Amendes en vertu du règlement général sur la protection des données (RGPD). Ce que vous devez savoir sur les amendes du RGPD, les lignes directrices sur l’application des amendes administratives du RGPD, les façons de se protéger contre les amendes du RGPD, les pénalités, les sanctions et le mécanisme de sanction en vertu du RGPD.
S’il y a une chose que les gens savent à propos du RGPD, c’est que les amendes RGPD (amendes administratives) peuvent aller jusqu’à 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global (notez global !), selon la valeur la plus élevée des deux.
Comme expliqué dans notre aperçu du RGPD, les amendes maximales ne signifient bien sûr pas que, par définition, ce niveau le plus élevé d’amendes administratives est appliqué. Les amendes exactes dépendent de nombreux facteurs, tels que la gravité de la non-conformité et des violations potentielles de données à caractère personnel, les mesures qui ont été prises pour se conformer à la RGPD (la RGPD étant la première à en être consciente), la mesure dans laquelle une organisation ne met pas en place les mécanismes essentiels pour prévenir les violations de données à caractère personnel ou ne répond pas aux demandes des personnes concernées dans le cadre des différents droits dont elles disposent (droit d’accès, droit à la portabilité des données, droit d’effacement, etc.), la volonté de répondre à ces demandes, le degré de respect de la vie privée dès la conception, les mesures et droits supplémentaires lorsque le consentement est le motif juridique choisi pour un traitement licite, et bien plus encore.
Deux niveaux d’amendes RGPD – les comprendre
En plus des amendes maximales du RGPD mentionnées, un deuxième niveau d’amendes (10 millions d’euros ou deux pour cent du chiffre d’affaires annuel global) est prévu, ce qui signifie que le RGPD se différencie. Le texte du RGPD lui-même résume ces deux niveaux d’amendes et les facteurs qui les influencent dans le chapitre 8 (recours, responsabilités et pénalités, et donc aussi ces fameuses amendes) du texte du RGPD.
L’article 83, paragraphe 1, décrit les conditions générales d’imposition des amendes administratives. Les amendes administratives doivent être examinées au cas par cas et être « effectives, proportionnées et dissuasives ».
L’article 83, paragraphe 2, mentionne des critères et, plus loin dans l’article, le texte examine les deux groupes d’amendes. Parmi les critères que le RGPD mentionne à l’article 83 figurent la nature, la gravité et la durée de l’infraction, la portée et la finalité du traitement des données à caractère personnel, le nombre de personnes concernées et le degré de préjudice causé par une infraction, le niveau de coopération avec l’autorité chargée de la protection des données, et bien d’autres éléments encore.
En divisant les amendes du RGPD en deux groupes, le RGPD indique par définition les facteurs concernant l’impact et l’importance différents de plusieurs obligations potentiellement violées. Si vous lisez l’article 83 mais aussi les détails qu’il mentionne pour les deux groupes d’amendes, vous verrez par exemple que le traitement illicite de catégories spécifiques de données à caractère personnel et les conditions de consentement sont sanctionnés par des amendes plus élevées que, par exemple, les violations concernant des aspects tels que les évaluations de l’impact sur la vie privée.
Toutefois, dans l’ensemble, cela reste difficile à comprendre pour beaucoup et, en fin de compte, vous ne savez tout simplement pas quelles amendes RGPD seront appliquées. Alors, y a-t-il une meilleure façon de savoir comment les amendes RGPD seront calculées, comment vous pouvez les éviter et quelles sont vos options ?
Éviter les amendes RGPD : l’utilisation d’une cyber-assurance et la nécessité d’évoluer vers la conformité
La réponse la plus simple et la plus évidente à la question de savoir comment éviter les amendes de RGPD est évidemment de s’assurer que vous êtes aussi conforme que possible à RGPD, que vous pouvez démontrer que vous avez fait tout ce que vous pouviez de manière prioritaire, en prenant en compte tous les aspects de RGPD, les risques du point de vue de la personne concernée et les différents types de données personnelles et de flux et de traitement de données dans votre organisation et son écosystème de partenaires, ainsi que les principales règles de RGPD telles que le consentement et les autres principes de la légalité du traitement des données personnelles.
Pourtant, la conformité à 100% de la RGPD est un mythe pour des raisons que nous avons, entre autres, expliquées dans notre article sur les aspects de stratégie d’entreprise de la RGPD et de la gestion de l’information. C’est pourquoi la sensibilisation de RGPD n’est pas seulement une question de sensibilisation du personnel, mais signifie aussi qu’il faut examiner à fond tous les articles de la RGPD, qui à leur tour indiquent d’autres articles que vous devez connaître.
Une deuxième question qui se pose est de savoir comment vous pouvez payer les amendes potentielles de RGPD ? Après tout, si vous n’êtes jamais totalement sûr, que se passe-t-il si vous êtes quand même condamné à une amende ?
Cette question est souvent posée et dans certaines entreprises, qui estiment qu’elles ne seront pas prêtes, trouvent l’interprétation de RGPD trop difficile, se sentent mal à l’aise ou ne pensent pas être financièrement capables de payer les amendes potentielles de RGPD, on répond à cette question en prenant une cyberassurance.
Cependant, dans de nombreux cas, une cyberassurance ne couvrira que les coûts d’une infraction et des divers aspects de sa résolution et de son examen, ainsi que des communications qui l’entourent.
Mais elle ne couvrira normalement pas les conséquences et les coûts indirects supplémentaires d’éventuelles infractions graves ou de cas flagrants de non-respect du PIBR. Et, même si vous êtes assuré, vous devrez toujours travailler à la conformité avec toute la méfiance potentielle, les impacts de marque et la presse négative et les conséquences qui peuvent venir avec les violations graves et la négligence flagrante. Dans la plupart des cas, une cyberassurance n’est bonne que pour une partie du défi (violations), et non pour l’atteinte à la réputation ou la non-conformité.
Nous avons récemment écrit sur la déconnexion entre la perception de la conformité et de l’état réel de la conformité de RGPD dans les organisations, en mentionnant une recherche de Proofpoint (le PDF s’ouvre). Cette même recherche a révélé que de nombreuses organisations préfèrent en effet atténuer leur exposition au risque, plutôt que de se lancer à fond dans la conformité à la RGPD et se préparent plutôt à gérer les retombées en cas de non-conformité, y compris l’aspect de la cyberassurance mentionné.
Deux points de données : 1) près d’un quart des répondants ont souscrit une cyberassurance en cas de violation et 2) seulement 39 % des entreprises pensent qu’elles sont financièrement prêtes à payer des amendes RGPD une fois que le règlement général sur la protection des données sera en vigueur.
Les amendes RGPD, à proprement parler les amendes administratives, ne sont qu’un des nombreux mécanismes de sanction, même si ce sont ceux dont on entend le plus souvent parler.
Le RGPD comporte plusieurs pénalités et plusieurs sanctions qui peuvent être appliquées par l’autorité de protection des données, et parfois peuvent être simplement combinées comme le montre l’illustration du mécanisme de sanction ci-dessous. Bien que l’accent soit mis dans ce graphique principalement du point de vue de l’APD et du cas où l’on soupçonne qu’un pays ne respecte pas les règles du RGPD, cela rend les choses plus tangibles.
Outre les mesures que les autorités de protection des données peuvent prendre dans le cadre de leur rôle de contrôle du respect des règles, il existe évidemment toutes les autres manières d’activer le mécanisme de sanction : violations de données à caractère personnel, plaintes d’un citoyen (par lesquelles l’autorité de protection des données peut être contactée ou le citoyen peut saisir la justice), etc.
Dans le cas illustré ci-dessous, vous voyez ce qui peut se passer du point de vue des amendes et des sanctions. Si une règle est enfreinte et nécessite une sanction, selon le contexte que nous abordons dans cet article, la DPA peut décider d’imposer une amende administrative, de prendre une autre sanction telle qu’un blâme, une interdiction temporaire ou définitive de traitement, une suspension des flux de données vers un destinataire dans un pays tiers, etc.
Et, en effet, dans certains cas, une amende peut être combinée avec certaines de ces autres sanctions.
Lignes directrices pour l’application et la fixation des amendes RGPD : le groupe de travail « Article 29 » clarifie (quelque peu)
Donc, en gardant à l’esprit qu’il est essentiel de se conformer le plus possible à toutes ces mesures à prendre, en commençant par la sensibilisation et la conscientisation du personnel et toutes ces autres mesures stratégiques, commençons par examiner un peu plus en profondeur ces amendes et pénalités de RGPD.
Il n’est jamais mauvais d’être assuré bien sûr, mais vous voulez savoir ce que vous faites et ne pas parier sur un seul aspect comme une cyber-assurance ou quelques précautions de sécurité de base. Elle prend en compte plusieurs niveaux (et tient compte du fait que chaque pays n’a pas les mêmes règles concernant ce qui peut être assuré et ce qui ne peut pas l’être, ce qui est encore une autre discussion).
Afin de comprendre les aspects pratiques du RGPD, y compris les amendes du RGPD, il est important d’examiner autre chose : les lignes directrices du Groupe de travail Article 29, alias Art. 29 WP.
Le Groupe de l’article 29 est un organe consultatif composé du Contrôleur européen de la protection des données, de la CE (représentants) et des représentants des États membres de l’UE. Il existe déjà depuis le prédécesseur de la RGPD, la directive sur la protection des données, et a été extrêmement occupé ces derniers temps à élaborer des (projets de) lignes directrices sur plusieurs aspects de la RGPD (la RGPD prévoit également le remplacement du Groupe de travail de l’article 29 par le Conseil européen de la protection des données ou CEPD).
En octobre 2017, le groupe de travail Article 29 a publié les « Lignes directrices concernant l’application et la fixation des amendes administratives aux fins du règlement 2016/679′ (nom officiel du RGPD) ».
En d’autres termes : il existe maintenant des lignes directrices pour les autorités de surveillance afin de mieux appliquer et faire respecter le RGPD du point de vue des amendes et vous voudrez peut-être savoir ce que sont ces lignes directrices sur les amendes du RGPD, pour le dire simplement.
Ne vous attendez pas à une longue liste avec de multiples scénarios et une foule de détails sur l’amende qui s’applique à quel moment. Il serait impossible de le faire, bien sûr. Chaque cas individuel est différent. De plus, comme le stipule clairement le document des lignes directrices : Ces lignes directrices ne sont pas exhaustives et ne fournissent pas non plus d’explications sur les différences entre les systèmes de droit administratif, civil ou pénal lors de l’imposition de sanctions administratives en général ».
Toutefois, les « lignes directrices concernant l’application et la fixation des amendes administratives aux fins du règlement 2016/679 » clarifient quelques points concernant les amendes RGPD et notamment la « compréhension commune des critères d’évaluation de l’article 83, paragraphe 2 ».
Après avoir exposé certains principes, les lignes directrices font un zoom sur plusieurs de ces critères d’évaluation, comme vous pouvez le voir dans le document ci-dessous.
Mais faire ses devoirs de RGPD ne signifie pas seulement se renseigner sur la cyberassurance, l’article 83 ou les lignes directrices du Groupe de travail Article 29. Il faut d’abord avoir une approche stratégique du RGPD qui comprend plusieurs étapes et commence par une bonne compréhension du règlement et d’aspects tels que la prise en compte du respect de la vie privée dès la conception et la définition des personnes concernées, des données à caractère personnel, des identificateurs et des données sensibles dans le cadre du RGPD.
Dans le passé (sous le prédécesseur du RGPD), les autorités de contrôle des États membres n’ont pas souvent appliqué des amendes maximales pour déterminer les amendes, mais ont toujours tenu compte de divers aspects.
La question de savoir si elles seront beaucoup plus strictes reste ouverte, mais l’accent est mis beaucoup trop sur les amendes et pas assez sur le respect maximal du RGPD, sachant que l’efficacité des amendes et des sanctions doit également être proportionnelle et que, bien entendu, votre niveau de conformité jouera un rôle.