Quelles sont les amendes infligées aux exploitants de sites web en cas de violation de la protection des données ?

Mario Steinberg Dernière mise à jour le 21.10.2020
3 Min.
amendes du RGPD
Dernière mise à jour le 21.10.2020

Le 14 octobre 2019, la Conférence des autorités indépendantes de protection des données de la Fédération et des Länder (DSK) a publié un concept pour l'évaluation des amendes dans les procédures contre les entreprises. On sait enfin à quelles amendes les exploitants de sites web peuvent s'attendre en cas de violation de la protection des données. 

Informations de base sur le concept fin de la DSK

Il est généralement connu que les violations du RGPD peuvent entraîner des amendes allant jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel réalisé dans le monde. En cas d'infraction plus grave, la sanction peut même être doublée. Toutefois, on ne sait pas encore très bien quel peut être le montant d'une amende dans un cas particulier. Le concept de la DSK change cela et fournit aux autorités de contrôle de la protection des données une base de calcul uniforme et concrète. En outre, le concept vise clairement à avoir un effet préventif général sur les entreprises et à indiquer clairement que des amendes élevées sont à prévoir si les exigences de la RGPD ne sont pas respectées.

Comme le concept n'est qu'un modèle et non une loi, il ne concerne que les procédures d'amende contre les entreprises engagées par les autorités de contrôle de la protection des données. Elle n'a pas d'effet contraignant en ce qui concerne la fixation des amendes par les tribunaux.

En outre, le concept peut être révoqué, modifié ou étendu par la DPA à tout moment. En outre, il ne s'agit que d'une solution provisoire en attendant l'adoption finale des lignes directrices sur la méthodologie de fixation des amendes par le Conseil européen de la protection des données. Il reste donc à voir comment la situation des amendes va évoluer.

calcul de l'amende RGPD

Comment l'amende est-elle calculée ?

Le concept de la DSK prévoit une procédure en cinq étapes pour le calcul de l'amende spécifique :

Première étape :

L'entreprise est classée dans l'une des quatre classes de taille (A à D) sur la base de son chiffre d'affaires mondial total de l'année précédente, chacune étant subdivisée en trois sous-groupes (A.I à A.III, B.I à B.III, etc.) pour une classification plus spécifique.

Classification en fonction du chiffre d'affaires annuel :

Groupe A: jusqu'à 2 millions d'euros
Groupe B: 2 à 10 millions d'euros
GroupeC: 10 à 50 millions d'euros
GroupeD: plus de 50 millions d'euros

Deuxième étape :

Le chiffre d'affaires annuel moyen du sous-groupe dans lequel l'entreprise a été classée est déterminé.

Troisième étape :

La valeur économique de base est déterminée. C'est sur cette base que l'amende est déterminée et correspond au chiffre d'affaires annuel moyen du sous-groupe dans lequel l'entreprise était classée, divisé par 360 (jours) et arrondi à la décimale supérieure.

Quatrième étape :

Un multiplicateur est calculé en fonction de la gravité de la violation de la protection des données. À cet égard, le degré de gravité est classé comme léger, moyen, grave ou très grave sur la base des circonstances spécifiques du cas individuel. 

Le catalogue des critères décrivant ces circonstances possibles se trouve à l'article 83, paragraphe 2, RGPD . Il s'agit, par exemple, du type et de la durée de la violation, du nombre de personnes touchées, de l'étendue des dommages, du mode de coopération avec l'autorité de contrôle et également de la question de savoir si des avantages financiers directs ont été obtenus grâce à la violation. 

En outre, une distinction est faite entre les infractions "formelles" (article 83, paragraphe 4 RGPD) et "matérielles" (article 83 AB, paragraphes 5 et 6 RGPD). Selon le type et la gravité de la violation de la protection des données, le facteur pour les violations formelles est compris entre 1 et 6, pour les violations matérielles entre 1 et 12 ; pour les violations très graves, le facteur peut être encore plus élevé.

Cinquième étape :

La valeur de base est finalement ajustée sur la base de toutes les autres circonstances qui parlent pour et contre la personne concernée. Il s'agit notamment des circonstances relatives à l'auteur de l'infraction et d'autres circonstances, telles qu'une longue durée de procédure ou une insolvabilité imminente de l'entreprise.

RGPD-Fine - Un exemple de calcul 

En fin de compte, le processus en cinq étapes décrit n'est pas aussi compliqué qu'il n'y paraît au premier abord. Voici un exemple concret :

Supposons qu'un travailleur indépendant ait réalisé un chiffre d'business de 80 000 € l'année précédente. Il appartient donc au sous-groupe A.I (le plus bas) (chiffre d'business annuel de 0 à 700 000 € ; niveau 1), le chiffre d'business annuel moyen est donc de 350 000 € (niveau 2) et la valeur économique de base est de 972 € (niveau 3).

Supposons en outre qu'il s'agisse d'une déclaration de protection des données erronée sur le site web du travailleur indépendant. Cela constitue une violation de l'article 83, paragraphe 5, point b) RGPD . Étant donné que la gravité de la violation doit être qualifiée de "légère", le facteur peut être "seulement" 2 (niveau 4) selon l'autorité de contrôle de la protection des données ; un ajustement ne serait pas approprié selon l'autorité de contrôle de la protection des données (niveau 5).

L'amende serait donc de 1 944 euros.

Conclusion

Avec le concept d'amende de la DSK, il est maintenant clair que même des violations relativement insignifiantes de la protection des données donneront lieu à des amendes pertinentes. Par conséquent, toutes les entreprises devraient vérifier ou faire vérifier dès que possible si elles respectent correctement toutes les exigences en matière de protection des données, comme une bannière de cookie correcte. En effet, les autorités de protection des données n'interviennent pas par hasard, mais principalement lorsque des violations de la protection des données leur sont signalées. Et ces rapports proviennent souvent en pratique de clients ou de concurrents insatisfaits qui veulent ainsi porter préjudice à leurs concurrents.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.