Comité euro­péen de la protec­tion des données (CEPD), Lignes direc­trices 4/​2022 sur le calcul des amendes admi­nis­tra­tives dans le cadre du RGPD, version 1.0, du 12 mai 2022 (dispo­nibles unique­ment en anglais à ce jour).

Le 12 mai 2022, le CEPD a publié son projet de lignes direc­trices sur le calcul des amendes admi­nis­tra­tives dans le cadre du RGPD (Lignes Directrices). Elles viennent complé­ter celles concer­nant l’application et la fixa­tion des amendes admi­nis­tra­tives (WP 253) portant sur les circons­tances dans lesquelles infli­ger de telles amendes. Ces dernières ont été adop­tées par le Groupe de l’Article 29 préa­la­ble­ment à l’entrée en vigueur du RGPD et ont été approu­vées par le CEPD.

Ces Lignes Directrices ont pour but d’harmoniser la cohé­rence des métho­do­lo­gies de calcul des amendes admi­nis­tra­tives pronon­cées, ainsi que d’assurer l’application et l’exécution du RGPD. À noter que le RGPD ne prévoit pas de montant mini­mum pour les amendes admi­nis­tra­tives, mais des montants maxi­mums selon l’art. 83 par. 4 à 6 RGPD.

Le CEPD propose une méthode de calcul en 5 étapes pouvant se résu­mer comme suit.

1^ère étape : Identifier les trai­te­ments de données du cas et évaluer l’application de l’art. 83 par. 3 RGPD

Les auto­ri­tés de contrôle (art. 51 ss RGPD) doivent iden­ti­fier quels agis­se­ments sanc­tion­nables sont en cause et lesquels enfreignent quelle(s) disposition(s) du RGPD. Dans le cas d’un concours d’infractions, elles doivent déter­mi­ner le type de concours en l’espèce. L’idée étant de déter­mi­ner quelles infrac­tions peuvent être sanc­tion­nées ensemble ou sépa­ré­ment par une amende administrative.

2^ème étape : Trouver le point de départ pour le calcul de l’amende admi­nis­tra­tive basé sur diffé­rents facteurs

Le CEPD estime que le calcul de l’amende admi­nis­tra­tive doit débu­ter par un « point de départ » harmo­nisé. Néanmoins, les auto­ri­tés de contrôle restent libres de procé­der au cas par cas et de fixer l’amende admi­nis­tra­tive jusqu’au maxi­mum légal.

Pour former le point de départ du calcul, le CEPD fixe trois éléments à prendre en consi­dé­ra­tion en vue d’imposer une amende admi­nis­tra­tive effec­tive, dissua­sive et propor­tion­née : la caté­go­ri­sa­tion des infrac­tions par nature (i), la gravité de l’infraction (ii) et le chiffre d’affaires de l’entreprise (iii).

Concernant la caté­go­ri­sa­tion des infrac­tions tout d’abord, le RGPD prévoit deux caté­go­ries d’infractions : celles punis­sables selon l’art. 83 par. 4 RGPD et celles punis­sables selon l’art. 83 par. 4 et 5. Pour la première caté­go­rie, l’amende est plafon­née à EUR 10 millions ou 2% du chiffre d’affaires mondial (le plus élevé sera consi­déré). Pour la deuxième caté­go­rie, l’amende ne peut excé­der EUR 20 millions ou 4% du chiffre d’affaires mondial.

La caté­go­rie dans laquelle l’infraction se trouve est un premier indi­ca­teur de la gravité de celle-ci. Le RGPD requiert des auto­ri­tés de contrôle qu’elles prennent en compte d’autres facteurs tels que la nature, la gravité et la durée de l’infraction. Elles doivent égale­ment consi­dé­rer la nature, le champ et le but du trai­te­ment de données person­nelles concerné, compre­nant le nombre de personnes concer­nées affec­tées et le dommage qu’elles ont subi (art. 83 par. 3 let. a RGPD). Le carac­tère inten­tion­nel ou négligent de l’infraction (art. 83 par. 2 let. b RGPD) et les caté­go­ries de données person­nelles affec­tées par l’infraction (art. 83 par. 2 let. g RGPD) sont les facteurs restant à considérer.

L’évaluation de ces diffé­rents facteurs doit se faire selon les circons­tances du cas concret. Elle vise à déter­mi­ner la gravité de l’infraction dans son ensemble. Les auto­ri­tés de contrôle peuvent alors consi­dé­rer le niveau de gravité de l’infraction comme « bas », « moyen » ou « élevé ». Selon les Lignes Directrices, pour calcu­ler le montant de l’amende pour un niveau jugé « bas », les auto­ri­tés déter­mi­ne­ront un montant de départ pour le calcul entre 0 et 10% du maxi­mum légal appli­cable. Pour un niveau « moyen », le montant de départ se situera entre 10 et 20% et pour un niveau « élevé », entre 20 et 100%.

Le RGPD s’applique tant aux petites entre­prises qu’aux grandes multi­na­tio­nales. Partant, l’amende doit tenir compte de la taille de l’entreprise, car le montant peut avoir un impact très diffé­rent en fonc­tion du cas et conduire certaines entre­prises à la faillite. Tel est le cas de l’entreprise néer­lan­daise VoetbalTV contre qui l’autorité néer­lan­daise de protec­tion des données a prononcé une amende de EUR 575’000 avant que celle-ci ne soit annu­lée par le Conseil d’État (cf. Décision du Conseil d’État du 27 juillet 2022, Uitspraak 202100045/​1/​A3).

Les Lignes Directrices indiquent que les auto­ri­tés peuvent envi­sa­ger d’ajus­ter le montant de départ corres­pon­dant à la gravité de l’in­frac­tion en fonc­tion du chiffre d’af­faires de l’en­tre­prise. Par exemple, les Lignes Directrices indiquent que pour les entre­prises dont le chiffre d’af­faires annuel est de moins de EUR 2 millions, les auto­ri­tés peuvent envi­sa­ger de procé­der au calcul sur la base d’une somme à hauteur de 0,2% du montant de départ iden­ti­fié. En revanche, pour les entre­prises dont le chiffre d’af­faires annuel est égal ou supé­rieur à EUR 250 millions, les Lignes Directrices suggèrent que les auto­ri­tés procèdent aux calculs sur la base d’une somme allant jusqu’à 50% du montant de départ identifié.

3^ème étape : Prise en compte de facteurs aggra­vants ou atté­nuants suscep­tibles d’augmenter ou de dimi­nuer le montant de l’amende

Après avoir évaluer la nature, la gravité et la durée de l’infraction, ainsi que son carac­tère inten­tion­nel ou négligent et les caté­go­ries de données concer­nées, les auto­ri­tés de contrôle doivent prendre en compte les facteurs aggra­vants ou atté­nuants de l’art. 83 par. 2 RGPD. Ces critères doivent être pris en compte de manière globale face aux circons­tances résul­tant de l’investigation des autorités.

Tout d’abord, les auto­ri­tés de contrôle doivent regar­der quelles ont été les mesures prises par le respon­sable du trai­te­ment ou le sous-trai­tant pour atté­nuer le dommage subi par les personnes concer­nées (art. 83 par. 2 let. c RGPD). Ensuite, elles doivent se poser la ques­tion de savoir dans quelle mesure le respon­sable du trai­te­ment et le sous-trai­tant ont « fait ce que l’on pouvait attendre d’eux » compte tenu de la nature, des fina­li­tés ou de l’am­pleur du trai­te­ment, au regard des mesures tech­niques et orga­ni­sa­tion­nelles implé­men­tées en vertu des art. 25 à 32 RGPD (art. 83 par. 2 let. d RGPD).

Conformément à l’art. 83 par. 2 let. e RGPD, les auto­ri­tés doivent ensuite exami­ner si d’autres infrac­tions ont été commises par le passé par le respon­sable ou le sous-trai­tant. Les Lignes Directrices relèvent que le facteur temps est ici impor­tant. Plus le temps entre les deux infrac­tions est long, moins les auto­ri­tés devraient prendre compte ce critère dans leur calcul. Il est égale­ment impor­tant de véri­fier si l’infraction porte sur le même objet que la nouvelle ou sur un trai­te­ment ou des données différents.

Finalement, d’autres facteurs sont encore à analy­ser, tels que le degré de coopé­ra­tion établi avec les auto­ri­tés en vue de remé­dier à la viola­tion et d’en atté­nuer les éven­tuels effets néga­tifs (art. 83 par. 2 let. f RGPD) ; la manière dont elles ont eu connais­sance de la viola­tion ainsi que sa noti­fi­ca­tion éven­tuelle par le respon­sable du trai­te­ment ou le sous-trai­tant (art. 83 par. 2 let. g RGPD) ou encore le respect de mesures précé­dem­ment ordon­nées rela­tives au même objet (art. 83 par. 2 let. i RGPD). De plus, l’art. 83 par. 2 let. k RGPD laisse la porte ouverte à d’autres circons­tances aggra­vantes ou atté­nuantes pouvant apparaître.

4^ème étape : Déterminer les plafonds légaux des amendes admi­nis­tra­tives et veiller à ce qu’elles ne les dépassent pas

Comme vu précé­dem­ment, le RGPD prévoit deux types de montants maxi­mums pour les amendes admi­nis­tra­tives à son art. 83 par. 4 à 6 RGPD. Il y a, d’un côté, les montants dits « statiques ». Il s’agit des montant de EUR 10 millions et 20 millions pour les amendes, respec­ti­ve­ment, des para­graphes 4 et 5–6 de l’art. 83 RGPD. De l’autre, ce sont les montants dits dyna­miques qui sont un pour­cen­tage du chiffre d’affaires mondial de l’entreprise visée, soit 2 et 4% de celui-ci. Le montant le plus élevé est retenu.

Pour déter­mi­ner ce chiffre d’affaires, le CEPD rappelle que le terme « entre­prise » utilisé aux alinéas 4 à 6, doit être compris de la même manière que dans les articles 101 et 102 TFUE. Il s’agit donc d’une concep­tion écono­mique de l’entreprise qui peut être compo­sée de plusieurs enti­tés légales. Ces alinéas suivent le prin­cipe de la « respon­sa­bi­lité directe de l’entreprise ». Cela signi­fie que tous les actes et infrac­tions commis par une personne physique auto­ri­sée à agir pour l’entreprise sont attri­bués et consi­dé­rés comme réali­sés par elle.

Finalement, le chiffre d’affaires à prendre en compte est celui de l’exercice de l’année précé­dant la déci­sion d’amender l’entreprise.

5^ème étape : Analyser si le montant final calculé répond aux exigences d’efficacité, de dissua­sion et de propor­tion­na­lité ou si des ajus­te­ments supplé­men­taires du montant sont nécessaires

Chaque amende admi­nis­tra­tive pronon­cée doit respec­ter ces trois exigences. Cela signi­fie que le montant doit être adapté à l’infraction commise dans son contexte spéci­fique. Les auto­ri­tés sont donc tenues d’augmenter ou de dimi­nuer le montant de l’amende afin qu’elle remplisse les critères, tout en ne dépas­sant pas son maxi­mum légal.

De manière géné­rale, une amende est consi­dé­rée comme effec­tive lorsqu’elle atteint les objec­tifs pour lesquels elle a été impo­sée, soit le réta­blis­se­ment du respect de la loi, la sanc­tion de compor­te­ments illi­cites ou les deux.

Ensuite, le prin­cipe de propor­tion­na­lité requiert que les mesures adop­tées soient appro­priées et néces­saire pour atteindre les objec­tifs légi­times pour­sui­vis. Cette propor­tion­na­lité passe aussi par la prise en compte de la gravité de l’infraction et de la taille de l’entreprise qui l’a commise.

Finalement, l’amende doit avoir un « véri­table effet dissua­sif ». Pour cela, elle doit réunir deux compo­santes : un effet géné­ral (décou­ra­ger d’autres personnes à commettre la même infrac­tion dans le futur) et un effet spéci­fique (décou­ra­ger son desti­na­taire à repro­duire l’infraction). De surcroit, non seule­ment la nature et le niveau de l’amende sont déci­sifs, mais aussi la proba­bi­lité de se voir amender.

Une métho­do­lo­gie repro­dui­sible en Suisse ?

La nouvelle Loi fédé­rale sur la protec­tion des données (nLPD) qui devrait entrer en vigueur à partir du 1^er septembre 2023 a été alignée en grande partie sur le RGPD. Cependant, quelques diffé­rences subsistent, notam­ment par rapport aux sanc­tions. Tout d’abord, la nLPD intro­duit des amendes pénales et non admi­nis­tra­tives et ce, jusqu’à un maxi­mum de CHF 250’000, bien loin des EUR 20 millions ou 4% du chiffre d’affaires mondial du RGPD. Elles visent cepen­dant la personne respon­sable (direc­teur et/​ou déci­deur) et non l’entreprise en tant que telle. Elles ne seront pas pronon­cées par le PFPDT, mais pas les auto­ri­tés de pour­suite pénale. La métho­do­lo­gie adop­tée par le CEPD ne paraît donc pas repro­dui­sible en Suisse.

Pour une analyse détaillée des dispo­si­tions pénales de la nLPD, voir notre recen­sion de l’article « Die Strafbestimmungen des neuen DSG » de David Rosenthal et Seraina Gubler (cf. https://​swiss​pri​vacy​.law/​75/).