ALTER VIA Avocats

03 66 72 26 33

Comment sont calculées les amendes issues des manquements au RGPD ? (CEPD - 12/05/2022)

Le 12 mai 2022, le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 04/2022 sur le calcul des amendes dans le cadre du Règlement général sur la protection des données (RGPD - 25/05/2018). Il vient préciser la méthode de calcul, mais aussi les circonstances dans lesquelles il faudra infliger une amende. Cela complète les lignes directrices WP253 qui s’intéressaient déjà à ce sujet.

L’autorité de contrôle calcule elle-même le montant de l’amende en respectant les règles du RGPD, notamment l’article 83§1 qui indique que le montant doit être :

  • Individuel
  • Effectif
  • Proportionné
  • Dissuasif

Le calcul de l’amende se fait au cas par cas en fonction :

  • Des caractéristiques de l’infraction
  • De la nature de l’auteur
Attention : le montant de l’amende infligée ne doit pas excéder le maximum légal applicable indiqué à l’article 83 § 4 à 6 (10 ou 20 millions d’euros en fonction des obligations qui ont été violées). Cependant, il n’est pas prévu de montant minimum.

Le RGPD a substantiellement augmenté le niveau d’amendes et a prévu une harmonisation de ces amendes entre les Etats membres. Il s’agit d’une harmonisation relative au point de départ et à la méthodologie utilisée lors du calcul du montant de l’amende, et non pas d’une harmonisation sur le résultat.

Le calcul du montant des amendes

Pour calculer le montant d’une amende, l’autorité de contrôle concernée doit mettre en balance tous les éléments mentionnés à l’article 83§2 du RGPD :

  • Nature, gravité et durée de la violation
  • Violation délibérée ou par négligence
  • Mesures prises par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi
  • Degré de responsabilité du responsable de traitement ou du sous-traitant
  • Précédentes violations pertinentes commises par le responsable de traitement ou le sous-traitant
  • Degré de coopération entre l’organisme et l’autorité de contrôle pour mettre un terme à la violation
  • Catégories de données personnelles concernées
  • Manière dont l’autorité de contrôle a eu connaissance de la violation (notification ou non)
  • Mesures de l’article 58§2 du RGPD ordonnées ou non à l’encontre du responsable de traitement ou du sous-traitant pour le même objet
  • L’application de codes de conduite approuvés en application de l’article 40 du RGPD ou de mécanismes de certification approuvés en application de l’article 42 du RGPD
  • Toute autre circonstance aggravante ou atténuante applicable au cas de l’espèce

Le CEPD a établi une méthode de calcul des amendes administratives en cas d’infraction au RGPD. Cette méthode se compose de cinq étapes :

  1. Identifier les opérations de traitement et vérifier si l’article 83§3 du RGPD (plafond issu de la violation la plus grave) est applicable.
  2. Trouver le point de départ du calcul basé sur
    a) La classification prévue à l’article 83§4 à 6 du RGPD ;
    b) La gravité de l’infraction ;
    c) Le chiffre d’affaires de l’entreprise.
  3. Evaluer les circonstances aggravantes ou atténuantes (passées ou présentes) pour adapter l’amende.
  4. Identifier les maximums légaux pertinents pour les différentes opérations de traitement.
  5. Analyser si les exigences d’effectivité, de dissuasion et de proportionnalité sont satisfaites. A défaut, il faudra adapter l’amende en conséquence.
Attention : parfois, il est possible que l’autorité de contrôle applique un montant prédéterminé d’amende fixe pour certains types d’infractions, en fonction de leur nature, gravité et durée. Cependant, ce procédé est impossible dès lors qu’il est interdit ou contraire au droit national de l’Etat membre. De plus, même dans le cas de l’application d’une amende à montant fixe, les autorités de contrôle seront soumises à l’obligation de se conformer à la coopération et à la cohérence.

Parfois, plusieurs infractions sont sanctionnables ensemble, mais dans certains cas, il est possible qu’elles soient sanctionnables séparément.

On distingue alors 3 catégories :

  • Concours d’infractions
  • Unité d’action (unité de traitement) : infractions multiples nées des mêmes opérations de traitement ou d’opérations de traitement liées.
  • Pluralité des actions

Il convient donc d’établir :

  • Si les circonstances doivent être considérées comme un ou plusieurs comportements sanctionnables. S’il s’agit de multiples comportements sanctionnables, l’auteur a donc commis plusieurs infractions, qui pourront être sanctionnées par une même décision d’amende ou dans des décisions distinctes. Le montant total de l’amende d’administrative infligée pourra dépasser le montant prévu pour l’infraction la plus grave ;
  • Dans le cas d’un comportement unique, s’il donne lieu ou non à une ou plusieurs infractions. Dans ce dernier cas, le montant total de l’amende administrative ne doit pas dépasser le montant prévu pour l’infraction la plus grave ;
  • Dans le cas d’infractions multiples, si l’attribution d’une infraction empêche l’attribution d’une autre, l’amende sera calculée uniquement en fonction de l’infraction attribuée, ou si elles peuvent être attribuées ensemble, l’amende est calculée en fonction de toutes les infractions sans dépasser le maximum légal.

En cas de concordance d’infractions, le montant de l’amende ne sera calculé que sur la base de l’information sélectionnée selon le principe de spécialité (la disposition spécifique déroge à la disposition générale), de subsidiarité (deux infractions ont le même objectif, mais l’une d’entre elle est moins répréhensible par exemple) ou de consommation (une infraction est une étape préliminaire à l’autre).

Le point de départ du calcul de l’amende

Selon le CEPD, le calcul des amendes administratives doit commencer à partir d’un point de départ harmonisé. Il considère alors trois éléments pour constituer le point de départ d’un calcul ultérieur :

La catégorisation des infractions par nature :

le RGPD prévoit deux catégories d’infractions, celles de l’article 83§4 du RGPD (amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires annuel de l’entreprise) et celles de l’article 83§5 et 6 du RGPD (amende maximale de 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise). C’est le montant le plus élevé qui est retenu.

La gravité de l’infraction dans chaque cas individuel :

a) Nature, gravité (nature, étendue, finalité du traitement, nombre de personnes concernées et niveau de préjudice) et durée de l’infraction
b) Caractère intentionnel ou négligent (évalué en fonction des éléments objectifs du comportement tirés des faits de l’affaire)
c) Catégories de données personnelles concernées (en fonction de leur nombre et de leur degré de sensibilité)
d) Qualification de la gravité de l’infraction et identification du montant de départ approprié : faible (montant de départ entre 0 et 10 % du maximum légal applicable), moyenne (entre 10 et 20 % du maximum légal applicable) ou élevée (entre 20 et 100 % du maximum légal applicable)

Le chiffre d’affaires de l’entreprise (principe de proportionnalité) :

  • Chiffre d’affaires annuel ≤ à 2 millions d’euros : calcul sur la base d’une somme descendant jusqu’à 0,2 % du montant de départ identifié
  • Chiffre d’affaires annuel ≤ à 10 millions d’euros  : calcul sur la base d’une somme descendant jusqu’à 0,4 % du montant de départ identifié
  • Chiffre d’affaires annuel ≤ à 50 millions d’euros  : calcul sur la base d’une somme allant jusqu’à 2 % du montant de départ identifié
  • Chiffre d’affaires annuel < à 100 millions d’euros : calcul sur la base d’un montant d’une somme inférieure à 10 % du montant de départ identifié
  • Chiffre d’affaires annuel < à 250 millions d’euros : calcul sur la base d’un montant d’une somme inférieure à 20 % du montant de départ identifié
  • Chiffre d’affaires annuel ≥ à 250 millions d’euros : calcul sur la base d’un montant d’une somme inférieure à 50 % du montant de départ identifié

Les circonstances atténuantes

L’évaluation de ces facteurs se fait à l’aide de tableaux ou de pourcentages prédéterminés. Il existe plusieurs potentielles circonstances atténuantes telles que :

1) Les mesures prises par le responsable de traitement ou le sous-traitant en réaction au dommage subi

L’article 83§2 c) du RGPD indique que le calcul du montant de l’amende tient compte des mesures prises par le responsable de traitement ou le sous-traitant pour atténuer le préjudice subi par les personnes concernées. Cela peut donc permettre de diminuer le montant de l’amende, à condition que les mesures mises en œuvre aient été spontanées au regard de l’infraction en cause.

Attention : la circonstance atténuante ne sera pas retenue si les mesures interviennent après l’ouverture de l’enquête de l’autorité de contrôle.

L’autorité de contrôle va alors évaluer le degré de robustesse des mesures adoptées (prouvées dans toute documentation pertinente) par rapport à différents critères :

  • Le risque résiduel pour les libertés et les droits des personnes concernées
  • La détérioration causée
  • Le préjudice persistant après l’adoption des mesures par le responsable de traitement
  • Le caractère identifiable et/ou disponible sans protection technique des données en question

Cependant, même si le responsable de traitement ou le sous-traitant a mis en place des mesures de protection importantes, la circonstance atténuante ne sera retenue qu’en fonction des circonstances de l’affaire.

2) La coopération avec l’autorité de contrôle

Une autre circonstance atténuante peut être constituée en évaluant le degré de coopération du responsable de traitement ou du sous-traitant avec l’autorité de contrôle. En effet, plus il coopère avec l’autorité de contrôle afin de remédier à l’infraction et d’atténuer les potentiels effets négatifs de l’infraction, plus la circonstance atténuante est susceptible d’être caractérisée pour diminuer le montant de l’amende.

3) Les circonstances de la prise de connaissance de l’infraction

L’autorité de contrôle peut aussi tenir compte de la manière dont l’infraction a été portée à sa connaissance. Ce critère peut constituer une circonstance atténuante dans le cas où le responsable de traitement ou le sous-traitant notifie l’infraction d’office, avant même que l’autorité de contrôle n’en ai eu connaissance.

4) L’adhésion à des codes de conduite approuvés ou à des mécanismes de certification approuvés

Il est question de mécanismes permettant à l’organisme d’effectuer un contrôle obligatoire du respect des dispositions du RGPD, qui constitue alors une “autorégulation”.

Attention : si l’infraction résulte directement du non-respect des codes de conduite, il est possible que l’autorité de contrôle retienne la caractérisation de circonstance aggravante.

Les circonstances aggravantes

A la différence des circonstances atténuantes, les circonstances aggravantes vont influencer à la hausse le montant des amendes.

1) La commission d’infractions antérieures

Si le responsable de traitement ou le sous-traitant a commis des infractions antérieures à celle en cause, elles seront prises en compte lors du calcul du montant de l’amende et pourront être considérées comme une circonstance aggravante. Il sera alors tenu compte de l’ancienneté de l’infraction antérieure, mais aussi du délai de prescription à l’issue duquel il n’est plus possible de prendre en compte une infraction antérieure. De plus, seules les infractions « pertinentes » seront prises en compte, c’est-à-dire des infractions portant sur le même objet ou sur un objet différent, mais commises de la même manière.

Attention : l’absence d’infraction antérieure n’est pas considérée comme une circonstance atténuante, mais comme un facteur neutre.

2) Le degré de responsabilité du responsable du traitement ou du sous-traitant

Lorsqu’aucune mesure de protection suffisante n’est mise en place par l’organisme ou dans le cas où les données en cause étaient clairement identifiables/disponibles, l’autorité de contrôle est susceptible de retenir ces éléments pour constituer une circonstance aggravante.

3) L’absence de coopération avec l’autorité de contrôle

La coopération du responsable de traitement ou du sous-traitant est rendue obligatoire par l’article 31 du RGPD. En cas de non-respect de ce devoir, l’amende applicable pourra être celle prévue à l’article 83§4 a) du RGPD, à savoir une amende administrative d’un montant pouvant aller jusqu’à : 10 000 000 euros (montant maximum statique) ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (montant maximum dynamique), le montant le plus élevé étant retenu.

4) La violation des obligations énoncées à l’article 83§ 5 et 6 du RGPD

A cet article, le montant de l’amende prévu est plus élevé encore que celui prévu à l’article 83§4 du RGPD. En effet, en cas de violation de l’une des obligations énoncées à l’article 83§5 et 6 du RGPD tel que le non-respect d’une injonction émise par l’autorité de contrôle, l’amende peut s’élever jusqu’à 20 000 000 d’euros (montant maximum statique) ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (montant maximum dynamique), le montant le plus élevé étant retenu.

Responsabilité des entreprises

La société mère sera responsable de l’action de sa filiale si cette dernière prouve que la société mère exerce une influence déterminante sur elle (ex : si la société mère détient 100 % ou presque des actions de sa filiale, l’influence déterminante sera présumée, cependant, il s’agit d’une présomption simple).

Lien : https://www.cnil.fr/fr/le-cepd-publie-des-lignes-directrices-sur-le-calcul-des-amendes-rgpd-et-sur-lutilisation-de-la

Marie BREYNE, juriste
Raphaël RAULT, avocat associé