En cas de non-respect du RGPD, l’autorité de contrôle, c’est-à-dire la CNIL pour la France, a le pouvoir d’infliger une amende à l’entreprise en charge du traitement des données personnelles.

Le montant de cette éventuelle amende n’obéit pas « à une simple formule arithmétique »[1], mais est jugée au cas par cas en fonction de plusieurs facteurs :

  • la nature, la gravité et de la durée des manquements ;
  • le nombre de personne concernées ;
  • les types de données concernés ;
  • le caractère intentionnel ;
  • les mesures prises pour atténuer les potentiels dommages ;
  • les éventuelles infractions passées ;
  • le degré de coopération avec l’autorité de contrôle ;
  • la façon dont l’autorité de contrôle a appris le manquement.

Le montant doit, dans tous les cas, être « effectif », « proportionné » et « dissuasif »[2].

« Pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
g) les catégories de données à caractère personnel concernées par la violation ;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ;
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. »

— RGPD, article 83-2, conditions générales pour imposer des amendes administratives

Le montant maximal de l’amende dépend des manquements constatés et du chiffre d’affaires de l’entreprise, ou du chiffre d’affaires du groupe auquel l’entreprise appartient :

  • 10 millions d’euros, ou 2 % du chiffre d’affaires, en cas de manquements, par exemple, à l’obligation de sécuriser les données ou à l’obligation de notifier une violation ;

« Les violations des dispositions suivantes font l’objet […] d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;
b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43 ;
c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4. »

— RGPD, article 83-4, conditions générales pour imposer des amendes administratives
  • 20 millions d’euros, ou 4 % du chiffre d’affaires, en cas de manquements liés, par exemple, au consentement de la personne, aux droits de la personne, au transfert de données dans un pays tiers ou à l’obligation d’information.

« Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49 ;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX ;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1. »

— RGPD, article 83-5, conditions générales pour imposer des amendes administratives

Le chiffre d’affaires utilisé pour calculer le montant maximal de l’amende correspond au chiffre d’affaires de l’année précédant la date de la sanction[3], même s’il est accepté de se référer à une autre année, dans le cas où l’année précédente n’est pas fidèle aux ressources de l’entreprise ou ne permet pas d’assurer un caractère dissuasif suffisant[4].

Notes et références

  1. La jurisprudence européenne a indiqué dans un autre domaine de celui de la protection des données que « si le montant de l’amende était le résultat d’un calcul obéissant à une simple formule arithmétique, les entreprises auraient la possibilité de prévoir l’éventuelle sanction et de la comparer aux bénéfices qu’elles tireraient de l’infraction » (source : Tribunal de l’U.E, ECLI:EU:T:2008:254, 8 juillet 2008, BPB plc contre Commission des Communautés européennes, §336) (source 2 : CNIL, SAN-2021-023, 31 décembre 2021, Google, 142). La CNIL ne doit donc pas utiliser une éventuelle grille pour calculer le montant de l’amende, mais juger le montant de l’amende au cas par cas, en fonction des facteurs prévus par le RGPD.
  2. Le RGPD demande que les amendes soient « effectives, proportionnées et dissuasives » (source : RGPD, article 83-1).
  3. La Cour de Justice de l’Union européenne (CJUE) a indiqué, dans un autre domaine de celui de la protection des données, que « l’exercice précédent » faisait référence à l’année précédent la date de la sanction (source : CJUE, ECLI:EU:C:2017:51, 26 janvier 2017, Laufen Austria AG contre Commission européenne, §48 et ECLI:EU:C:2014:2153, 4 septembre 2014, YKK Corporation e.a. contre Commission européenne, $64).
  4. La Cour de Justice de l’Union européenne (CJUE) a indiqué, dans un autre domaine de celui de la protection des données, qu’il était acceptable de « se rapporter à un autre exercice social afin d’être en mesure d’évaluer correctement les ressources financières de cette entreprise et d’assurer à l’amende un caractère dissuasif suffisant et proportionné. » (source : CJUE, C‑90/13 P, 15 mai 2014, garantovaná a.s. contre Commission européenne, $16-17 et ECLI:EU:C:2007:326, 7 juin 2007, Britannia Alloys & Chemicals Ltd contre Commission des Communautés européennes, §30).

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés