RGPD : La CJUE Clarifie Le Calcul Des Amendes Pour Violation
Le 12 janvier dernier, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt important concernant les critères à prendre en compte pour fixer le montant des amendes administratives en cas de violation du RGPD. Une clarification bienvenue pour les autorités de contrôle mais aussi pour les entreprises, qui disposent désormais d'un cadre plus précis.
Un arrêt qui fait suite à une question préjudicielle
C'est suite à une question préjudicielle posée par le tribunal régional supérieur du contentieux administratif de Basse-Saxe en Allemagne que la CJUE a été amenée à se prononcer. Le litige initial opposait l'autorité de contrôle de Basse-Saxe à une entreprise sanctionnée d'une amende de 10,4 millions d'euros pour avoir enfreint plusieurs dispositions du RGPD.
L'entreprise contestait le montant de cette amende, jugé disproportionné. Le tribunal allemand a donc décidé de surseoir à statuer et d'interroger la CJUE sur l'interprétation à donner à l'article 83 du RGPD relatif aux conditions générales des amendes administratives.
La nécessité d'une approche au cas par cas
Dans son arrêt, la Cour rappelle que le RGPD n'harmonise pas complètement les pouvoirs dont disposent les autorités de contrôle nationales ni les procédures applicables à l'exercice de ces pouvoirs. Une marge de manœuvre est laissée aux États membres. Pour autant, la CJUE souligne que les autorités de contrôle doivent respecter un certain nombre de critères communs lorsqu'elles déterminent une amende :
- La nature, la gravité et la durée de la violation
- Le caractère intentionnel ou négligent de la violation
- Les mesures prises pour atténuer le dommage
- Le degré de coopération avec l'autorité de contrôle
Mais au-delà de ces critères, la Cour insiste sur la nécessité d'une approche au cas par cas. Le montant de l'amende doit être proportionné et adapté aux circonstances spécifiques de chaque affaire.
L'importance des lignes directrices du CEPD
Pour guider les autorités de contrôle dans la fixation des amendes, la CJUE met en avant le rôle clé des lignes directrices adoptées par le Comité européen de la protection des données (CEPD). Ces lignes directrices visent à favoriser une application cohérente des pouvoirs correctifs par les autorités de contrôle, notamment en matière d'amendes administratives.
Les lignes directrices du CEPD constituent un outil précieux pour les autorités de contrôle afin de fixer des amendes justes et cohérentes à travers l'UE.
Si elles ne sont pas contraignantes, ces lignes directrices sont néanmoins des standards que les autorités de contrôle sont invitées à suivre, sous peine d'avoir à justifier leurs éventuels écarts.
Quelles implications pour les entreprises ?
Avec cet arrêt, les entreprises disposent d'une meilleure visibilité sur la façon dont les amendes RGPD sont calculées. Elles savent désormais que le montant de la sanction sera étroitement lié :
- A la sévérité et la durée de la violation
- Aux mesures prises pour se mettre en conformité et coopérer avec l'autorité de contrôle
- Aux dommages causés aux personnes concernées
Une violation mineure et rapidement corrigée sera sanctionnée bien moins lourdement qu'une violation massive, répétée et non traitée. En cas de contrôle, le niveau de coopération avec l'autorité sera également déterminant.
Cet arrêt rappelle ainsi aux entreprises l'importance de mettre en place une gouvernance solide des données personnelles et de réagir promptement en cas d'incident. Former les équipes, auditer régulièrement ses pratiques, tenir le registre des traitements à jour... Autant de bonnes pratiques qui permettront non seulement de prévenir les violations, mais aussi d'en limiter les conséquences en cas de contrôle.
En donnant des lignes directrices plus claires sur le calcul des amendes RGPD, la CJUE responsabilise les entreprises. A elles de mettre tous les moyens en œuvre pour assurer une protection optimale des données et ainsi minimiser les risques de sanction. Un enjeu de taille à l'heure où les amendes n'ont jamais été aussi fréquentes et élevées !
