Le Comité européen de la protection des données (EDPB) a récemment adopté les Lignes directrices 04/2022, un document essentiel qui vise à harmoniser la méthodologie utilisée par les autorités de contrôle lors du calcul des amendes administratives en vertu du Règlement général sur la protection des données (RGPD).
Ces nouvelles lignes directrices viennent compléter les précédentes, qui se concentraient sur les circonstances dans lesquelles une amende devrait être imposée. Elles soulignent que le calcul du montant de l’amende est à la discrétion de l’autorité de contrôle, mais doit respecter les règles établies par le RGPD.
L’objectif principal du RGPD est de garantir que le montant de l’amende soit efficace, proportionné et dissuasif dans chaque cas individuel. Pour atteindre cet objectif, les autorités de contrôle doivent tenir compte d’une liste de circonstances qui se réfèrent aux caractéristiques de l’infraction ou du caractère de l’auteur.
L’EDPB a élaboré une méthodologie en cinq étapes pour le calcul des amendes administratives pour les infractions au RGPD :
- Identification des opérations de traitement : Cette première étape consiste à identifier les opérations de traitement dans le cas et à évaluer l’application de l’article 83(3) du RGPD.
- Détermination du point de départ : Il s’agit d’évaluer la classification de l’infraction dans le RGPD, la gravité de l’infraction à la lumière des circonstances du cas, et le chiffre d’affaires de l’entreprise.
- Évaluation des circonstances aggravantes et atténuantes : Cette étape consiste à évaluer les circonstances aggravantes et atténuantes liées au comportement passé ou présent du contrôleur ou du processeur et à augmenter ou diminuer l’amende en conséquence.
- Identification des maxima légaux : Il s’agit d’identifier les maxima légaux pertinents pour les différentes infractions. Les augmentations appliquées dans les étapes précédentes ou suivantes ne peuvent pas dépasser ce montant maximum.
- Analyse de l’efficacité, de la dissuasivité et de la proportionnalité : Enfin, il faut analyser si le montant final de l’amende calculée répond aux exigences d’efficacité, de dissuasivité et de proportionnalité. L’amende peut encore être ajustée en conséquence, sans toutefois dépasser le maximum légal pertinent.
Ces lignes directrices et leur méthodologie resteront sous l’examen constant de l’EDPB, garantissant ainsi une application cohérente et équitable du RGPD à travers l’Europe.
Exemple Violation de données
Supposons qu’une entreprise de vente en ligne ait subi une violation de données, exposant les informations personnelles de ses clients.
Identification des opérations de traitement : L’autorité de contrôle identifie que l’entreprise a manqué à son obligation de protéger les données personnelles de ses clients.
Détermination du point de départ : L’autorité de contrôle évalue la gravité de l’infraction, qui est considérée comme sérieuse en raison du nombre de clients affectés et de la nature des données exposées. Le chiffre d’affaires de l’entreprise est également pris en compte.
Évaluation des circonstances aggravantes et atténuantes : L’entreprise a rapidement signalé la violation et a pris des mesures pour atténuer les dommages, ce qui est considéré comme une circonstance atténuante. Cependant, l’entreprise avait déjà été avertie de failles de sécurité, ce qui est une circonstance aggravante.
Identification des maxima légaux : Selon le RGPD, l’amende pour ce type d’infraction peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’entreprise, selon le montant le plus élevé.
Analyse de l’efficacité, de la dissuasivité et de la proportionnalité : L’autorité de contrôle détermine le montant final de l’amende en veillant à ce qu’elle soit efficace, dissuasive et proportionnée à la gravité de l’infraction et à la taille de l’entreprise.
Exemple absence de consentement
Une petite entreprise locale utilise des cookies de suivi sur son site web sans obtenir le consentement approprié des utilisateurs.
Identification des opérations de traitement : L’autorité de contrôle identifie que l’entreprise n’a pas obtenu le consentement approprié pour l’utilisation de cookies de suivi.
Détermination du point de départ : L’infraction est considérée comme moins grave que dans l’exemple précédent, car elle concerne moins de personnes et des données moins sensibles. Le chiffre d’affaires de l’entreprise est également plus faible.
Évaluation des circonstances aggravantes et atténuantes : L’entreprise n’avait pas connaissance de l’obligation d’obtenir le consentement pour les cookies, ce qui peut être considéré comme une circonstance atténuante.
Identification des maxima légaux : Pour ce type d’infraction, l’amende peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’entreprise, selon le montant le plus élevé.
Analyse de l’efficacité, de la dissuasivité et de la proportionnalité : L’autorité de contrôle détermine le montant final de l’amende en veillant à ce qu’elle soit efficace, dissuasive et proportionnée à la gravité.
Exemple absence de sensibilisation / formation RGPD
Supposons qu’une entreprise de taille moyenne n’ait pas mis en place de formation ou de sensibilisation au RGPD pour ses employés, ce qui a conduit à une mauvaise gestion des données personnelles et à une violation du RGPD.
- Identification des opérations de traitement : L’autorité de contrôle identifie que l’entreprise n’a pas formé ses employés aux exigences du RGPD, ce qui a conduit à une mauvaise gestion des données personnelles.
- Détermination du point de départ : L’autorité de contrôle évalue la gravité de l’infraction, qui est considérée comme sérieuse en raison du potentiel de dommage pour les personnes dont les données ont été mal gérées. Le chiffre d’affaires de l’entreprise est également pris en compte.
- Évaluation des circonstances aggravantes et atténuantes : L’entreprise n’avait pas mis en place de formation au RGPD pour ses employés, ce qui est une circonstance aggravante. Cependant, une fois informée de la violation, l’entreprise a rapidement pris des mesures pour corriger la situation et mettre en place une formation appropriée, ce qui est une circonstance atténuante.
- Identification des maxima légaux : Selon le RGPD, l’amende pour ce type d’infraction peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’entreprise, selon le montant le plus élevé.
- Analyse de l’efficacité, de la dissuasivité et de la proportionnalité : L’autorité de contrôle détermine le montant final de l’amende en veillant à ce qu’elle soit efficace, dissuasive et proportionnée à la gravité de l’infraction et à la taille de l’entreprise. Étant donné que l’entreprise a pris des mesures correctives, l’amende pourrait être réduite pour refléter ces efforts.