2. Opinions

  3. Tribunes

Connaissez à l'avance votre amende RGPD

Par Francis Hayen et Charles Cuvelliez (*)  |   |  1234  mots
(Crédits : DR)
OPINION. L'EDPB (European Data Protection Board) qui regroupe les CNIL européennes a édicté quelques principes pour fixer les amendes en cas d'infractions. Mais le système s'avère plus complexe que les amendes routières. (*) Par Francis Hayen, Belfius Banque, et Charles Cuvelliez, Université de Bruxelles et Belfius Banque.

Si vous vous demandiez comment le montant des amendes pour non-respect du RGPD étaient fixées, à voir les listes régulières qui les énumèrent, publiées à intervalles réguliers, les lignes directrices de l'EDPB (European Data Protection Board) qui regroupe les CNIL européennes vont vous aider. Le RGPD prévoit quelques principes : le montant de l'amende doit être proportionnel, efficace et dissuasif. Le montant dépendra aussi du type d'infraction, sous toutes ses formes. Nous voilà bien avancés. C'est vrai que les amendes RPGD n'ont pas un montant fixé à l'avance comme les amendes routières même si ce n'est pas formellement interdit par le RGPD.

Il faut d'abord établir si on a à faire à un ou plusieurs comportements anti-RGPD à sanctionner. Et dans le cas d'un seul comportement sanctionnable, y a-t-il plusieurs infractions (qui peuvent être chacune la conséquence des autres ou non) ou une seule infraction. Par comportement, il faut entendre une série d'actions qui forment un tout, comme la collecte et le stockage de données sans autorisation pour ensuite l'exploiter même si elles sont exploitées de manières diverses. L'unicité d'action prévaut. Ceci n'empêche pas un comportement unique de contenir plusieurs infractions si plusieurs dispositions du RGPD sont concernées mais si une infraction doit forcément en précéder une autre pour que cette dernière ait lieu, il faut en tenir compte. Il y a aussi le principe de subsidiarité : une infraction est-elle subsidiaire à l'autre ou non. Toutes ces circonstances peuvent amener à des amendes séparées, groupées ou à une amende unique.

On l'oublie mais il y a deux montants maximums pour les amendes RGPD d'ailleurs : 10 millions d'euros maximum ou 2 % du chiffre d'affaires, plutôt liées à une mauvaise organisation du RGPD sur place, dans l'entreprise ou 4 % du chiffre d'affaires ou 20 millions d'euros du chiffre d'affaires quand cela craint.

La gravité de l'infraction

La gravité de l'infraction doit ensuite être évaluée ainsi que la durée, en tenant compte de la nature, de l'étendue et du but du traitement de données qui a eu lieu. Le dommage subi par les personnes concernées interviendra aussi. Bien sûr, le caractère intentionnel ou négligent qui entoure l'infraction jouera aussi. La gravité dépendra de la nature du traitement : était-elle de nature commerciale ou pour une bonne cause ou émanant d'un parti politique. Quand le traitement possédait intrinsèquement plus de risques, c'est un facteur aggravant. L'étendue du traitement va aussi intervenir : est-il local, national ou international. Plus le traitement est à large échelle, plus il sera difficile, dit l'EDPB pour la personne et l'autorité de protection des données d'intervenir et de l'infléchir, à son échelle.

Le but du traitement importe aussi : est-il dans le core business de l'entreprise. Si c'est le cas, elle a moins d'excuses dit l'EDPB. Bien sûr le nombre de personnes concernées intervient aussi ainsi que le dommage infligé aux personnes dont les données ont été malmenées par le non-respect du RGPD. La durée de l'infraction est un facteur aggravant et on peut même, dit l'EDPB, considérer la durée avant que le RGPD ne soit d'application légale (avant mai 2018).

Était-ce intentionnel?

Le caractère intentionnel consiste à considérer qu'il y avait connaissance et volonté d'agir en infraction du RGPD. La négligence n'est pas aussi grave que le caractère intentionnel toutefois et peut même ne pas être pris en considération.

Tout dépendra aussi des catégories de données affectées : et de citer comme données, des données de géolocalisation, des communications privées, les numéros d'identification national ou des données financières, cartes de crédit. Leur dissémination est de nature à porter un préjudice immédiat. La quantité de données qui aura fuité par personne est aussi un facteur aggravant.

Tout ce qui précède doit servir, dit l'EDPB, à caractériser la gravité de l'infraction dans une des trois catégories de gravité, basse, moyenne ou sérieuse ce qui donne lieu à un point de départ pour l'amende, entre 0 et 10 % du montant maximum, entre 10 % et 20 % et entre 20 % et 100 %.

Vient ensuite la question du chiffre d'affaires comme base « imposable » pour l'amende. C'est là que l'EDPB revient aux fondamentaux : le montant de l'amende doit être efficace, proportionnel et surtout dissuasif. Et de faire une distinction entre différentes catégories d'entreprise selon leur chiffre d'affaires, inférieur à 2 millions d'euros, à 10 millions d'euros, 50 millions d'euros. Ce n'est pas la peine de s'acharner. Plus le chiffre d'affaires est élevé, plus le montant de départ pour l'amende, on va dire le montant minimum, sera élevé.

Facteurs aggravants et circonstances atténuantes

Après il y a les facteurs aggravants ou les circonstances atténuantes. Y avait-il des mesures pour atténuer le dommage aux personnes affectées par une brèche de données si elle a eu lieu. Le data controller ou processor a-t-il pris les mesures de protection par design ou par défaut pour protéger les données, le traitement était-il sûr ? Ceci influencera son niveau de responsabilité.

Evidemment, si l'entreprise a été déjà condamnées dans le passé pour mauvais traitement de données, cela interviendra. Plus c'était loin dans le passé, moins grave c'est. Si la condamnation a eu lieu dans les mêmes matières, c'est aussi une mauvaise chose. Plus étonnant, si ce sont d'autres autorités que celles relatives à la protection des données qui ont condamné les pratiques de l'entreprise, cela doit être pris en compte. Si l'entreprise a coopéré avec les autorités, si l'infraction a été déclarée ou découverte par les autorités, tout cela va aussi intervenir dit l'EDPB. S'agit d'une plainte, d'une déclaration ou d'une inspection ? L'adhésion à des codes de conduite ou avoir une certification peuvent être des facteurs atténuants. L'entreprise pourrait d'ailleurs être exclue de la communauté sous-jacente au code de conduite ou pire voir sa certification malmenée. Mais cette punition ne doit pas être forcément prise en compte par les autorités de protection des données.

Enfin, il y a d'autres facteurs aggravants comme les gains financiers obtenus de cette infraction. Par contre des circonstances exceptionnelles comme des pandémies qui ont amené à un dérapage peuvent être des facteurs atténuants.

Efficace, dissuasif

Mais on en revient au but de l'amende : elle doit être efficace, c'est-à-dire forcer la compagnie à revenir dans les rails de la conformité, proportionnelle, c'est-à-dire notamment en ligne avec la gravité de la sanction et la taille de l'entreprise qui sera punie, avec un bémol sur la capacité à payer. Si l'entreprise est en difficulté, il faut en tenir compte. L'entreprise peut négocier une réduction de l'amende si elle prouve qu'elle pourrait arrêter ses activités à cause de cela et, enfin, l'amende doit être dissuasive selon qu'il s'agit de montrer l'exemple aux autres entreprises qui seraient tentées de prendre les mêmes libertés avec le RGPD pour faire de même, vérifier chez elles que tout est en ordre face à ce cas-là ou uniquement pour l'entreprise à question.

__________

Pour en savoir plus:

Guidelines 04/2022 on the calculation of administrative fines under the GDPR Version 1.0,  Adopted on 12 May 2022, European Data Protection Board.