'Les lignes directrices sur le calcul des amendes RGPD ne répondent pas de manière précise aux attentes des entreprises'

Le CEPD vient d’adopter la version finale des lignes directrices sur le calcul des amendes administratives. On fait le point avec Patrick Blum, vice-président de l'AFCDP, sur la portée pratique de ces nouvelles guidelines.

Les nouvelles lignes directrices du CEPD sur le calcul des amendes administratives dans le cadre du RGPD publiées mi-mai visent à harmoniser les méthodes de calcul des amendes prononcées par les Autorités de protection des données en cas de violation du RGPD. 

Quelle est la portée et l’objectif de ces guidelines ?

Ces lignes directrices ont un intérêt pour tout le monde mais elles sont destinées avant tout aux Autorités de contrôle. Elles complètent un autre document réalisé par le G29 en 2017.

L’objectif de ces guidelines est d’aider les autorités à appliquer le RGPD et à avoir une approche cohérente dans les modalités de définition des amendes.

Les lignes directrices reprennent l’article 82-2 du RGPD sur les différentes natures de sanctions en cas de violation, et leur traitement au cas par cas. Le but est d’harmoniser les amendes entre les différentes Autorités de contrôle et qu’elles collaborent entre elles.

Les lignes directrices expliquent par ailleurs les dix critères permettant de fixer l’amende, qui sont définis à l’article 83-2 du RGPD. Il s’agit en particulier :

• de la nature de l’infraction commise,
• de sa gravité,
• du caractère intentionnel (infraction délibérée ou négligences),
• des mesures prises par le responsable de traitement afin de limiter les dommages,
• ou encore de sa collaboration avec l’Autorité de contrôle.

Ces nouvelles lignes directrices ont également l’objectif de définir les montant des amendes. Elles rappellent néanmoins que la fixation du montant est au libre choix des Autorités de contrôle mais qu’il doit être effectif, proportionné et dissuasif.

Le calcul des amendes n’est pas un exercice de mathématiques : les circonstances spécifiques des manquements au RGPD doivent être analysées au cas par cas.

Ces lignes directrices ont-elles pour but de mettre fin au forum shopping auquel peuvent se prêter les entreprises qui chercheraient à aller devant une Autorité « plus laxiste » ?

L’objectif est surtout de permettre aux Autorités de savoir comment fixer les amendes. C’est un mode d’emploi. Implicitement, effectivement, elles sont aussi destinées à inciter chaque Autorité à fixer des montants équivalents aux autres. Le RGPD demande d’ailleurs une harmonisation entre les pratiques des Autorités d’un pays à un autre.

Il faut savoir aussi que dans le cadre de traitements transfrontaliers, il y a la possibilité de revoir le montant d’une amende lorsque les Autorités ne sont pas d’accord avec ce qui a été décidé par l’une d’entre elles. C’est ce qui s’était passé avec Meta.

Or pour les « amendes locales », rien ne permet à la France par exemple, de dire à l’Autorité italienne qu’elle juge une sanction trop basse. D’où l’intérêt de ces lignes directrices qui visent à converger vers une plus grande harmonisation.

Les lignes directrices définissent une méthodologie en 5 étapes afin de fixer les amendes. Pouvez-vous nous l’expliquer ?

Cette méthodologie préconise d’analyser d’abord la nature et l’éventuelle multiplicité des infractions.

Puis les guidelines recommandent de définir un point de départ de l’amende. C’est-à-dire qu’en fonction des violations et de leur gravité, on part d’un montant initial auquel on va ajouter trois étapes : l’évaluation des circonstances atténuantes ou aggravantes, les plafonds légaux pour chaque infraction commise. Enfin, il faudra analyser si le montant total répond bien aux exigences d’efficacité, de proportionnalité et de dissuasion.

Etes-vous satisfaits de ces guidelines ?

C’est un peu frustrant car on s’aperçoit en pratique qu’il y a, certes, des explications très détaillées mais cela reste très abstrait. Ce n’est pas un algorithme qui nous donne le montant exact de la sanction.

En somme, ce n’est pas très différent de ce qui se pratique dans un tribunal quelconque. En droit pénal, la sanction est plafonnée mais le juge fixera le montant final en fonction de plusieurs critères.

Cela sera sans doute très utile pour les Autorités mais pour les utilisateurs, les entreprises, cela reste frustrant car nous n’avons pas d’idée sur les montants d’amendes qui seront réellement prononcées.

Les lignes directrices ne répondent pas de manière précise aux attentes des entreprises : il y a un risque mais il est impossible de l’évaluer financièrement. Si une entreprise souhaite provisionner le montant des amendes RGPD, elle devra l’évaluer au doigt mouillé.

Pouvez vous développer les facteurs aggravants ou atténuants ?

Le montant de la sanction sera défini en fonction de certains facteurs qui permettront d’alléger ou au contraire d’augmenter le niveau de la sanction : s’il s’agit d’une violation délibérée ou commise par négligence, si le responsable de traitement a pris des mesures visant à limiter les dommages, s’il a appliqué le code de conduite applicable, s’il a bien notifié la violation à l’Autorité de contrôle ou encore si les données personnelles concernées sont une catégorie particulière (par exemple, des données sensibles).

Les lignes directrices renvoient aux 10 critères précisés par l’article 83.2 du RGPD.

D’autres lignes directrices sont-elles vivement attendues par les DPO ?

Dans le programme de travail 2023/2024 dévoilé par le CEPD le 22 février 2023, plusieurs lignes directrices intéressant les professionnels de la protection des données sont envisagées. Or, pour le moment, elles sont loin d’avoir toutes été réalisées. Le CEPD a manifestement du retard dans la mise en œuvre de sa feuille de route.