arrow_back Retour à tous les articles

Article 83
Conditions générales pour l'imposition d'amendes administratives

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 83 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 83 keyboard_arrow_up

(148) Afin de renforcer l'application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(149) Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

(150) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d'imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères d'établissement des amendes administratives dont elles sont passibles, qui devraient être fixés par l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administraives sont imposées à des personnes qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte, lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau général des revenus dans l'État membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l'objet d'amendes administratives. L'application d'une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des autorités de contrôle ou à l'application d'autres sanctions en vertu du présent règlement.

(151) Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l'amende est imposée par les juridictions nationales compétentes sous la forme d'une sanction pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le cadre d'une procédure de délit, à condition qu'une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C'est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

Afficher les considérants de la Directive 95/46 liés à l'article 83 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 83 keyboard_arrow_up

(55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l’application et la fixation des amendes administratives - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Retour au sommaire

Sommaire

Union Européenne


Belgique

Jurisprudence belge

Cass. Be., RG P.20.0709.F (4 novembre 2020)

L'article 222, 1°, de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui dispose que le responsable du traitement ou le sous-traitant, son préposé ou mandataire, l'autorité compétente, visés aux titres 1er et 2, est puni d'une amende de deux cent cinquante euros à quinze mille euros, lorsque les données à caractère personnel sont traitées sans base juridique conformément à l'article 6 du Règlement et aux articles 29, § 1er, et 33, § 1er, de la présente loi, y compris les conditions relatives au consentement et au traitement ultérieur, ne requiert pas que, pour commettre l'infraction qu'il prévoit, l'auteur doit avoir agi par négligence grave ou avec intention malveillante.

Arrêt rendu

C. const. Be., n°3/2021 (14 janvier 2021)

1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.

Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.

2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.

Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.

3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.

5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2021/AR/163 (26 mai 2021)

La Cour a confirmé ses pouvoirs conformément à l'article 78 du RGPD : la Cour peut annuler et même adopter une nouvelle décision dans la mesure où tous les faits et questions juridiques ont déjà été discutés devant l'APD. La Cour peut le faire en cas d'erreur manifeste de fait ou de droit commise par l'APD.

La Cour a confirmé les violations déjà constatées par l'APD belge.

Cependant, la cour d'appel a annulé l'amende (et uniquement l'amende) au motif que la chambre contentieuse avait abusé de ses pouvoirs en infligeant une amende administrative. Selon la Cour, l'Autorité de protection des données devrait examiner l'éventail complet des sanctions à sa disposition avant d'infliger une amende, et n'imposer une amende qu'aux organisations/personnes qui ne se conforment pas à ses injonctions.

Infliger une amende administrative dès la première infraction a été jugé contraire au principe de proportionnalité, qui implique que la sanction doit être proportionnée à l'infraction. À cet égard, la Cour a noté que la DPA avait confirmé que la violation n'était pas intentionnelle et que le formulaire contenant les données personnelles demandées en jeu n'avait pas été renvoyé par le plaignant.

Par conséquent, la Cour d'appel annule l'amende et considère que la DPA aurait plutôt dû utiliser d'autres pouvoirs de correction. Les autres parties de la décision de l'APD belge ont été confirmées.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°353193 (12 mars 2014)

La formation restreinte de la CNIL, lorsqu'elle est saisie d'agissements pouvant donner lieu à l'exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d'accusations en matière pénale au sens de l'article 6, paragraphe 1 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Arrêt rendu

CE Fr., n°396050 (19 juin 2017)

Il résulte des dispositions de l'article 45 de la loi n° 78-17 du 6 janvier 1978 et de la délibération n° 2013-175 du 4 juillet 2013 portant règlement intérieur de la CNIL que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. En revanche, la circonstance qu'il a été remédié au manquement fautif postérieurement à la date d'expiration de la mise en demeure peut être prise en compte pour la détermination de la sanction infligée.

