L'ICO a publié des orientations sur le calcul des amendes liées à la protection des données
L'ICO, l’autorité britannique de protection des données personnelles, a publié de nouvelles orientations (en anglais uniquement) sur la manière dont il calcule les amendes liées à la protection des données. L'objectif est de fournir plus de transparence et de clarté sur la manière dont les entreprises seront sanctionnées si elles enfreignent le RGPD.
Quels sont les éléments pris en compte par l'ICO pour déterminer le montant d'une sanction ?
Pour déterminer le montant d'une sanction, l'ICO prend en compte différents facteurs décrits dans le RGPD britannique et la Loi sur la protection des données britannique de 2018 (Data Protection Act 2018). Ces facteurs comprennent la nature, la gravité et la durée de l'infraction, ainsi que l'évaluation de son caractère intentionnel ou négligent.
L'ICO examine également les efforts déployés par le responsable du traitement ou le sous-traitant pour atténuer les dommages causés aux personnes concernées, ainsi que leur degré de responsabilité et les éventuelles infractions antérieures. La coopération avec l’ICO, l'adhésion à des codes de conduite ou à des mécanismes de certification et la notification de l'infraction sont également prises en compte. En outre, le respect des ordres précédents et tout autre facteur aggravant ou atténuant, tel que les gains ou les pertes financières, sont pris en considération. Dans l'ensemble, l'ICO vise à garantir que les sanctions imposées sont efficaces, proportionnées et dissuasives dans chaque cas particulier.
Quel est le processus de calcul des infractions au RGPD ?
Le processus de calcul d'une amende pour une infraction au RGPD implique une approche structurée en cinq étapes. Tout d'abord, la gravité de l'infraction est évaluée. Ensuite, le chiffre d'affaires est pris en compte si le responsable du traitement ou le sous-traitant fait partie d'une entreprise. Ensuite, le point de départ de l'amende est calculé en tenant compte à la fois de la gravité de l'infraction et, le cas échéant, du chiffre d'affaires de l'entreprise. Ensuite, des ajustements sont effectués pour refléter les éventuels facteurs aggravants ou atténuants. Enfin, l'amende est évaluée afin de s'assurer qu'elle est efficace, proportionnée et dissuasive.
Évaluation de la gravité
Lorsqu'il évalue la gravité d'une infraction au regard du RGPD, l’ICO suit une approche structurée pour déterminer le point de départ approprié de l'amende. Ce point de départ est basé sur la catégorisation de l'infraction en fonction de son degré de gravité et sur l'application d'un pourcentage du maximum légal correspondant. Trois catégories sont utilisées : degré de gravité élevé, moyen et faible, chacune avec des fourchettes de pourcentage correspondantes du maximum légal.
L'évaluation prend en compte des facteurs tels que la nature, la gravité et la durée de l'infraction, ainsi que le caractère intentionnel ou négligent de celle-ci, et les catégories de données à caractère personnel concernées. En règle générale, plus l'infraction est grave, plus le point de départ dans la catégorie concernée est élevé. L'évaluation est exprimée en pourcentage du maximum légal pertinent, ce qui garantit la cohérence dans la détermination du point de départ. Cette méthode permet à l’ICO d'établir une approche équitable et proportionnelle des amendes, en tenant compte des circonstances spécifiques de chaque cas. Voir la répartition des amendes en fonction de la gravité ici (en anglais uniquement).
Efficace, proportionnée et dissuasive
Lorsqu'il détermine les amendes à infliger en cas de violation du RGPD, l’ICO vise à ce que les sanctions soient efficaces, équitables et découragent les violations futures. Cela implique d'évaluer soigneusement chaque cas pour s'assurer que l'amende encourage le respect des lois sur la protection des données et sanctionne de manière appropriée la violation.
L’ICO examine si l'amende est suffisante pour dissuader le contrevenant de récidiver, en tenant compte de sa taille et de sa situation financière. En outre, les amendes peuvent être augmentées afin de dissuader d'autres personnes de commettre des infractions similaires à l'avenir.
La proportionnalité est également cruciale, avec des amendes adaptées à la gravité de l'infraction et à d'autres facteurs pertinents. Si les difficultés financières peuvent être prises en compte, elles ne peuvent pas être la seule raison d'éviter les amendes, car cela irait à l'encontre de l'objectif de la loi. Ces orientations garantissent une approche cohérente mais souple de l'imposition d'amendes, favorisant la responsabilisation et la dissuasion en matière de protection des données.
Quelles sont les amendes maximales en cas de violation du RGPD ?
Les amendes maximales pour les infractions au RGPD varient selon le fait que le responsable du traitement ou le sous-traitant soit considéré comme une « entreprise » (telle qu'une filiale d'une société mère). Pour les cas standard, l'amende maximale s'élève à 8,7 millions de livres sterling.
Toutefois, pour les entreprises, l'amende est calculée sur la base du montant le plus élevé entre 8,7 millions de livres sterling et 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent. Dans les cas les plus graves, l'amende maximale passe à 17,5 millions de livres sterling ou, si ce montant est plus élevé, à 17,5 millions de livres sterling ou à 4 % du chiffre d'affaires annuel mondial total de l'entreprise.
Notamment, ces calculs basés sur le pourcentage ne s'appliquent que lorsque le chiffre d'affaires annuel mondial total d'une entreprise dépasse 435 millions de livres sterling pour le montant maximal standard ou 437,5 millions de livres sterling pour le montant maximal plus élevé.
Comparaison des lignes directrices de l'EDPB et de l'ICO
Le Conseil européen de la protection des données (EDPB) et l'Information Commissioner's Office (ICO) du Royaume-Uni ont tous les deux établi des lignes directrices pour déterminer la sévérité des amendes imposées aux organisations en cas d'infraction au RGPD.
Après le Brexit, le RGPD britannique reste aligné sur le RGPD de l'UE, ce qui garantit la cohérence des amendes maximales et des facteurs pris en compte pour l'émission de procès-verbaux. Les lignes directrices de l'EDPB et de l'ICO mettent toutes deux l'accent sur des facteurs tels que la nature, la portée et la finalité du traitement, le nombre de personnes concernées et le niveau de préjudice subi. En particulier, les deux entités considèrent les applications technologiques innovantes, la prise de décision automatisée et le traitement des données biométriques ou génétiques comme des opérations à haut risque justifiant un examen plus approfondi.
Les lignes directrices de l'EDPB et de l'ICO soulignent toutes deux l'importance d'évaluer la gravité des infractions. L'ICO, comme l'EDPB, évalue des facteurs tels que le déséquilibre des pouvoirs entre les personnes concernées et les responsables du traitement, l'implication de données relatives à des enfants ou à des personnes vulnérables et le préjudice potentiel causé par l'infraction. L'ICO identifie notamment des types spécifiques d'opérations de traitement et de préjudices potentiels, ce qui donne une idée des domaines prioritaires en matière d'application de la législation.
Les lignes directrices de l'ICO et de l'EDPB reconnaissent que les personnes concernées peuvent subir différents types de préjudices, tels que des préjudices physiques, économiques, psychologiques ou de réputation. Elles comprennent qu'il n'est pas toujours essentiel de quantifier le préjudice, mais elles reconnaissent que le préjudice peut avoir des répercussions sociétales plus larges, en particulier lorsque de nombreuses personnes concernées sont touchées.
L'ICO vise la cohérence dans l'application des sanctions tout en restant flexible, ce qui signifie qu'il n'est pas toujours lié à des décisions antérieures. Cette approche lui permet de s'adapter à l'évolution de la réglementation tout en conservant une certaine continuité.
Si les lignes directrices de l'EDPB et de l'ICO présentent de nombreuses similitudes dans la détermination des amendes prévues par le RGPD, il existe des différences subtiles qui reflètent des contextes réglementaires et des priorités d'application spécifiques. Les organisations doivent examiner attentivement ces facteurs pour garantir la conformité et atténuer le risque de sanctions importantes.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal