Le GDPR a la réputation d'être assorti d'amendes importantes et effrayantes. Des amendes record comme celle de 1,2 milliard d'euros infligée par €Meta pour des transferts de données et celle de 745 millions d'euros infligée par Amazon ont fait la une des journaux et ont suscité un débat sain sur la conformité et la protection de la vie privée. Mais que sont les amendes GDPR et comment fonctionnent-elles exactement ?
Ce blog explique tout ce qu'il faut savoir sur les amendes GDPR : comment elles sont émises et calculées, comment elles peuvent être contestées, en quoi elles diffèrent des autres outils d'application, et plus encore. Entrons dans le vif du sujet !
L'essentiel
Qu'est-ce qu'une amende GDPR ?
Les amendes GDPR sont des actes administratifs et non des décisions. Cela a des conséquences importantes sur le fonctionnement des amendes et sur la manière dont elles peuvent être contestées.
Il n'y a pas grand-chose de plus à dire, en fait. Vous savez ce qu'est une amende : vous enfreignez une règle, vous vous faites prendre, vous devez payer.
Comment se voit-on infliger une amende dans le cadre du GDPR ?
Toute violation du GDPR peut donner lieu à une amende. Les organisations se voient infliger des amendes pour toutes sortes de raisons : collecte illégale de données à caractère personnel, absence de sécurisation des transferts de données, mise en œuvre d'une cybersécurité médiocre, absence de signalement d'une violation grave des données, etc.
Ce n'est pas parce que vous pouvez être condamné à une amende pour ces violations que vous le serez. Les organisations s'en sortent parfois avec un avertissement et une injonction de se mettre en conformité. Cela se produit généralement lorsqu'une petite organisation commet une erreur honnête qui n'a pas de conséquences graves pour les individus.
Qui émet les amendes GDPR ?
Les amendes GDPR sont émises par les autorités de protection des données (aussi appelées DPA ou autorités de contrôle).
Les autorités de protection des données sont des autorités administratives chargées de faire appliquer le GDPR dans leur pays. Chaque pays de l'UE et de l'Espace économique européen dispose d'une autorité de protection des données (ou de plusieurs, dans le cas des États fédéraux).
Lesautorités de protection des données ne se contentent pas d'infliger des amendes. Elles peuvent, par exemple, ordonner à une organisation d'interrompre temporairement une opération impliquant l'utilisation de données à caractère personnel, voire d'y mettre fin définitivement. Ces sanctions peuvent parfois avoir un impact plus important sur les organisations que les amendes.
Les amendes sont-elles des dommages et intérêts ?
Les amendes et les dommages-intérêts jouent tous deux un rôle important dans l'application du GDPR, mais ils ne sont pas identiques.
Les dommages-intérêts et les amendes proviennent d'autorités différentes: les tribunaux accordent des dommages-intérêts et les autorités chargées de la protection des données infligent des amendes au titre du GDPR. Les tribunaux et les autorités de protection des données ont des pouvoirs différents et aucun des deux ne peut faire le travail de l'autre.
Les dommages-intérêts et les amendes ont également des objectifs différents: les dommages-intérêts sont une forme de compensation, tandis que les amendes sont un outil de punition et de dissuasion.
En pratique, cela signifie que les personnes ne peuvent prétendre à des dommages et intérêts que si le mauvais traitement de leurs données a entraîné une forme de préjudice (y compris un "préjudice moral", comme on dit en jargon juridique). D'autre part, vous pouvez être condamné à une amende pour violation, que vous ayez causé un dommage ou non, tout comme vous pouvez recevoir une contravention pour excès de vitesse sans avoir causé d'accident de la route.
Rien de tout cela n'est spécifique au GDPR, d'ailleurs. C'est simplement la façon dont les dommages-intérêts fonctionnent dans les juridictions de droit civil.
Les aspects pratiques
Comment les amendes du GDPR sont-elles calculées ?
Le GDPR comprend une liste de critères très longue et très complexe. Il faut donc simplifier à l'extrême.
L'un des principaux critères est l'impact de la violation. Les amendes ont tendance à être plus élevées pour les violations très préjudiciables et ayant un impact important - par exemple, une mauvaise cybersécurité entraînant une violation de données à grande échelle.
D'autres critères importants sont le caractère intentionnel de la violation, les antécédents de l'organisation en matière de non-conformité et le fait que la violation concerne des données sensibles (au sens spécifique du GDPR, et non au sens générique de tous les jours).
Le comportement d'une organisation après une violation a également son importance. Les amendes sont moins élevées lorsque les organisations collaborent à l'enquête et s'efforcent de corriger leurs erreurs avant que l'amende ne soit infligée. Cela encourage les organisations à collaborer avec les autorités chargées de la protection des données pour se mettre en conformité plutôt que de mener une guerre juridique contre l'application de la loi.
Enfin, le bon sens joue un rôle crucial. Une erreur honnête commise par une petite entreprise n'est pas traitée de la même manière que la non-conformité intentionnelle d'une multinationale.
Quel est le montant maximum des amendes prévues par le GDPR ?
Les amendes sont plafonnées à 10 millions d'euros ou à 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ces limites sont doublées en cas de violations flagrantes, telles que la collecte illégale de données sensibles : les plafonds réels sont donc de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel mondial.
Ces 4 % peuvent représenter un chiffre énorme pour les entreprises, car ils peuvent être calculés sur la base du chiffre d'affaires de groupes entiers d'entreprises. C'est ainsi que Meta a obtenu son amende record de 1,2 milliard d'euros : le montant a été calculé sur le chiffre d'affaires de l'ensemble du groupe Meta, même si l'affaire concernait (nominalement) la seule société Meta Platforms Ireland.
Les amendes sont-elles publiques ?
Les règles varient d'une juridiction à l'autre. Certaines autorités publient la plupart ou la totalité de leurs décisions, tandis que d'autres ne le font pas. Par exemple, certaines autorités considèrent la publication comme une sanction supplémentaire qui ne peut être infligée qu'en cas de nécessité. D'autres limitent la publication de la décision jusqu'à ce qu'elle ne puisse plus être contestée - c'est pourquoi nous ne pouvons toujours pas lire les motifs de l'amende de 746 euros infligée à Amazon.
Peut-on être condamné à une amende pour une violation de données ?
Oui, c'est possible. Mais vous n'êtes pas automatiquement condamné à une amende pour une violation de données.
Le GDPR exige des organisations qu'elles mettent en œuvre une sécurité appropriée, et non une sécurité parfaite. Vous ne serez condamné à une amende que si vous n'avez pas fait assez pour sécuriser les données. À l'inverse, vous pouvez être sanctionné pour avoir mis en place une sécurité insuffisante, même si aucune violation de données n'a eu lieu.
Il convient également de mentionner que les organisations doivent signaler elles-mêmes les violations graves de données aux autorités chargées de la protection des données (et, dans certains cas, aux personnes concernées). L'absence d'autodénonciation est un motif d'amende.
La procédure
Comment les amendes GDPR sont-elles émises ?
Les amendes GDPR sont émises par les DPA après une enquête. Les autorités de protection des données peuvent enquêter sur des plaintes ou ouvrir une enquête de leur propre chef. Dans la pratique, la plupart des enquêtes font suite à une plainte.
Les amendes sont régies non seulement par le GDPR mais aussi par le droit administratif national. La procédure d'imposition d'une amende varie d'un pays à l'autre, tout comme les droits et le rôle des parties à l'enquête.
La procédure pour les affaires transfrontalières est plus compliquée car elle peut impliquer plusieurs autorités de protection des données.
Comment les amendes GDPR sont-elles contestées ?
Le destinataire d'une amende a le droit de la faire réviser par un tribunal. Il s'agit d'un principe fondamental du droit administratif qui s'applique dans toutes les juridictions de l'UE.
La procédure de contestation d'une amende varie considérablement d'une juridiction à l'autre. Par exemple, un recours administratif peut parfois s'ajouter au contrôle juridictionnel (mais ne peut jamais le remplacer). Cela signifie que le destinataire d'une amende peut la faire réviser non seulement par un tribunal, mais aussi par un organe administratif ayant le pouvoir d'annuler la décision de l'autorité de protection des données.
Chez Simple Analytics, nous nous soucions de la protection de la vie privée. C'est pourquoi nous faisons de notre mieux pour expliquer le GDPR et la loi sur la protection de la vie privée à tout le monde, sans jargon juridique.
Si la protection de la vie privée vous tient également à cœur, pourquoi ne pas essayer notre outil d'analyse web ? Nous avons conçu Simple Analytics en gardant à l'esprit l'innovation, la protection de la vie privée et la facilité d'utilisation. Simple Analytics ne collecte aucune donnée personnelle de vos visiteurs et est doté d'un tout nouvel assistant IA qui vous fournit exactement les informations que vous souhaitez.
Si cela vous convient, essayez Simple Analytics avec notre version d'essai de deux semaines !