Arrêt rendu

CE Fr., n°412589 (6 juin 2018)

1. L'utilisation de «cookies» répondant aux caractéristiques définies au II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l'article 6 de cette même loi.

2. Lorsque des «cookies» sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de «cookies» mis en place pour son compte.

3. a) Les autres tiers qui déposent des «cookies» à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement.

b)Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels « cookies » par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le «cookie», notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des «cookies» qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.

4. Il résulte de l'article 45 de la loi n° 78-17 du 6 janvier 1978 que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée.

Il incombe en principe à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu pour ce faire. S'il est toujours loisible à la CNIL de faire usage de ses pouvoirs d'instruction, elle n'est jamais tenue de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par la mise en demeure. Il s'ensuit qu'une procédure disciplinaire peut être légalement engagée au seul motif qu'à cette date, la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dans une telle hypothèse, si l'instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer avec la CNIL qui est posée à l'article 21 de la loi du 6 janvier 1978.

Arrêt rendu

CE Fr., n°416505 (21 juin 2018)

L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'engager à l'encontre de la personne visée par la plainte une procédure sur le fondement du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de cette loi. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'engager une procédure sur le fondement de l'article 45 de la loi du 6 janvier 1978, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer, dans tous les cas, au juge de l'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

Arrêt rendu

CE Fr., n°422575 (17 avril 2019)

1) Il résulte du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, éclairé par les travaux préparatoires de cette loi, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés, soit qu'ils soient insusceptibles de l'être, soit qu'il y ait déjà été remédié.

2) Il résulte de l'instruction qu'à la suite d'une mesure correctrice apportée au traitement litigieux, le manquement aux obligations de sécurité constaté par la mission de contrôle de la CNIL avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Il s'ensuit que la formation restreinte de la CNIL a pu légalement engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre du responsable du traitement.

Arrêt rendu

CE Fr., n°434376 (6 novembre 2019)

Concerne : Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent.

1. L'article 35 du RGPD prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en œuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

2. Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la CNIL en application de l'article 20 de la loi n°78-17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance, invoquée par les associations requérantes, qu'elle n'aurait pas été réalisée avant la signature de l'instruction n'est pas de nature à entacher celle-ci d'illégalité. Le moyen tiré de la méconnaissance par l'instruction attaquée de l'article 35 du RGPD doit par suite et en tout état de cause être écarté.

Arrêt rendu

CE Fr., n°433311 (4 novembre 2020)

Il résulte clairement du III de l'article 45 de la loi n° 78-17 du 6 janvier 1978 dans sa rédaction applicable au litige, devenu l'article 20 de la même loi, que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL.

Arrêt rendu

Retour au sommaire

Le GDPR

Les autorités de contrôles nationales reçoivent la compétence de prononcer des amendes administratives pour des violations du Règlement énumérées aux paragraphes 4, 5 et 6 de l’article 83 et exposées ci-dessous.

Ces amendes doivent être dans chaque cas effectives, proportionnées et dissuasives (§ 1er)

Selon les caractéristiques propres à chaque cas, les amendes sont imposées en complément ou à la place des mesures correctives visées aux points a) à h) et j) de l’article 58, § 2 qui peuvent être imposées par l’autorité de contrôle.

Pour fixer le montant de l’amende, l’autorité doit tenir compte, dans chaque cas, de pas moins 11 éléments visés dans la disposition tels que par exemple :

-la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi (a) ;

-le fait que l'infraction a été commise intentionnellement ou par négligence (b) ;

-les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées (c) ;

-le degré de responsabilité du responsable ou du sous-traitant au regard des mesures mises en place en vertu des articles 25 (protection by design et protection par défaut) et 32 (sécurité du traitement) (d) ;

-les violations de données antérieures imputables au responsable ou au sous-traitant (e) ; le degré de coopération avec l’autorité de contrôle afin de remédier à la violation et d’en atténuer les possibles effets nuisibles (f) ;

-les catégories de données traitées (g) ; la manière dont l’autorité de contrôle a été informée de la violation, en ce compris si une notification de la violation de données à l’autorité a été effectuée ou non (h).

Lorsque des mesures correctives préalables à la violation ont été ordonnées au regard de la même problématique, la question du respect desdites mesures par le responsable ou le sous-traitant doit être prise en compte (i). Il doit être également tenu compte de l’adhésion à un code de conduites ou à un mécanisme de certification (j) ; de n’importe quel autre facteur aggravant ou atténuant applicable au cas d’espèce, tel qu’un avantage financier obtenu ou perdu, directement ou indirectement, de la violation (k).

Au niveau des montants, un système graduel existe selon la gravité attribuée à l’infraction :

1. Amende jusque 10 000 000 euro ou dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, en retenant le montant le plus élevé pour les violations (§ 4) :

- des obligations du responsable et du sous-traitant (a):

  • relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8) ;
  • en matière de traitement ne nécessitant pas d’identification (art. 11) ;
  • en matière de protection des données dès la conception et de protection des données par défaut (art. 25) ;
  • des règles propres aux responsables conjoints du traitement (art. 26) ;
  • en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27) ;
  • s’imposant dans la relation entre le responsable et le sous-traitant (art. 28) ;
  • en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29) ;
  • relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30) ;
  • concernant la coopération avec l’autorité de contrôle (art. 31) ;
  • relatives à la sécurité des traitements (art. 32) ;
  • relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;
  • relatives à la communication des violations de données aux personnes concernées (art. 34) ;
  • concernant l’analyse d’impact relative à la protection des données (art. 35) et la consultation préalable de l’autorité de contrôle (art. 36) ;
  • concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions (art. 39) ;
  • en matière de certification (art. 42) et de procédure de certification (art. 43).

- des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;

- des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).

2. Amende jusque 20 000 000 euros ou dans le cas d'une entreprise, 4 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, en retenant le montant le plus élevé pour les violations des dispositions suivantes (§ 5) :

- les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principes relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au consentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;

- des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;

-des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;

- toutes les obligations mises en place par le droit national conformément au chapitre IX ; on se rappellera que le chapitre IX laisse aux États membres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel et liberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87), etc…

- le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux de données, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pas l’accès en violation de l’article 58, § 1er ;

En outre, le non-respect d’une injonction d’une autorité de contrôle expose son auteur à une amende de 20 000 000 euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (§ 6).

À noter que si le responsable ou le sous-traitant viole intentionnellement ou par négligence différentes dispositions du Règlement, le montant total de l’amende ne peut pas excéder le montant spécifié pour la violation la plus grave (§ 3).

Sans préjudice des éventuelles mesures correctrices imposées par les autorités de contrôle au sens de l’article 58, § 2, chaque État membre peut édicter des règles concernant la possibilité et la mesure de l’imposition d’amendes administratives aux autorités publiques et institutions établies dans cet État membre (§ 7).

L'exercice, par l'autorité de contrôle, des pouvoirs d’imposer une amende est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière (§ 8).

Enfin, lorsque le système juridique d’un État membre ne permet pas la mise en place d’amendes administratives, l’article 83 peut être appliqué de telle sorte que l’amende soit initiée par une autorité de contrôle et imposé par une juridiction nationale compétente (§ 9). Dans ce cas, les recours judiciaires doivent être effectifs et avoir des effets équivalents aux amendes administratives prononcées par des autorités de contrôle. Dans tous les cas, lesdites amendes doivent être effectives, proportionnées et dissuasives. Les États membres qui font usage de cette faculté doivent notifier à la commission les dispositions de leur droit national au plus tard au moment où le Règlement est applicable en vertu de de l’article 99, § 2, et notifier sans délai les modifications ultérieures.

La Directive

La Directive s’en remettait totalement aux États membres en ce qui concerne les sanctions à appliquer en cas de violation des dispositions prises en application de la Directive (art. 24).

