Le ComitĂ© europĂ©en de la protection des donnĂ©es (CEPD) a adoptĂ© le 24 mai dernier de nouvelles lignes directrices afin de mieux gĂ©rer les amendes attribuĂ©es aux entreprises qui enfreignent …
Le ComitĂ© europĂ©en de la protection des donnĂ©es (CEPD) a adoptĂ© le 24 mai dernier de nouvelles lignes directrices afin de mieux gĂ©rer les amendes attribuĂ©es aux entreprises qui enfreignent le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD). En France, câest la Commission nationale de lâinformatique et des libertĂ©s (CNIL) qui dĂ©cide ou non dâattribuer ces sanctions financiĂšres.
Le CEPD aide les régulateurs européens à sanctionner à juste titre les entreprises fautives
La premiĂšre des deux lignes directives a pour objectif « dâharmoniser les mĂ©thodes de calcul des amendes administratives pouvant ĂȘtre prononcĂ©es par les autoritĂ©s nationales, » Ă savoir la CNIL sur le sol français. Comme le prĂ©cise un communiquĂ©, une premiĂšre version a tout dâabord Ă©tĂ© approuvĂ©e le 12 mai 2022. Elles incluaient la prĂ©sentation dâune mĂ©thode de calcul en cinq Ă©tapes :
- LâĂ©tablissement de lâensemble des cas de comportement sanctionnables afin de savoir sâils ont conduit Ă une ou plusieurs infractions ;
- LâĂ©tablissement dâune somme minimale, considĂ©rĂ©e comme point de dĂ©part pour le calcul de lâamende, et dĂ©finie par lâautoritĂ© nationale ;
- Tenir compte des facteurs aggravants ou atténuants ;
- Déterminer les plafonds légaux des amendes afin que les montants attribués ne les dépassent pas ;
- Analyser si le montant final rĂ©pond aux exigences dâefficacitĂ©, de dissuasion, de proportionnalitĂ© en fonction du contexte et de lâentreprise. Ajuster la valeur si nĂ©cessaire.
Si ces cinq Ă©tapes constituent le socle de la ligne directrice sur le calcul des amendes administratives, le ComitĂ© europĂ©en souhaitait que la population europĂ©enne puisse donner leur avis. De ce fait, une consultation publique a Ă©tĂ© lancĂ©e du 12 mai au 27 juin 2022. Elle a abouti Ă la mise Ă disposition dâun tableau de rĂ©fĂ©rence permettant dâaider les autoritĂ©s Ă mieux analyser la gravitĂ© dâune infraction en corrĂ©lation avec le chiffre dâaffaires de lâentreprise visĂ©e.
Les autorités nationales ont la possibilité de donner leur avis sur un projet de sanction
La deuxiĂšme ligne directrice met en lumiĂšre la procĂ©dure dâadoption de dĂ©cision contraignante par le CEPD. Câest en avril 2021 que le ComitĂ© avait adoptĂ© la premiĂšre version de cette mesure visant à « clarifier la procĂ©dure de rĂ©solution des litiges entre autoritĂ©s de protection des donnĂ©es ».
Elle invite grandement les autoritĂ©s nationales Ă se conformer Ă lâarticle 65.1.a du RGPD. ConcrĂštement, lorsquâun ou plusieurs rĂ©gulateurs nationaux formulent une objection pertinente et motivĂ©e Ă lâĂ©gard dâun projet de dĂ©cision de lâautoritĂ© chef de file, câest-Ă -dire celle oĂč se situe le siĂšge social europĂ©en de lâentreprise, une dĂ©cision contraignante est adoptĂ©e. Cela oblige lâautoritĂ© cheffe de file Ă prendre en compte toutes les objections afin de prendre sa dĂ©cision finale.
Toutefois, câest toujours ce rĂ©gulateur qui possĂšde le dernier mot dans lâĂ©tablissement des sanctions. Dans un registre semblable, la Cour de Justice de lâUnion europĂ©enne (CJUE) a rĂ©cemment donnĂ© raison aux big tech suite Ă la volontĂ© du KommAustria, de les rĂ©guler avec plus de sĂ©vĂ©ritĂ©. DĂ©sormais, les rĂ©gulateurs des pays membres de lâUE ne pourront pas dicter des obligations plus sĂ©vĂšres que celles du en vigueur dans le pays oĂč se situe le siĂšge social du gĂ©ant technologique.
0 commentaires