Le Comité Européen de la Protection des Données apporte des précisions sur les critères et les éléments à prendre en considération dans le calcul des amendes RGPD afin d’assurer une meilleure harmonisation au niveau européen.
C’est à l’occasion de sa 65ème séance plénière que le Comité Européen de la Protection des Données (CEPD) revient sur le calcul des amendes prononcées par les instances nationales de contrôle pour non-respect des règles du RGPD en matière de collecte, de traitement et de conservation des données personnelles. Car force est de constater que d’un pays à l’autre, des disparités entre les 27 apparaissent. C’est d’abord le cas du nombre de sanctions prononcées. Ainsi, en la matière, l’Espagne arrive largement en tête avec 273 sanctions contre seulement 18 pour la France qui se classe au 11ème rang. Question montant, l’amende record, soit 746 millions, a été prononcée contre Amazon par le Luxembourg, suivie par l’Irlande avec une amende de 225 millions à l’égard de WhatsApp. De son côté, l’amende la plus élevée prononcée par la Cnil française a été de 150 millions contre Google pour non-respect de la recommandation cookies, elle-même basée sur les principes fondamentaux du RGPD. On le voit, l’objectif du RGPD d’harmoniser le droit numérique européen ne se retrouve pas forcément dans les sanctions. Pour tenter d’y remédier, le CEPD fixe 3 éléments à prendre en considération et une méthodologie d’évaluation des montants en 5 étapes.
3 éléments d’évaluation…
Le CEPD invite les organes de contrôle nationaux à prendre en considération 3 éléments pour évaluer le montant des amendes. Tout d’abord la catégorisation des infractions par nature, puis leur gravité et enfin le chiffre d’affaires du site ou de la plateforme en cause. Rappelons que le RGPD fixe à 4% du chiffre d’affaires mondial le plafond maximum de l’amende.
… et 5 étapes
Le CEPD propose finalement une méthodologie de calcul en 5 étapes. En tout premier lieu (1ère étape), déterminer si l’affaire concerne un ou plusieurs cas de comportements punissables et une ou plusieurs infractions. Ensuite (2ème étape), se baser sur un point de départ pour le calcul de l’amende et rechercher (3ème étape) s’il y a des facteurs aggravants ou au contraire atténuants. Puis déterminer les plafonds légaux (4ème étape) et s’y conformer. Enfin (5ème étape), vérifier que le montant retenu répond aux exigences d’efficacité, de dissuasion et de proportionnalité de la sanction et si nécessaire faire les ajustements.
Le CEPD attire également l’attention des États sur la nécessité de favoriser les échanges et les instructions communes entre les différents organes de contrôle nationaux.