Belgique

La Belgique n’avait pas reconnu de compétence à la Commission de la protection de la vie privée lui permettant d’imposer des amendes.

France

En France, la CNIL avait reçu compétence pour prononcer des sanctions pécuniaires, sous certaines conditions, pouvant aller jusque 300 000 euros (art. 43 et 45 de la loi Informatique et Libertés

Difficultés probables

Les difficultés les plus évidentes seront de reconnaître de tels pouvoirs aux autorités de contrôle dans des systèmes juridiques qui n’ont pas une telle culture et de prévoir des garanties procédurales dans des procédures nouvelles mises en œuvre en marge des règles générales de procédure.

En Belgique par exemple, la reconnaissance éventuelle d’un tel pouvoir d’imposer des amendes d’un tel montant modifierait du tout au tout la relation des justiciables à la Commission de protection de la vie privée. Cette dernière, on l’a dit, était plus conçue comme un organe de conciliation que de répression et ne disposait d’aucun pouvoir en matière d’amende.

A noter que le pouvoir de l’autorité nationale pourrait être limité à l’initiation de l’amende, seule une juridiction ayant la compétence de l’imposer. Reste à savoir dans ce cas, ce que recouvrirait ce pouvoir d’initiation et si la juridiction pourrait ou non revenir ou refuser d’appliquer celle-ci dans le cadre de son intervention.

 

Règlement
1e 2e

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

b) le fait que la violation a été commise délibérément ou par négligence;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;

g) les catégories de données à caractère personnel concernées par la violation;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 et 43;

b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;

c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.

5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Proposition 1 close

1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article.

2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation. 3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. 4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4. 5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses FR 102 FR données à caractère personnel à une autre application en violation de l’article 18; e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. 6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; b) traite des catégories particulières de données en violation des articles 9 et 81; c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19; d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; f) omet de désigner un représentant conformément à l’article 25; g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; FR 103 FR j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2.

Proposition 2 close

1. Chaque autorité de contrôle (...) veille à ce que les amendes administratives visées à l'article 79 bis qui sont imposées en vertu du présent article pour des violations du présent règlement (...) soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. (…)

2 bis. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 53, paragraphe 1 ter, points a) à f). Lorsqu'il est décidé d'imposer ou non une amende administrative (...) et que le montant de l'amende administrative est fixé, il est dûment tenu compte dans chaque cas des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi;

b) le fait que l'infraction a été commise de propos délibéré ou par négligence,

c) (...);

d) les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

e) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 23 et 30;

f) toute violation antérieure pertinente commise par le responsable du traitement ou le sous-traitant;

g) (…);

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant ont notifié la violation;

i) lorsque des mesures telles que celles visées à l'article 53, (…) paragraphe 1 ter, points a), d), e) et f), ont été précédemment décidées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l'adhésion à des codes de conduites approuvés, conformément à l'article 38, ou à des mécanismes de certification, conformément à l'article 39;

k) (…);

 l) (…);

m) toute autre circonstance aggravante ou atténuante applicable au cas concerné.

3. (…)

3 bis. (…)

3 ter. Tout État membre peut établir les règles déterminant si et dans quelle mesure des amendes peuvent être infligées à des autorités et des organismes publics établis sur son territoire.

4. L'exercice, par l'autorité de contrôle (…), des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière.

5. Les États membres peuvent s'abstenir de mettre en place les règles régissant les amendes administratives visées à l'article 79 bis, paragraphes 1, 2 et 3, lorsque leur système juridique ne prévoit pas d'amendes administratives et que les violations visées font déjà l'objet de sanctions pénales dans le cadre de leur droit interne à la date du [date visée à l'article 91, paragraphe 2], tout en prenant les mesures nécessaires pour que ces sanctions pénales soient effectives, proportionnées et dissuasives, compte tenu du niveau des amendes administratives prévues dans le présent règlement. Dans ce cas, les États membres notifient à la Commission les parties de leur droit pénal concernées.

Art. 79 bis

1. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 250 000 EUR, ou, dans le cas d'une entreprise, 0,5 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement qui, de propos délibéré ou par négligence:

a) ne répond pas dans les délais prévus à l'article 12, paragraphe 2, aux demandes de la personne concernée;

 b) perçoit des frais (…) en violation de l'article 12, paragraphe 4, première phrase.

2. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 500 000 EUR ou, dans le cas d'une entreprise, 1 % de son chiffre d'affaires annuel (…) total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations [en temps voulu ou] de façon [suffisamment] transparente à la personne concernée conformément à l'article 12, paragraphe 3, et aux articles 14 et 14 bis;

 b) ne fournit pas un accès à la personne concernée ou ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 (...);

c) n'efface pas les données à caractère personnel en violation du droit à l'effacement et à l'"oubli numérique" conformément à l'article 17, paragraphe 1, points a), b), d) ou e);

d) (…)

d bis) traite des données à caractère personnel en violation du droit à la limitation du traitement prévu à l'article 17 bis ou n'informe pas la personne concernée avant que la limitation du traitement soit levée conformément à l'article 17 bis, paragraphe 4;

d ter) ne communique pas à chaque destinataire à qui le responsable du traitement a communiqué des données à caractère personnel toute rectification, tout effacement ou toute limitation du traitement en violation de l'article 17 ter;

d quater) ne fournit pas à la personne concernée les données à caractère personnel la concernant (...) en violation de l'article 18;

d quinquies) traite des données à caractère personnel après que la personne concernée s'y soit opposée conformément à l'article 19, paragraphe 1, et n'établit pas l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts, les droits et les libertés de la personne concernée, ou la constatation, l'exercice ou la défense d'un droit en justice;

 d sexies) ne fournit pas à la personne concernée d'informations concernant le droit de s'opposer au traitement à des fins de prospection conformément à l'article 19, paragraphe 2, ou continue le traitement de données à des fins de prospection après l'opposition de la personne concernée, en violation de l'article 19, paragraphe 2 bis;

e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;

f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28 et à l'article 31, paragraphe 4.

g) (…)

3. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 1 000 000 EUR ou, dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) traite des données à caractère personnel sans base juridique (...) à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7, 8 et 9;

b) (…);

c) (…);

d) ne respecte pas les conditions relatives à la prise de décision individuelle automatisée, y compris le (…) profilage conformément à l'article 20;

d bis) omet (…) de mettre en œuvre les mesures appropriées ou n'est pas à même d'établir le respect des obligations énoncées aux articles 22 (…) et 30;

d ter) omet de désigner un représentant en violation de l'article 25;

d quater) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation (…) de l'article 26;

d quinquies) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation [en temps utile ou] de façon complète à l'autorité de contrôle ou à la personne concernée en violation des articles 31 et 32;

d sexies) omet d'effectuer une analyse d'impact relative à la protection des données en violation de l'article 33 ou traite des données à caractère personnel sans consultation préalable de l'autorité de contrôle en violation de l'article 34, paragraphe 2;

e) (…);

f) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39 ou ne respecte par les conditions et les procédures prévues aux articles 38 bis et 39 bis;

g) effectue ou donne l'instruction d'effectuer, vers un destinataire situé dans un pays tiers ou à une organisation internationale, un transfert de données en violation des articles 41 à 44;

h) ne respecte pas une injonction, une limitation temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1 ter, ou ne fournit pas l'accès en violation de l'article 53, paragraphe 1.

 i) (…)

 j) (…).

 3 bis. Si un responsable du traitement ou un sous-traitant enfreint délibérément ou par négligence plusieurs dispositions du présent règlement énumérées aux paragraphes 1, 2 ou 3, le montant total de l'amende ne peut pas excéder le montant fixé pour la violation la plus grave. 4. (...)

Directive close

Art. 24

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 20

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi.

