Facebook Instagram Linkedin Youtube

Voici comment les amendes sont calculées en vertu du RGPD

waarom is gdpr belangrijk?

En mai 2018, le règlement général sur la protection des données (RGPD) et sa loi d’application sur le règlement général sur la protection des données (RGPD) sont entrés en vigueur. Depuis lors, l’Autorité des données personnelles (AP) a été autorisée à émettre des amendes en tant que régulateur. Mais comment ces amendes sont-elles calculées ? C’est l’objet de ce blog.

Pouvoir d’imposer des amendes

L’autorité de régulation peut infliger des amendes aux organisations publiques et privées. En cas de non-respect de l’AVG, une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial peut être imposée (article 83, paragraphes 4 et 5, de l’AVG et articles 17 et 18 de l’UAVG). En 2021, l’AP a publié 11 amendes sur son site web. Ils vont de 7 500 euros à 2,75 millions d’euros. Pour déterminer le niveau des amendes, l’AP utilise les règles de son“Personal Data Authority Fine Policy 2019(Politique d’amendes de l’Autorité des données personnelles 2019). Toutefois, les organismes qui ont enfreint la loi sur la protection des animaux souhaitent davantage de transparence et de prévisibilité en ce qui concerne les amendes. C’est pourquoi le Conseil européen de la protection des données (CEPD) a publié une nouvelle ligne directrice. Cela devrait garantir des amendes plus uniformes dans les États membres de l’Union européenne.

Manque de clarté sur le fonctionnement de l’AP

Le Centre de recherche scientifique et de documentation (WODC) a commandé une étude portant notamment sur l’application et l’efficacité de l’amende administrative de l’AP. Le rapport a été publié en juin de cette année. Les chercheurs concluent qu’il n’y a pas de politique apparente en matière de supervision et d’application de la loi par l’AP. Les actions de l’AP sont incohérentes. Le dialogue avec l’auteur présumé de la violation de la LVA fait régulièrement défaut. Dans sa réponse au rapport, l’AP affirme qu’une comparaison mathématique entre différentes positions de cas n’a que peu de sens. Bien entendu, les circonstances spécifiques du cas doivent être prises en compte. Mais les chercheurs notent à juste titre qu’une certaine sécurité juridique est souhaitable.

Feuille de route pour le calcul des amendes

Le 12 mai 2022, l’EDPB a publié des orientations sur le calcul des amendes administratives en vertu de la loi sur la protection des données. Les recommandations contenues dans le présent document peuvent être présentées dans les cinq étapes ci-dessous. En tout état de cause, les amendes imposées doivent être effectives, proportionnées et dissuasives (article 83, paragraphe 1, de la loi sur les marchés publics).

Étape 1 : Identifier les activités de traitement et la ou les violations
Tout d’abord, les activités de traitement doivent être identifiées. Il s’agira ensuite de déterminer si un responsable du traitement ou un sous-traitant a enfreint, intentionnellement ou par négligence, plusieurs exigences de la loi sur la protection des données. Cette dernière s’applique-t-elle ? Dans ce cas, l’amende imposée ne peut pas dépasser celle de l’infraction la plus grave. L’EDPB décrit en détail les différentes (im)possibilités en cas d’infractions (non) cumulées.

Étape 2 : Classification de l’infraction ou des infractions
Après avoir identifié les activités de traitement, la violation doit être classée dans le cadre de la loi sur la protection des données (article 83, paragraphes 4 à 6, de la loi sur la protection des données). La gravité de l’infraction dans le cas d’espèce doit également être déterminée. Enfin, le chiffre d’affaires de l’auteur présumé doit être déterminé. La gravité de chaque infraction tient compte de la nature, de la gravité et de la durée de l’infraction. Plus précisément encore, l’EDBP précise que les éléments suivants sont pertinents :

  • La nature, la portée et la finalité du traitement ;
  • le nombre de parties prenantes concernées ;
  • la gravité des dommages.

Le chiffre d’affaires du contrevenant peut être utilisé pour imposer une amende appropriée. Sur la base de tous ces critères, le régulateur doit déterminer le montant de départ approprié.

Étape 3 : Identification des circonstances aggravantes ou atténuantes
Troisièmement, le superviseur doit identifier les circonstances aggravantes ou atténuantes. Existe-t-il des circonstances actuelles ou passées qui pourraient expliquer le comportement du responsable du traitement ou du sous-traitant ? Si tel est le cas, le montant de départ peut être ajusté à la hausse ou à la baisse. Les facteurs importants de cette évaluation sont les suivants :

  • les mesures prises par l’organisation pour réduire les dommages ;
  • le degré de responsabilité ;
  • les éventuelles infractions antérieures ;
  • Le niveau de coopération avec le superviseur.

Étape 4 : Test par rapport aux cadres juridiques
Les cadres juridiques applicables n’empêchent-ils pas l’ajustement du montant lors de la troisième étape ? Le montant (modifié) ne peut dépasser les limites fixées à l’article 83 de la LCA. L’AP devra également vérifier ses propres cadres à partir de sa règle de politique dans cette étape.

Étape 5 : Évaluation de l’efficacité, de la proportionnalité et de la dissuasion
Enfin, l’autorité de régulation devra déterminer si le montant est suffisamment efficace, proportionné et dissuasif. L’amende devrait renforcer l’application du programme AVG pour qu’il soit efficace et dissuasif. La viabilité économique de l’organisation à laquelle l’amende est infligée détermine la proportionnalité de l’amende. La différence entre l’amende infligée au PVV Overijssel et celle infligée à l’entreprise internationale Booking. com est un exemple concret du fonctionnement de cette proportionnalité.

Un complément bienvenu à la règle politique actuelle du Parlement européen

La politique de l’AP en matière d’amendes consiste principalement à classer les différentes infractions par catégories. Cette catégorisation est liée à certains montants minimums et maximums. En plus de cette catégorisation, des facteurs pertinents ont été énumérés. Les orientations de l’EDPB fournissent de nombreuses explications supplémentaires sur ces facteurs. Il donne également un bon aperçu de la voie à suivre par un superviseur. Comment se déroule le processus entre l’ouverture d’une enquête et l’imposition d’une amende ? À mon avis, le respect de ces règles permettra une application plus cohérente et plus transparente de la part de l’AP.

Le PA prend-il des mesures d’exécution à votre encontre ? Ou bien l’AP a-t-il ouvert une enquête ? Nous pouvons vous aider du début à la fin dans ces questions difficiles. Pour ce faire, contactez l’un de nos spécialistes.

Consulter le DPD
BRON: https://www.jpr.nl/actueel/zo-worden-boetes-onder-de-avg-berekend#:~:text=In%20het%20geval%20van%20het,tot%202%2C75%20miljoen%20euro.

Delen:

Meer berichten

gdpr audit

Un audit dans le NIS2

Introduction : L’Union européenne a réagi en introduisant la directive NIS2, une mise à jour de la directive originale de 2016 sur

Partners

AMS Antwerp Management School
Ombudsdienst Energie
College Of Europe
DeltaHealthCare Willebroek
FKS Hasselt
KLIO Kusala Leadership Intelligent Organisation
Vancauthem BV
Bureau Buitenland BV
Vandermaesen Lakkerij Tessenderlo
Takeldienst M-Assistance
Notariaat Cabes
Notariskantoor Fagard & Deak

Links

Links

Contact

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden