RGPD : vers un calcul prédictif des amendes administratives ?

Jérôme Cail,
mercredi 25 mai 2022

CEPD | CNIL | RGPD

Le CEPD a adopté le 12 mai 2022 des lignes directrices sur le calcul des amendes administratives prononcées par les autorités de contrôle chargées de veiller au respect du RGPD dans les différents pays de l’Union Européenne. On a pu en effet constater une grande disparité dans les montants des amendes prononcées par chaque autorité ; l’objectif est donc de les harmoniser autant que possible, sachant que le CEPD prend soin de rappeler que le montant des amendes reste défini à la discrétion de chaque autorité…

Attention, ces lignes directrices ne sont pas définitives, il s’agit d’une version ouverte à la consultation publique. Si vous souhaitez apporter vos remarques, vous avez jusqu’au 27 juin 2022 pour les formuler directement sur le site du CEPD.

Va-t-on pouvoir prévoir le montant des amendes ?

Une méthodologie étant proposée par le CEPD pour calculer les amendes administratives va-t-on pouvoir anticiper et prévoir le montant des amendes, comme certains services le font déjà pour la prédiction des amendes issues de l’analyse de la jurisprudence ?

Réponse courte : non, pas avec précision !

En effet, l’essentiel du montant de l’amende est laissé à l’appréciation des autorités de contrôle avec la prise en compte de nombreux paramètres, tels que :

  • la classification de l’infraction ;
  • la gravité de l’infraction ;
  • l’évaluation du chiffre d’affaire de l’organisation mise en cause ;
  • l’évaluation des circonstances aggravantes ou atténuantes ;
  • le montant maximum prévu par la réglementation selon la nature de l’infraction ;
  • la prise en compte de l’efficacité, de l’effet dissuasif et de la proportionnalité de l’infraction.

Nous sommes donc très éloignés d’une analyse prédictive, ce qui semble par ailleurs assez logique car cela serait à l’opposé des objectifs recherchés par le RGPD. En effet, si les organisations pouvaient anticiper le montant d’une amende, elles pourraient alors comparer le coût occasionné par la mise en place des mesures de conformité au RGPD destinées à protéger efficacement les données personnelles (ensemble des mesures techniques, juridiques et organisationnelles) et le coût d’une amende prononcée par une autorité de contrôle en cas de défaut de conformité. Un arbitrage pourrait alors être effectué au profit du coût le plus faible. Bien entendu, cet aspect purement financier ne prendrait pas en compte les coûts invisibles tels que l’impact sur la réputation, la perte de confiance de la clientèle, des investisseurs ou la baisse de chiffre d’affaires. Mais quoi qu’il en soit, les lignes directrices publiées par le CEPD ne laissent pas vraiment entrevoir cette possibilité !

Il reste cependant possible d’avoir une idée de la fourchette dans laquelle se situera le seuil minimum retenu par l’autorité de contrôle, ce montant variant selon le chiffre d’affaire réalisé par l’organisation sanctionnée et d’autres paramètres.

Définition du montant minimum

Le chapitre 4 nous donne ainsi une idée des « points de départ » pour le calcul des amendes en nous proposant des pourcentages à appliquer au montant maximum théorique selon la nature de l’infraction en application des articles 83.4 et 83.5 du RGPD.

Pour mémoire :

  • Article 83.4 : violations du RGPD soumises à une amende maximum de 10 millions d’euros ou 10% du chiffre d’affaire global, le montant le plus élevé étant retenu.
  • Article 83.5 : violations du RGPD soumises à une amende maximum de 20 millions d’euros ou 20% du chiffre d’affaire global, le montant le plus élevé étant retenu.

Nous proposons donc ci-dessous un tableau récapitulatif qui donne une idée des montants que les autorités de contrôle peuvent prendre comme point de départ pour calculer les amendes :

Prenons un des exemples proposés par le CEPD pour illustrer ce tableau (cf exemple 6b page 24 des lignes directrices) :

  • Une application de rencontre réalise un CA de 500 000 €
  • Elle a violé les articles 9 et 5.1.a du RGPD ce qui la soumet à une amende relevant de l’article 83.5 du RGPD (20 millions d’euros ou 4% du CA global)
  • L’infraction est évaluée avec un niveau de gravité élevé (entre 20% et 100% du montant théorique maximum)

Le montant minimum sera donc compris entre :

  • 20 millions x 20% x 0,2% = 8 000 €
  • et 20 millions x 100% x 0,2% = 40 000 €

Dans cet exemple, le CEPD a retenu un point de départ de 16 000 € pour de calcul de l’amende.

Une fois de plus, cette grille n’est pas un barème prêt à l’emploi. C’est juste un outil de calcul permettant de déterminer le montant minimum servant de point de départ au calcul de l’amende. Ce tableau étant susceptible d’évoluer une fois la période de consultation publique clôturée par le CEPD.

Tous ces calculs étant effectués, le moyen le plus simple de ne pas avoir à prévoir le montant d’une amende administrative reste de ne pas se mettre en infraction.

Et pour cela, rien de mieux que de se faire accompagner par Diginsight pour assurer sa conformité au RGPD 🤩 !

Articles qui pourraient également vous intéresser

Services

Je débute

Renforcer mon équipe

Marketing Digital

Légal

Politique de protection des données personnelles

Mentions légales