arrow_back Retour à tous les articles

Article 83
Conditions générales pour l'imposition d'amendes administratives

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 83 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 83 keyboard_arrow_up

(148) Afin de renforcer l'application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(149) Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

(150) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d'imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères d'établissement des amendes administratives dont elles sont passibles, qui devraient être fixés par l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administraives sont imposées à des personnes qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte, lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau général des revenus dans l'État membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l'objet d'amendes administratives. L'application d'une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des autorités de contrôle ou à l'application d'autres sanctions en vertu du présent règlement.

(151) Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l'amende est imposée par les juridictions nationales compétentes sous la forme d'une sanction pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le cadre d'une procédure de délit, à condition qu'une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C'est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

Afficher les considérants de la Directive 95/46 liés à l'article 83 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 83 keyboard_arrow_up

(55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive s’en remettait totalement aux États membres en ce qui concerne les sanctions à appliquer en cas de violation des dispositions prises en application de la Directive (art. 24).

Belgique

La Belgique n’avait pas reconnu de compétence à la Commission de la protection de la vie privée lui permettant d’imposer des amendes.

France

En France, la CNIL avait reçu compétence pour prononcer des sanctions pécuniaires, sous certaines conditions, pouvant aller jusque 300 000 euros (art. 43 et 45 de la loi Informatique et Libertés

Où va-t-on ?

Les autorités de contrôles nationales reçoivent la compétence de prononcer des amendes administratives pour des violations du Règlement énumérées aux paragraphes 4, 5 et 6 de l’article 83 et exposées ci-dessous.

Ces amendes doivent être dans chaque cas effectives, proportionnées et dissuasives (§ 1er)

Selon les caractéristiques propres à chaque cas, les amendes sont imposées en complément ou à la place des mesures correctives visées aux points a) à h) et j) de l’article 58, § 2 qui peuvent être imposées par l’autorité de contrôle.

Pour fixer le montant de l’amende, l’autorité doit tenir compte, dans chaque cas, de pas moins 11 éléments visés dans la disposition tels que par exemple :

-la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi (a) ;

-le fait que l'infraction a été commise intentionnellement ou par négligence (b) ;

-les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées (c) ;

-le degré de responsabilité du responsable ou du sous-traitant au regard des mesures mises en place en vertu des articles 25 (protection by design et protection par défaut) et 32 (sécurité du traitement) (d) ;

-les violations de données antérieures imputables au responsable ou au sous-traitant (e) ; le degré de coopération avec l’autorité de contrôle afin de remédier à la violation et d’en atténuer les possibles effets nuisibles (f) ;

-les catégories de données traitées (g) ; la manière dont l’autorité de contrôle a été informée de la violation, en ce compris si une notification de la violation de données à l’autorité a été effectuée ou non (h).

Lorsque des mesures correctives préalables à la violation ont été ordonnées au regard de la même problématique, la question du respect desdites mesures par le responsable ou le sous-traitant doit être prise en compte (i). Il doit être également tenu compte de l’adhésion à un code de conduites ou à un mécanisme de certification (j) ; de n’importe quel autre facteur aggravant ou atténuant applicable au cas d’espèce, tel qu’un avantage financier obtenu ou perdu, directement ou indirectement, de la violation (k).

Au niveau des montants, un système graduel existe selon la gravité attribuée à l’infraction :

1. Amende jusque 10 000 000 euro ou dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, en retenant le montant le plus élevé pour les violations (§ 4) :

- des obligations du responsable et du sous-traitant (a):

  • relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8) ;
  • en matière de traitement ne nécessitant pas d’identification (art. 11) ;
  • en matière de protection des données dès la conception et de protection des données par défaut (art. 25) ;
  • des règles propres aux responsables conjoints du traitement (art. 26) ;
  • en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27) ;
  • s’imposant dans la relation entre le responsable et le sous-traitant (art. 28) ;
  • en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29) ;
  • relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30) ;
  • concernant la coopération avec l’autorité de contrôle (art. 31) ;
  • relatives à la sécurité des traitements (art. 32) ;
  • relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;
  • relatives à la communication des violations de données aux personnes concernées (art. 34) ;
  • concernant l’analyse d’impact relative à la protection des données (art. 35) et la consultation préalable de l’autorité de contrôle (art. 36) ;
  • concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions (art. 39) ;
  • en matière de certification (art. 42) et de procédure de certification (art. 43).

- des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;

- des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).

