Money, money, money…
24/01/18
Nous avons déjà parlé à plusieurs reprises dans ce blog du nouveau Règlement général sur la protection des données (RGPD). La date de mise en œuvre approche -le 25 mai 2018- mais maintes doutes subsistent. Par example, comment assurer d’être en conformité, qui protège les protecteurs de données (DPO), comment mettre en œuvre les évaluations d’impact ou alors quel sera le montant des premières amendes, …
Sur ce dernier point, il y a du nouveau. En effet, le Groupe de Travail «Article 29» sur la protection des données (qui le 25 mai intégrera un nouvel organe de l’Union, le Comité européen de la protection des données) a publié des lignes directrices sur l’application et la fixation des amendes administratives aux fins du RGPD. Les amendes sont désormais beaucoup plus proches des amendes du droit de la concurrence, puisqu’elles sont fixées en fonction d’un pourcentage du chiffre d’affaires, pouvant atteindre jusqu’à 4% (!). Ce souci d’homogénéité est déjà une nouveauté en soi-même, car l’article 24 de la Directive de Protection de données permettait à chaque État membre de fixer ses propres plafonds d’amendes. Ces plafonds allaient de € 25.000 en Autriche jusqu’à £ 500.000 au Royaume-Uni, passant par € 150.000 en France, € 300.000 en Allemagne ou alors € 600.000 en Espagne.
Alors, ce nouveau plafond unitaire sera-t-il désormais toujours atteint ? Ou alors, au cas où un pourcentage intermédiaire devait être convenable, comment sera-t-il calculé ? Est-ce que la bonne foi, la conformité ou l’inexistence d’effets joueront un rôle dans ce calcul ? Ce sont exactement les questions auxquelles le Groupe de Travail tente de répondre dans ses lignes directrices, et en voici quelques réflexions :
Les amendes doivent être efficaces, proportionnées et dissuasives (article 83, 1er paragraphe, du RGPD). À cette fin, le chiffre d’affaires pertinent est celui du groupe de sociétés du transgresseur, dans la mesure où il constitue une unité économique ou, en définitive, une unité de décision. Autrement dit, ce n’est pas le chiffre d’affaires de la personne juridique commettant l’infraction qui compte. Méfiez-vous donc de la limite de 4%, puisque le montant pourrait être beaucoup plus élevé que prévu …
Les lignes directrices rappellent également que les amendes ne sont pas la seule mesure corrective prévue dans le RGPD : elles seront imposées « en complément ou à la place », selon nous dit le Règlement, des mesures visées à son article 58, 2ème paragraphe, points a) à h), et j). C’est-à-dire, par exemple, des avertissements ou des réprimandes (pas évident de voir la différence …), également par les régulateurs nationaux. On doit garder à l’esprit, cependant, que ces mesures n’iront pas dans l’ordre : faute, carton jaune et carton rouge. Le Groupe de Travail s’est empressé de clarifier que ce ne sera pas forcément le cas et que tout dépendra de la gravité de l’infraction, de l’intention de son auteur, de sa coopération avec l’autorité, de sa proactivité pour mettre en œuvre des mesures correctives et, ce qui est le plus important –croyons-nous–, les dommages qu’ont subi les droits des individus.
Pour l’instant, la marge d’appréciation des régulateurs nationaux demeure énorme. Néanmoins, nous n’augurons pas un succès fou à des éventuels pourvois contre le système en tant que tel. Le système d’amendes est pratiquement identique à celui qui fonctionne de manière pacifique (ou, dans des États membres comme l’Espagne ou autre l’Allemagne, presque pacifiquement) dans le domaine du Droit de la concurrence. Les arguments contre le caractère arbitraire ou imprévisible du système, vu qu’il se base uniquement sur des plafonds de chiffre d’affaires, ont parfois secoué le système, mais ne l’ont jamais effondré … Alors, soyez prêts pour de lourdes amendes !
