porte sur des données sensibles ne saurait en principe servir à qualifier et la gravité de l’infraction (étape 2), et être présenté comme une circonstance aggravante (étape 3).

Déterminer les plafonds légaux des amendes encourues

 

Si la loi ne prévoit pas de montant minimal de l’amende, le RGPD prévoit des seuils à ne pas dépasser. Il y a lieu de distinguer deux catégories d’infractions :

 

Ajuster le montant final obtenu afin qu’il réponde aux exigences d’efficacité, de dissuasion et de proportionnalité

 

Avant de valider le montant de l’amende qu’elle estime devoir prononcer, l’autorité de contrôle devra vérifier que celui-ci est approprié et nécessaire pour atteindre les objectifs qu’elle poursuit, à savoir protéger les personnes physiques à l’égard des traitements de leurs données à caractère personnel et encadrer les conditions de circulation de ces données.

***

Toute l’activité de l’organisme et toutes ses démarches de conformité sont donc passées au crible par les autorités de contrôle lors de leur enquête. Le montant des amendes susceptibles d’être prononcées à l’issue de ces investigations peut s’avérer particulièrement élevé. Ces sanctions pécuniaires peuvent dès lors affecter profondément l’équilibre budgétaire de l’entité condamnée.

Puisque, en matière de protection des données, chaque détail compte, il est recommandé de vous faire accompagner dans vos efforts par des professionnels aguerris, à l’écoute de vos besoins et de vos contraintes.

 

[1] Le Comité Européen de la Protection des Données (CEPD) est un organe européen indépendant institué par le RGPD, et qui a pour mission de contribuer à l’application cohérente des règles en matière de protection des données au sein de l’Union Européenne.

[2] Ces lignes directrices sont disponibles dans leur intégralité à l’adresse suivante (uniquement en anglais) : https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

[3] L’infraction est considérée comme délibérée lorsque le responsable de traitement avait non seulement conscience qu’il manquait à ses obligations légales, mais s’est maintenu volontairement et en toute connaissance de cause dans cette illégalité.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.