II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :

1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.

Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.

Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.

III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

1° Un rappel à l'ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;

4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;

7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 45

Version initiale

(…)

Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'Etat ;

Art. 47

Version initiale

Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

Lors du premier manquement, il ne peut excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 euros ou, s'agissant d'une entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.

Art. 45 

Modifié par la loi n°2018-493 du 20 juin 2018

III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

Art. 47

Modifié par la loi n°2018-493 du 20 juin 2018

Les mesures prévues au III de l'article 45 et aux 1° à 7° du I de l'article 46 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général de la commission, les agents des services de celle-ci.

La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées.

Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant en application de l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.

L'astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.

Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 221

§ 1er. Les compétences correctrices de l'autorité de contrôle en vertu de l'article 58.2 du Règlement s'appliquent également aux articles 7 à 10, 20 à 24, 28 à 70 et au titre 4 de la présente loi.
Sans préjudice de dispositions particulières, l'alinéa 1er ne s'applique pas aux traitements effectués par les autorités visées à l'article 26, 7°, b), dans l'exercice de leur fonction juridictionnelle.
§ 2. L'article 83 du Règlement ne s'applique pas aux autorités publiques et leurs préposés ou mandataires sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.

 

Art. 222

Le responsable du traitement ou le sous-traitant, son préposé ou mandataire, l'autorité compétente, visés aux titres 1er et 2, est puni d'une amende de deux cent cinquante euros à quinze mille euros lorsque :
1° les données à caractère personnel sont traitées sans base juridique conformément à l'article 6 du Règlement et aux articles 29, § 1er, et 33, § 1er, de la présente loi, y compris les conditions relatives au consentement et au traitement ultérieur;
2° les données à caractère personnel sont traitées en violation des conditions imposées par l'article 5 du Règlement et par l'article 28 de la présente loi par négligence grave ou avec intention malveillante;
3° le traitement ayant fait l'objet d'une objection conformément à l'article 21.1 du Règlement est maintenu sans raisons juridiques impérieuses;
4° le transfert de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale est effectué en violation des garanties, conditions ou exceptions prévues dans les articles 44 à 49 du Règlement ou des articles 66 à 70 de la présente loi par négligence grave ou avec intention malveillante;
5° la mesure correctrice adoptée par l'autorité de contrôle visant la limitation temporaire ou définitive des flux conformément à l'article 58.2.f) du Règlement n'est pas respectée;
6° la mesure correctrice adoptée par l'autorité de contrôle au sens de l'article 58.2.d) du Règlement n'est pas respectée;
7° il a été fait obstacle aux missions légales de vérification et de contrôle de l'autorité de contrôle compétente, de ses membres ou de ses experts;
8° de la rébellion, dans le sens de l'article 269 du Code pénal, a été commise à l'encontre des membres de l'autorité de contrôle;
9° la certification visée à l'article 42 du Règlement est revendiquée ou des sceaux de certification en matière de protection des données sont utilisées publiquement alors que ces certifications, labels ou marques n'ont pas été délivrés par une entité accréditée ou ceux-ci sont utilisés après que la validité de la certification, du sceau ou de la marque a expiré;
10° la certification visée à l'article 42 du Règlement a été obtenue sur la base de faux documents ou de documents erronés;
11° des tâches sont exécutées en tant qu'organisme de certification alors que celui-ci n'a pas été accrédité par l'organisme national d'accréditation compétent;
12° l'organisme de certification ne se conforme pas aux principes et aux tâches auxquels il est soumis tels que prévus aux articles 42 et 43 du Règlement;
13° les tâches de l'organisme visée à l'article 41 du Règlement sont exécutées sans agrément par l'autorité de contrôle compétente;
14° l'organisme agréé visé à l'article 41 du Règlement n'a pas pris les mesures appropriées en cas de violation du code de conduite tel que visé à l'article 41.4 du Règlement.

Ancienne loi
en Belgique
close

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK