Sélectionner une page

Amendes en vertu du règlement général sur la protection des données (RGPD). Ce que vous devez savoir sur les amendes du GDPR, les lignes directrices sur l’application des amendes administratives du GDPR, les façons de se protéger contre les amendes du GDPR, les pénalités, les sanctions et le mécanisme de sanction en vertu du GDPR.

S’il y a une chose que les gens savent à propos du GDPR, c’est que les amendes GDPR (amendes administratives) peuvent aller jusqu’à 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global (notez global !), selon la valeur la plus élevée des deux.

Comme expliqué dans notre aperçu du GDPR, les amendes maximales ne signifient bien sûr pas que, par définition, ce niveau le plus élevé d’amendes administratives est appliqué. Les amendes exactes dépendent de nombreux facteurs, tels que la gravité de la non-conformité et des violations potentielles de données à caractère personnel, les mesures qui ont été prises pour se conformer à la GDPR (la GDPR étant la première à en être consciente), la mesure dans laquelle une organisation ne met pas en place les mécanismes essentiels pour prévenir les violations de données à caractère personnel ou ne répond pas aux demandes des personnes concernées dans le cadre des différents droits dont elles disposent (droit d’accès, droit à la portabilité des données, droit d’effacement, etc.), la volonté de répondre à ces demandes, le degré de respect de la vie privée dès la conception, les mesures et droits supplémentaires lorsque le consentement est le motif juridique choisi pour un traitement licite, et bien plus encore.

Deux niveaux d’amendes GDPR – les comprendre

En plus des amendes maximales du GDPR mentionnées, un deuxième niveau d’amendes (10 millions d’euros ou deux pour cent du chiffre d’affaires annuel global) est prévu, ce qui signifie que le GDPR se différencie. Le texte du GDPR lui-même résume ces deux niveaux d’amendes et les facteurs qui les influencent dans le chapitre 8 (recours, responsabilités et pénalités, et donc aussi ces fameuses amendes) du texte du GDPR.

L’article 83, paragraphe 1, décrit les conditions générales d’imposition des amendes administratives. Les amendes administratives doivent être examinées au cas par cas et être « effectives, proportionnées et dissuasives ».

L’article 83, paragraphe 2, mentionne des critères et, plus loin dans l’article, le texte examine les deux groupes d’amendes. Parmi les critères que le GDPR mentionne à l’article 83 figurent la nature, la gravité et la durée de l’infraction, la portée et la finalité du traitement des données à caractère personnel, le nombre de personnes concernées et le degré de préjudice causé par une infraction, le niveau de coopération avec l’autorité chargée de la protection des données, et bien d’autres éléments encore.

En divisant les amendes du GDPR en deux groupes, le GDPR indique par définition les facteurs concernant l’impact et l’importance différents de plusieurs obligations potentiellement violées. Si vous lisez l’article 83 mais aussi les détails qu’il mentionne pour les deux groupes d’amendes, vous verrez par exemple que le traitement illicite de catégories spécifiques de données à caractère personnel et les conditions de consentement sont sanctionnés par des amendes plus élevées que, par exemple, les violations concernant des aspects tels que les évaluations de l’impact sur la vie privée.

Toutefois, dans l’ensemble, cela reste difficile à comprendre pour beaucoup et, en fin de compte, vous ne savez tout simplement pas quelles amendes GDPR seront appliquées. Alors, y a-t-il une meilleure façon de savoir comment les amendes GDPR seront calculées, comment vous pouvez les éviter et quelles sont vos options ?

Éviter les amendes GDPR : l’utilisation d’une cyber-assurance et la nécessité d’évoluer vers la conformité

La réponse la plus simple et la plus évidente à la question de savoir comment éviter les amendes de GDPR est évidemment de s’assurer que vous êtes aussi conforme que possible à GDPR, que vous pouvez démontrer que vous avez fait tout ce que vous pouviez de manière prioritaire, en prenant en compte tous les aspects de GDPR, les risques du point de vue de la personne concernée et les différents types de données personnelles et de flux et de traitement de données dans votre organisation et son écosystème de partenaires, ainsi que les principales règles de GDPR telles que le consentement et les autres principes de la légalité du traitement des données personnelles.

Pourtant, la conformité à 100% de la GDPR est un mythe pour des raisons que nous avons, entre autres, expliquées dans notre article sur les aspects de stratégie d’entreprise de la GDPR et de la gestion de l’information. C’est pourquoi la sensibilisation de GDPR n’est pas seulement une question de sensibilisation du personnel, mais signifie aussi qu’il faut examiner à fond tous les articles de la GDPR, qui à leur tour indiquent d’autres articles que vous devez connaître.

Une deuxième question qui se pose est de savoir comment vous pouvez payer les amendes potentielles de GDPR ? Après tout, si vous n’êtes jamais totalement sûr, que se passe-t-il si vous êtes quand même condamné à une amende ?

Cette question est souvent posée et dans certaines entreprises, qui estiment qu’elles ne seront pas prêtes, trouvent l’interprétation de GDPR trop difficile, se sentent mal à l’aise ou ne pensent pas être financièrement capables de payer les amendes potentielles de GDPR, on répond à cette question en prenant une cyberassurance.

Cependant, dans de nombreux cas, une cyberassurance ne couvrira que les coûts d’une infraction et des divers aspects de sa résolution et de son examen, ainsi que des communications qui l’entourent.

Mais elle ne couvrira normalement pas les conséquences et les coûts indirects supplémentaires d’éventuelles infractions graves ou de cas flagrants de non-respect du PIBR. Et, même si vous êtes assuré, vous devrez toujours travailler à la conformité avec toute la méfiance potentielle, les impacts de marque et la presse négative et les conséquences qui peuvent venir avec les violations graves et la négligence flagrante. Dans la plupart des cas, une cyberassurance n’est bonne que pour une partie du défi (violations), et non pour l’atteinte à la réputation ou la non-conformité.

Nous avons récemment écrit sur la déconnexion entre la perception de la conformité et de l’état réel de la conformité de GDPR dans les organisations, en mentionnant une recherche de Proofpoint (le PDF s’ouvre). Cette même recherche a révélé que de nombreuses organisations préfèrent en effet atténuer leur exposition au risque, plutôt que de se lancer à fond dans la conformité à la GDPR et se préparent plutôt à gérer les retombées en cas de non-conformité, y compris l’aspect de la cyberassurance mentionné.

Deux points de données : 1) près d’un quart des répondants ont souscrit une cyberassurance en cas de violation et 2) seulement 39 % des entreprises pensent qu’elles sont financièrement prêtes à payer des amendes GDPR une fois que le règlement général sur la protection des données sera en vigueur.

Les amendes GDPR, à proprement parler les amendes administratives, ne sont qu’un des nombreux mécanismes de sanction, même si ce sont ceux dont on entend le plus souvent parler.

Le GDPR comporte plusieurs pénalités et plusieurs sanctions qui peuvent être appliquées par l’autorité de protection des données, et parfois peuvent être simplement combinées comme le montre l’illustration du mécanisme de sanction ci-dessous. Bien que l’accent soit mis dans ce graphique principalement du point de vue de l’APD et du cas où l’on soupçonne qu’un pays ne respecte pas les règles du GDPR, cela rend les choses plus tangibles.

Outre les mesures que les autorités de protection des données peuvent prendre dans le cadre de leur rôle de contrôle du respect des règles, il existe évidemment toutes les autres manières d’activer le mécanisme de sanction : violations de données à caractère personnel, plaintes d’un citoyen (par lesquelles l’autorité de protection des données peut être contactée ou le citoyen peut saisir la justice), etc.

Dans le cas illustré ci-dessous, vous voyez ce qui peut se passer du point de vue des amendes et des sanctions. Si une règle est enfreinte et nécessite une sanction, selon le contexte que nous abordons dans cet article, la DPA peut décider d’imposer une amende administrative, de prendre une autre sanction telle qu’un blâme, une interdiction temporaire ou définitive de traitement, une suspension des flux de données vers un destinataire dans un pays tiers, etc.

Et, en effet, dans certains cas, une amende peut être combinée avec certaines de ces autres sanctions.

Lignes directrices pour l’application et la fixation des amendes GDPR : le groupe de travail « Article 29 » clarifie (quelque peu)

Donc, en gardant à l’esprit qu’il est essentiel de se conformer le plus possible à toutes ces mesures à prendre, en commençant par la sensibilisation et la conscientisation du personnel et toutes ces autres mesures stratégiques, commençons par examiner un peu plus en profondeur ces amendes et pénalités de GDPR.

Il n’est jamais mauvais d’être assuré bien sûr, mais vous voulez savoir ce que vous faites et ne pas parier sur un seul aspect comme une cyber-assurance ou quelques précautions de sécurité de base. Elle prend en compte plusieurs niveaux (et tient compte du fait que chaque pays n’a pas les mêmes règles concernant ce qui peut être assuré et ce qui ne peut pas l’être, ce qui est encore une autre discussion).

Afin de comprendre les aspects pratiques du GDPR, y compris les amendes du GDPR, il est important d’examiner autre chose : les lignes directrices du Groupe de travail Article 29, alias Art. 29 WP.

Le Groupe de l’article 29 est un organe consultatif composé du Contrôleur européen de la protection des données, de la CE (représentants) et des représentants des États membres de l’UE. Il existe déjà depuis le prédécesseur de la GDPR, la directive sur la protection des données, et a été extrêmement occupé ces derniers temps à élaborer des (projets de) lignes directrices sur plusieurs aspects de la GDPR (la GDPR prévoit également le remplacement du Groupe de travail de l’article 29 par le Conseil européen de la protection des données ou CEPD).

En octobre 2017, le groupe de travail Article 29 a publié les « Lignes directrices concernant l’application et la fixation des amendes administratives aux fins du règlement 2016/679′ (nom officiel du GDPR) ».

En d’autres termes : il existe maintenant des lignes directrices pour les autorités de surveillance afin de mieux appliquer et faire respecter le GDPR du point de vue des amendes et vous voudrez peut-être savoir ce que sont ces lignes directrices sur les amendes du GDPR, pour le dire simplement.

Ne vous attendez pas à une longue liste avec de multiples scénarios et une foule de détails sur l’amende qui s’applique à quel moment. Il serait impossible de le faire, bien sûr. Chaque cas individuel est différent. De plus, comme le stipule clairement le document des lignes directrices : Ces lignes directrices ne sont pas exhaustives et ne fournissent pas non plus d’explications sur les différences entre les systèmes de droit administratif, civil ou pénal lors de l’imposition de sanctions administratives en général ».

Toutefois, les « lignes directrices concernant l’application et la fixation des amendes administratives aux fins du règlement 2016/679 » clarifient quelques points concernant les amendes GDPR et notamment la « compréhension commune des critères d’évaluation de l’article 83, paragraphe 2 ».

Après avoir exposé certains principes, les lignes directrices font un zoom sur plusieurs de ces critères d’évaluation, comme vous pouvez le voir dans le document ci-dessous.

Mais faire ses devoirs de GDPR ne signifie pas seulement se renseigner sur la cyberassurance, l’article 83 ou les lignes directrices du Groupe de travail Article 29. Il faut d’abord avoir une approche stratégique du GDPR qui comprend plusieurs étapes et commence par une bonne compréhension du règlement et d’aspects tels que la prise en compte du respect de la vie privée dès la conception et la définition des personnes concernées, des données à caractère personnel, des identificateurs et des données sensibles dans le cadre du GDPR.

Dans le passé (sous le prédécesseur du GDPR), les autorités de contrôle des États membres n’ont pas souvent appliqué des amendes maximales pour déterminer les amendes, mais ont toujours tenu compte de divers aspects.

La question de savoir si elles seront beaucoup plus strictes reste ouverte, mais l’accent est mis beaucoup trop sur les amendes et pas assez sur le respect maximal du GDPR, sachant que l’efficacité des amendes et des sanctions doit également être proportionnelle et que, bien entendu, votre niveau de conformité jouera un rôle.