2. Amende jusque 20 000 000 euros ou dans le cas d'une entreprise, 4 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, en retenant le montant le plus élevé pour les violations des dispositions suivantes (§ 5) :

- les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principes relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au consentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;

- des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;

-des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;

- toutes les obligations mises en place par le droit national conformément au chapitre IX ; on se rappellera que le chapitre IX laisse aux États membres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel et liberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87), etc…

- le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux de données, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pas l’accès en violation de l’article 58, § 1er ;

En outre, le non-respect d’une injonction d’une autorité de contrôle expose son auteur à une amende de 20 000 000 euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (§ 6).

À noter que si le responsable ou le sous-traitant viole intentionnellement ou par négligence différentes dispositions du Règlement, le montant total de l’amende ne peut pas excéder le montant spécifié pour la violation la plus grave (§ 3).

Sans préjudice des éventuelles mesures correctrices imposées par les autorités de contrôle au sens de l’article 58, § 2, chaque État membre peut édicter des règles concernant la possibilité et la mesure de l’imposition d’amendes administratives aux autorités publiques et institutions établies dans cet État membre (§ 7).

L'exercice, par l'autorité de contrôle, des pouvoirs d’imposer une amende est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière (§ 8).

Enfin, lorsque le système juridique d’un État membre ne permet pas la mise en place d’amendes administratives, l’article 83 peut être appliqué de telle sorte que l’amende soit initiée par une autorité de contrôle et imposé par une juridiction nationale compétente (§ 9). Dans ce cas, les recours judiciaires doivent être effectifs et avoir des effets équivalents aux amendes administratives prononcées par des autorités de contrôle. Dans tous les cas, lesdites amendes doivent être effectives, proportionnées et dissuasives. Les États membres qui font usage de cette faculté doivent notifier à la commission les dispositions de leur droit national au plus tard au moment où le Règlement est applicable en vertu de de l’article 99, § 2, et notifier sans délai les modifications ultérieures.

Difficultés probables

Les difficultés les plus évidentes seront de reconnaître de tels pouvoirs aux autorités de contrôle dans des systèmes juridiques qui n’ont pas une telle culture et de prévoir des garanties procédurales dans des procédures nouvelles mises en œuvre en marge des règles générales de procédure.

En Belgique par exemple, la reconnaissance éventuelle d’un tel pouvoir d’imposer des amendes d’un tel montant modifierait du tout au tout la relation des justiciables à la Commission de protection de la vie privée. Cette dernière, on l’a dit, était plus conçue comme un organe de conciliation que de répression et ne disposait d’aucun pouvoir en matière d’amende.

A noter que le pouvoir de l’autorité nationale pourrait être limité à l’initiation de l’amende, seule une juridiction ayant la compétence de l’imposer. Reste à savoir dans ce cas, ce que recouvrirait ce pouvoir d’initiation et si la juridiction pourrait ou non revenir ou refuser d’appliquer celle-ci dans le cadre de son intervention.

 

Règlement
1e 2e

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

b) le fait que la violation a été commise délibérément ou par négligence;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;

g) les catégories de données à caractère personnel concernées par la violation;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 et 43;

b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;

c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.

5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Proposition 1 close

1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article.

2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation. 3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. 4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4. 5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses FR 102 FR données à caractère personnel à une autre application en violation de l’article 18; e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. 6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; b) traite des catégories particulières de données en violation des articles 9 et 81; c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19; d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; f) omet de désigner un représentant conformément à l’article 25; g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; FR 103 FR j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2.

Proposition 2 close

1. Chaque autorité de contrôle (...) veille à ce que les amendes administratives visées à l'article 79 bis qui sont imposées en vertu du présent article pour des violations du présent règlement (...) soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. (…)

2 bis. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 53, paragraphe 1 ter, points a) à f). Lorsqu'il est décidé d'imposer ou non une amende administrative (...) et que le montant de l'amende administrative est fixé, il est dûment tenu compte dans chaque cas des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi;

b) le fait que l'infraction a été commise de propos délibéré ou par négligence,

c) (...);

d) les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

e) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 23 et 30;

f) toute violation antérieure pertinente commise par le responsable du traitement ou le sous-traitant;

g) (…);

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant ont notifié la violation;

i) lorsque des mesures telles que celles visées à l'article 53, (…) paragraphe 1 ter, points a), d), e) et f), ont été précédemment décidées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l'adhésion à des codes de conduites approuvés, conformément à l'article 38, ou à des mécanismes de certification, conformément à l'article 39;

k) (…);

 l) (…);

m) toute autre circonstance aggravante ou atténuante applicable au cas concerné.

3. (…)

3 bis. (…)

3 ter. Tout État membre peut établir les règles déterminant si et dans quelle mesure des amendes peuvent être infligées à des autorités et des organismes publics établis sur son territoire.

4. L'exercice, par l'autorité de contrôle (…), des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière.

5. Les États membres peuvent s'abstenir de mettre en place les règles régissant les amendes administratives visées à l'article 79 bis, paragraphes 1, 2 et 3, lorsque leur système juridique ne prévoit pas d'amendes administratives et que les violations visées font déjà l'objet de sanctions pénales dans le cadre de leur droit interne à la date du [date visée à l'article 91, paragraphe 2], tout en prenant les mesures nécessaires pour que ces sanctions pénales soient effectives, proportionnées et dissuasives, compte tenu du niveau des amendes administratives prévues dans le présent règlement. Dans ce cas, les États membres notifient à la Commission les parties de leur droit pénal concernées.

Art. 79 bis

1. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 250 000 EUR, ou, dans le cas d'une entreprise, 0,5 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement qui, de propos délibéré ou par négligence:

a) ne répond pas dans les délais prévus à l'article 12, paragraphe 2, aux demandes de la personne concernée;

 b) perçoit des frais (…) en violation de l'article 12, paragraphe 4, première phrase.

2. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 500 000 EUR ou, dans le cas d'une entreprise, 1 % de son chiffre d'affaires annuel (…) total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations [en temps voulu ou] de façon [suffisamment] transparente à la personne concernée conformément à l'article 12, paragraphe 3, et aux articles 14 et 14 bis;

 b) ne fournit pas un accès à la personne concernée ou ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 (...);

c) n'efface pas les données à caractère personnel en violation du droit à l'effacement et à l'"oubli numérique" conformément à l'article 17, paragraphe 1, points a), b), d) ou e);

d) (…)

d bis) traite des données à caractère personnel en violation du droit à la limitation du traitement prévu à l'article 17 bis ou n'informe pas la personne concernée avant que la limitation du traitement soit levée conformément à l'article 17 bis, paragraphe 4;

d ter) ne communique pas à chaque destinataire à qui le responsable du traitement a communiqué des données à caractère personnel toute rectification, tout effacement ou toute limitation du traitement en violation de l'article 17 ter;

d quater) ne fournit pas à la personne concernée les données à caractère personnel la concernant (...) en violation de l'article 18;

d quinquies) traite des données à caractère personnel après que la personne concernée s'y soit opposée conformément à l'article 19, paragraphe 1, et n'établit pas l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts, les droits et les libertés de la personne concernée, ou la constatation, l'exercice ou la défense d'un droit en justice;

 d sexies) ne fournit pas à la personne concernée d'informations concernant le droit de s'opposer au traitement à des fins de prospection conformément à l'article 19, paragraphe 2, ou continue le traitement de données à des fins de prospection après l'opposition de la personne concernée, en violation de l'article 19, paragraphe 2 bis;

e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;

f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28 et à l'article 31, paragraphe 4.

g) (…)

3. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 1 000 000 EUR ou, dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) traite des données à caractère personnel sans base juridique (...) à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7, 8 et 9;

b) (…);

c) (…);

d) ne respecte pas les conditions relatives à la prise de décision individuelle automatisée, y compris le (…) profilage conformément à l'article 20;

d bis) omet (…) de mettre en œuvre les mesures appropriées ou n'est pas à même d'établir le respect des obligations énoncées aux articles 22 (…) et 30;

d ter) omet de désigner un représentant en violation de l'article 25;

d quater) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation (…) de l'article 26;

d quinquies) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation [en temps utile ou] de façon complète à l'autorité de contrôle ou à la personne concernée en violation des articles 31 et 32;

d sexies) omet d'effectuer une analyse d'impact relative à la protection des données en violation de l'article 33 ou traite des données à caractère personnel sans consultation préalable de l'autorité de contrôle en violation de l'article 34, paragraphe 2;

e) (…);

f) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39 ou ne respecte par les conditions et les procédures prévues aux articles 38 bis et 39 bis;

g) effectue ou donne l'instruction d'effectuer, vers un destinataire situé dans un pays tiers ou à une organisation internationale, un transfert de données en violation des articles 41 à 44;

h) ne respecte pas une injonction, une limitation temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1 ter, ou ne fournit pas l'accès en violation de l'article 53, paragraphe 1.

 i) (…)

 j) (…).

 3 bis. Si un responsable du traitement ou un sous-traitant enfreint délibérément ou par négligence plusieurs dispositions du présent règlement énumérées aux paragraphes 1, 2 ou 3, le montant total de l'amende ne peut pas excéder le montant fixé pour la violation la plus grave. 4. (...)

Directive

Art. 24

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

France

Art. 45

(…)

Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'Etat ;

Art. 47

Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

Lors du premier manquement, il ne peut excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 euros ou, s'agissant d'une entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK