Quelles sont les amendes infligées aux exploitants de sites Web en cas de violation de la protection des données ?

Mario Steinberg Mis à jour le 21.10.2020
3 Min.
amendes RGPD
Dernière mise à jour le 21.10.2020

Le 14.10.2019, la Conférence des contrôleurs indépendants de la protection des données du gouvernement fédéral et des Länder (DSK) a publié un Concept de fixation des amendes dans les procédures contre les entreprises. On sait enfin à quelles amendes les exploitants de sites web doivent s'attendre en cas de violation de la protection des données. 

Informations de base sur l'excellent concept de DSK

Il est généralement connu que les violations du RGPD peuvent entraîner des amendes allant jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel réalisé dans le monde. En cas d'infraction plus grave, la sanction peut même être doublée. Toutefois, on ne sait pas encore très bien quel peut être le montant d'une amende dans un cas particulier. Le concept de la DSK change cela et fournit aux autorités de contrôle de la protection des données une base de calcul uniforme et concrète. En outre, le concept vise clairement à avoir un effet préventif général sur les entreprises et à indiquer clairement que des amendes élevées sont à prévoir si les exigences de la RGPD ne sont pas respectées.

Comme le concept n'est qu'un modèle et non une loi, il ne concerne que les procédures d'amende contre les entreprises engagées par les autorités de contrôle de la protection des données. Elle n'a pas d'effet contraignant en ce qui concerne la fixation des amendes par les tribunaux.

En outre, le concept peut être annulé, modifié ou étendu par DSK à tout moment. En outre, il ne s'agit que d'une solution temporaire en attendant l'adoption finale des lignes directrices sur la méthodologie de fixation des amendes par le Comité européen de la protection des données. Il reste donc à voir comment la situation évolue avec les amendes.

calcul de l'amende RGPD

Comment l'amende est-elle calculée ?

Le concept de la DSK prévoit une procédure en cinq étapes pour le calcul de l'amende réelle :

Première étape :

L'entreprise est classée dans l'une des quatre classes de taille (A à D) sur la base de son chiffre d'business mondial total de l'année précédente. Pour une classification plus concrète, chaque classe de taille est divisée en trois sous-groupes (A.I à A.III, B.I à B.III, etc.).

Classification en fonction du chiffre d'business annuel :

Groupe A : jusqu'à 2 millions d'euros
Groupe B : 2 à 10 millions d'euros
Groupe C : 10 à 50 millions d'euros
Groupe D : plus de 50 millions d'euros

Deuxième étape :

Le chiffre d'business annuel moyen du sous-groupe dans lequel l'entreprise a été placée est déterminé.

Troisième étape :

La valeur économique de base est déterminée. C'est sur cette base que l'amende est déterminée et correspond au chiffre d'business annuel moyen du sous-groupe dans lequel l'entreprise a été placée, divisé par 360 (jours) et arrondi à l'unité supérieure avant la virgule.

Quatrième étape :

Un multiplicateur est dérivé de la gravité de la violation de la protection des données. À cet égard, le degré de gravité est classé comme léger, modéré, grave ou très grave sur la base des circonstances factuelles concrètes du cas individuel. 

La liste des critères décrivant ces circonstances possibles se trouve à l'article 83, paragraphe 2RGPD. Il s'agit par exemple de la nature et de la durée de la violation, du nombre de personnes touchées, de l'étendue du dommage, du mode de coopération avec l'autorité de contrôle et également de la question de savoir si des avantages financiers directs ont été obtenus à la suite de la violation. 

Une distinction est également faite entre les infractions "formelles" (article 83, paragraphe 4RGPD) et les infractions "matérielles" (article 83, paragraphes 5 et 6RGPD). Selon le type et la gravité de la violation de la protection des données, le facteur pour les violations formelles est compris entre 1 et 6, pour les violations matérielles entre 1 et 12 ; pour les violations très graves, le facteur peut même être plus élevé dans chaque cas.

Cinquième étape :

La valeur de base est finalement ajustée sur la base de toutes les autres circonstances qui parlent pour et contre la personne concernée. Il s'agit notamment de circonstances particulières relatives à l'auteur et d'autres circonstances, telles que la durée de la procédure ou la menace d'insolvabilité de l'entreprise.

RGPD-Afin - Un exemple de calcul 

En fin de compte, la procédure en cinq étapes décrite ci-dessus n'est pas aussi compliquée qu'il n'y paraît au premier abord. Voici un exemple concret :

Supposons qu'un travailleur indépendant ait réalisé un chiffre d'business de 80 000 € l'année précédente. Il appartient donc au sous-groupe A.I (le plus bas) (chiffre d'business annuel de 0 à 700 000 € ; niveau 1), le chiffre d'business annuel moyen est donc de 350 000 € (niveau 2) et la valeur économique de base est de 972 € (niveau 3).

Supposons en outre qu'il s'agisse d'une fausse déclaration de confidentialité sur le site web du travailleur indépendant. Cela constitue une violation de l'article 83, paragraphe 5, point b)RGPD. Étant donné que la gravité de la violation doit être qualifiée de "légère", l'autorité de contrôle de la protection des données estime que le facteur peut être "seulement" 2 (niveau 4) ; de l'avis de l'autorité de contrôle de la protection des données, un ajustement n'est pas approprié (niveau 5).

L'amende s'élèverait donc à 1 944 euros.

Conclusion

Le concept d'amende de la DSK indique désormais clairement que même des violations relativement mineures de la protection des données entraîneront des amendes pertinentes. Par conséquent, toutes les entreprises devraient vérifier ou faire vérifier dès que possible si elles satisfont à toutes les exigences en matière de protection des données, telles qu'une bannière de cookie correcteconformément à la réglementation. En effet, les autorités de protection des données n'agissent pas par hasard, mais principalement lorsque des violations de la protection des données leur sont signalées. Et en pratique, ces rapports proviennent souvent de clients insatisfaits ou de concurrents qui veulent nuire à leurs concurrents de cette manière.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .