EDSA : Pro­jet de lignes direc­tri­ces pour le cal­cul des amen­des – plus c’est gros, plus c’est cher

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • Les lignes direc­tri­ces de l’ED­SA décri­vent une pro­cé­du­re har­mo­ni­sée en cinq étapes pour le cal­cul des amen­des RGPD, avec un mon­tant de départ, un aju­stem­ent du chif­fre d’af­fai­res et une esti­ma­ti­on finale.
  • Les mon­tants des amen­des aug­men­tent plus que pro­por­ti­on­nel­le­ment avec le chif­fre d’af­fai­res de l’entre­pri­se ; pour les grou­pes, le chif­fre d’af­fai­res con­so­li­dé (noti­on d’entre­pri­se en droit des enten­tes) peut être pris en compte.
  • Les auto­ri­tés con­ser­vent une mar­ge d’ap­pré­cia­ti­on : adap­t­ati­ons, amen­des fixes pour les affai­res de mas­se et pri­se en comp­te de cir­con­stances aggravantes/atténuantes possibles.

Le 12 mai 2022, le Comi­té euro­pé­en de la pro­tec­tion des don­nées (CEPD) a adop­té le rap­port de 40 pages sur la pro­tec­tion des don­nées. Pro­jet de lignes direc­tri­ces sur l’har­mo­ni­sa­ti­on des métho­des uti­li­sées par les auto­ri­tés natio­na­les pour Cal­cul des amen­des adop­té (Lignes direc­tri­ces 04/2022 sur le cal­cul des amen­des admi­ni­stra­ti­ves dans le cad­re du RGPD). Les com­men­tai­res sont accep­tés jus­qu’au 27 juin 2022.

Géné­ra­li­tés

Les amen­des doi­vent être déter­mi­nées en cinq étapes, con­for­mé­ment aux lignes directrices :

La par­tie prin­ci­pa­le des lignes direc­tri­ces con­si­ste en une expli­ca­ti­on de ces cinq étapes. Ce qui appa­raît rapi­de­ment (les exemp­les ci-des­sous à tit­re d’il­lu­stra­ti­on) : Les amen­des dépen­dent for­te­ment de la tail­le de l’entre­pri­se, et ce de maniè­re disproportionnée,

  • par­ce que le cad­re maxi­mal des amen­des aug­men­te en cas de chif­fre d’af­fai­res élevé
  • et que le cad­re des amen­des est éga­le­ment plus for­te­ment exploi­té pour les ent­re­pri­ses à fort chif­fre d’affaires).

En d’aut­res ter­mes : La non-con­for­mi­té tou­che les gran­des ent­re­pri­ses de maniè­re dis­pro­por­ti­onnée.

L’EDSA men­ti­on­ne en out­re que les auto­ri­tés peu­vent pré­voir des amen­des fixes pour cer­tai­nes infrac­tions – sans dou­te pour faci­li­ter les tran­sac­tions de mas­se. Tout de même :

Il est recom­man­dé que l’au­to­ri­té de con­trô­le com­mu­ni­que au pré­alable les mon­tants et les cir­con­stances de la demande.

Étape 1 : Objet du cal­cul de l’amende

Au cours de cet­te étape, il con­vi­ent de déter­mi­ner quel com­porte­ment doit être sanc­tion­né, c’est-à-dire de déter­mi­ner les acti­vi­tés de trai­te­ment per­ti­nen­tes et de déter­mi­ner l’ap­pli­ca­bi­li­té de l’ar­tic­le 83, para­gra­phe 3, du RGPD (con­cours de plu­sieurs violations).

Étape 2 : Déter­mi­na­ti­on du mon­tant de départ

Cet­te étape con­si­ste à déter­mi­ner un mon­tant de départ qui peut ensuite être aug­men­té ou réduit.

L’EDSA part d’a­bord du Cad­re de bus en ver­tu de l’ar­tic­le 83, para­gra­phes 4 à 6, du RGPD (10 mil­li­ons d’eu­ros / 21 TP3T ou 20 mil­li­ons d’eu­ros / 41 TP3T).

Ensuite, la Gra­vi­té de l’in­frac­tion con­for­mé­ment à l’ar­tic­le 83, para­gra­phe 2, points a), b) et g) du RGPD, (notam­ment) en fonc­tion du type, de la gra­vi­té et de la durée de l’in­frac­tion, du type de don­nées, du nombre de per­son­nes con­cer­nées, de l’am­pleur du pré­ju­di­ce, de la fau­te (inten­ti­on­nel­le ou par nég­li­gence – l’in­di­ce d’u­ne inten­ti­on est par exemp­le le non-respect des con­seils du délé­gué à la pro­tec­tion des don­nées ou la vio­la­ti­on de ses pro­pres direc­ti­ves), etc. Le résul­tat est une pre­miè­re caté­go­ri­sa­ti­on du mon­tant de départ, le mon­tant devant éga­le­ment être cal­culé pro­gres­si­ve­ment au sein de ces caté­go­ries en fonc­tion de la gra­vi­té de l’infraction :

  • Fai­ble niveau de gra­vi­té (“Low level of serious­ness”) : Le mon­tant initi­al ne doit pas dépas­ser 10% du mon­tant de l’amende.
  • gra­vi­té moy­enne : 10 – 20%
  • poids éle­vé : 20 – 100%

Ensuite, le Chif­fre d’af­fai­res de l’entre­pri­se car les amen­des doi­vent notam­ment avoir un effet dissua­sif – à cet égard, l’ED­SA pro­po­se les modi­fi­ca­ti­ons suivantes :

  • Chif­fre d’af­fai­res annu­el ≤ EUR 2 mil­li­ons : 0,2% du mon­tant de départ
  • Chif­fre d’af­fai­res annu­el ≤ EUR 10 mil­li­ons : 0,4% du mon­tant de départ
  • Chif­fre d’af­fai­res annu­el ≤ EUR 50 mil­li­ons : 2% du mon­tant de départ
  • Chif­fre d’af­fai­res annu­el EUR 50 – 100 mil­li­ons : 10% du mon­tant de départ
  • Chif­fre d’af­fai­res annu­el EUR 100 – 250 mil­li­ons : 20% du mon­tant de départ
  • Chif­fre d’af­fai­res annu­el ≥ EUR 250 mil­li­ons : 50% du mon­tant de départ

On peut tra­dui­re cet­te logi­que en un Excel com­me cal­cu­la­teur d’a­men­de rudi­men­tai­re de l’image :

Tou­te­fois, les auto­ri­tés de sur­veil­lan­ce ne sont pas tenues de prend­re en comp­te le chif­fre d’af­fai­res de cet­te manière :

68. en règ­le géné­ra­le, plus le chif­fre d’af­fai­res de l’entre­pri­se est éle­vé dans sa caté­go­rie appli­ca­ble, plus le mon­tant de départ est sus­cep­ti­ble d’êt­re éle­vé. Cela est par­ti­cu­liè­re­ment vrai pour les plus gran­des ent­re­pri­ses, pour les­quel­les la caté­go­rie des mon­tants de départ est la plus large.
69. En out­re, le l’au­to­ri­té de con­trô­le n’est pas tenue d’ap­pli­quer cet aju­stem­ent s’il n’est pas néces­saire, du point de vue de l’ef­fi­ca­ci­té, de la dissua­si­on et de la pro­por­ti­on­na­li­té, d’a­ju­ster le mon­tant de départ de la sanction.
70. il con­vi­ent de réaf­firm­er que ces chif­fres sont les points de départ d’un cal­cul ulté­ri­eur, et non des mon­tants fixes (éti­quet­tes de prix) pour les vio­la­ti­ons des dis­po­si­ti­ons du GDPR. L’au­to­ri­té de con­trô­le a le pou­voir d’uti­li­ser la gam­me com­plè­te de sanc­tions à par­tir de n’im­por­te quel­le sanc­tion mini­ma­le. jus­qu’au maxi­mum légalLa Cour de justi­ce exi­ge que la pei­ne soit adap­tée aux cir­con­stances de l’af­fai­re dans le cas où un point de départ abstrait est utilisé.

Exemp­les d’il­lu­stra­ti­on (par nous) :

  • Vio­la­ti­on de la Sécu­ri­té des don­nées / infrac­tion gra­ve / chif­fre d’af­fai­res annu­el EUR 50 mil­li­ons → Mon­tant de départ = EUR 120’000
    • 10 mil­li­ons d’euros/2% du chif­fre d’af­fai­res annu­el (art. 83, par. 6, RGPD), ici 10 mil­li­ons d’eu­ros (car supé­ri­eur à 2% de 50 mil­li­ons d’euros) ;
    • gra­vi­té éle­vée : 20 – 100% de 20 mil­li­ons d’eu­ros, soit pour 60% = 6 mil­li­ons d’euros
    • Chif­fre d’af­fai­res : 50 mil­li­ons d’eu­ros, donc 2% du mon­tant de départ
  • Vio­la­ti­on de la Obli­ga­ti­on d’in­for­ma­ti­on / infrac­tion de gra­vi­té moy­enne / chif­fre d’af­fai­res annu­el EUR 130 mil­li­ons → Mon­tant de départ = EUR 600’000
    • 20 mil­li­ons d’eu­ros / 4% du chif­fre d’af­fai­res annu­el (art. 83, al. 5, RGPD), ici 20 mil­li­ons d’eu­ros (car supé­ri­eur à 4% de 130 euros) ;
    • gra­vi­té moy­enne : 10 – 20% de 20 mil­li­ons d’eu­ros, soit pour 15% = 3 mil­li­ons d’euros
    • Chif­fre d’af­fai­res : 130 mil­li­ons d’eu­ros, donc 20% du mon­tant de départ
  • Obli­ga­ti­on d’a­voir une signal­er une vio­la­ti­on de la sécu­ri­té / infrac­tion légè­re / chif­fre d’af­fai­res annu­el EUR 1.5 mia. → Mon­tant de départ = EUR 750’000 :
    • EUR 10 millions/2% du chif­fre d’af­fai­res annu­el (art. 83 al. 4 RGPD), ici 30 mil­li­ons d’EUR (2% de 1,5 milliard) ;
    • gra­vi­té légè­re : 0 – 10% de 30 mil­li­ons d’eu­ros, soit pour 5% = 1,5 mil­li­on d’euros
    • Chif­fre d’af­fai­res : > 250 mil­li­ons d’eu­ros, donc 50% du mon­tant de départ
  • Obli­ga­ti­on, Sup­p­ri­mer des don­nées / infrac­tion gra­ve / chif­fre d’af­fai­res annu­el de EUR 4 mia. → Mon­tant de départ = 48 mil­li­ons d’euros :
    • 20 mil­li­ons d’euros/4% (art. 83, par. 5, RGPD), ici 160 mil­li­ons d’eu­ros (4% de 4 milliards)
    • gra­vi­té éle­vée : 20 – 100% de 160 mil­li­ons d’eu­ros, soit pour 60% = 96 mil­li­ons d’euros
    • Chif­fre d’af­fai­res : > 250 mil­li­ons d’eu­ros, donc 50% du mon­tant de départ

L’aug­men­ta­ti­on dis­pro­por­ti­onnée selon le chif­fre d’af­fai­res peut être illu­strée à l’ai­de d’u­ne vio­la­ti­on moy­enne­ment gra­ve de l’ob­li­ga­ti­on de suppression :

  • Chif­fre d’af­fai­res de 1 mil­li­on d’eu­ros : 6 000 euros
  • Chif­fre d’af­fai­res de 10 mil­li­ons d’eu­ros : 12 000 euros
  • Chif­fre d’af­fai­res de 100 mil­li­ons d’eu­ros : 300 000 euros
  • Chif­fre d’af­fai­res de EUR 1 mia : EUR 3’000’000
  • Chif­fre d’af­fai­res de EUR 5 mia : EUR 15’000’000

Par ail­leurs, le chif­fre d’af­fai­res de l’entre­pri­se ou du grou­pe en que­sti­on?

Sans sur­pri­se, l’ED­SA répond à cet­te que­sti­on longuement débat­tue en se basant sur le la noti­on d’entre­pri­se en droit des car­tels:

En ce qui con­cer­ne le ter­me “ent­re­pri­se”, le légis­la­teur euro­pé­en appor­te une cla­ri­fi­ca­ti­on sup­p­lé­men­tai­re expli­ci­te. Le Reci­tal 150 GDPR stipu­le : “Lorsque des sanc­tions admi­ni­stra­ti­ves sont inf­li­gées à une ent­re­pri­se, cel­le-ci doit être con­sidé­rée com­me une ent­re­pri­se au sens des artic­les 101 et 102 du TFEU à ces fins”.

Par con­sé­quent, l’ar­tic­le 83, para­gra­phes 4 à 6, du GDPR, à la lumiè­re du para­gra­phe 150, se réfè­re au con­cept d’entre­pri­se con­for­mé­ment aux artic­les 101 et 102 du TFEU, sans pré­ju­di­ce de l’ar­tic­le 4, para­gra­phe 18, du GDPR (qui don­ne une défi­ni­ti­on d’u­ne ent­re­pri­se) et de l’ar­tic­le 4, para­gra­phe 19, du GDPR (qui défi­nit un grou­pe d’entre­pri­ses). Le pre­mier con­cept est prin­ci­pa­le­ment uti­li­sé au cha­pit­re V du GDPR, dans la phra­se grou­pe d’entre­pri­ses enga­gées dans une acti­vi­té éco­no­mi­que com­mu­ne. En out­re, le ter­me est appli­qué dans un sens géné­ral, et non com­me le desti­na­tai­re d’u­ne dis­po­si­ti­on ou d’u­ne obligation.

120. Accor­din­gly, dans les cas où le con­trô­leur ou le pro­ce­s­seur est (par­tie de) une ent­re­pri­se au sens des artic­les 101 et 102 du TFEU, le chif­fre d’af­fai­res com­bi­né de cet­te ent­re­pri­se dans son ensem­ble peut être uti­li­sé pour déter­mi­ner la limi­te supé­ri­eu­re dyna­mi­que de la sanc­tion (voir cha­pit­re 6.2.2), et de s’assurer que la sanc­tion qui en résul­te est con­for­me aux prin­cipes d’ef­fec­ti­vi­té, de pro­por­ti­on­na­li­té et de dissua­si­on (artic­le 83(1) du GDPR)47.

L’EDSA expli­que ces fac­teurs plus en détail, en par­ti­cu­lier la noti­on d’u­ni­té éco­no­mi­que uni­que (UES) dans le cad­re de la légis­la­ti­on antitrust.

Étape 3 : Éva­lua­ti­on des cir­con­stances aggra­van­tes et atténuantes

Sous ce tit­re, il faut prend­re en comp­te les fac­teurs qui ont un effet aggra­vant ou atté­nuant. Il s’a­git du com­porte­ment pas­sé ou pré­sent de l’entre­pri­se, par exemp­le des mesu­res d’at­té­nua­ti­on des dom­mages, des infrac­tions anté­ri­eu­res, la coopé­ra­ti­on avec les auto­ri­tés, la dénon­cia­ti­on spon­ta­née, le béné­fice de l’in­frac­tion ( !), etc. L’EDSA ne pro­po­se tou­te­fois pas de modi­fi­ca­ti­on du mon­tant de base.

Étape 4 : Mon­tants maximaux

Les mon­tants maxi­maux légaux (2%/EUR 10 mil­li­ons ou 4%/EUR 20 mil­li­ons, le mon­tant le plus éle­vé étant rete­nu) pour les opé­ra­ti­ons de trai­te­ment con­cer­nées con­sti­tu­ent un maxi­mum qui ne peut être dépas­sé. En fait, il dev­rait s’a­gir de l’é­tape 5 et non de l’é­tape 4.

Étape 5

Lors de la der­niè­re étape, l’au­to­ri­té doit éva­luer si le mon­tant cal­culé répond aux exi­gen­ces de la Effi­ca­ci­té, dissua­si­on et pro­por­ti­on­na­li­té le cas échéant, il sera adapté.