Alors que les amendes pour les infractions à la confidentialité des informations augmentent, une certaine clarté sur la manière dont elles sont imposées est introduite. En vigueur depuis 2018, la politique générale de protection des données (RGPD) de l’Union européenne couvre la sécurité et la confidentialité des informations dans la zone économique européenne et les informations quittant l’UE et l’EEE. Pour l’appliquer, il existe 2 séries de sanctions en fonction de la gravité de l’infraction. Le comité européen de la protection des données (EDPB), qui régit et applique le RGPD dans l’EEE, a en fait publié son approche recommandée pour déterminer les amendes en fonction du chiffre d’affaires des contrevenants.
Le total des amendes déjà publiées est confronté les milliards d’euros avec les sanctions les plus lourdes infligées aux grandes entreprises technologiques telles que WhatsApp (225 millions d’euros) (environ 237,6 millions de dollars), les amendes multiples pour Amazon, la plus importante étant de 746 millions d’euros, et les nombreuses amendes de Google de 60, 50, 40 et 7 euros million. British Airways a été condamnée à une amende de 183 millions de livres sterling au Royaume-Uni. Le règlement a également été utilisé pour les personnes physiques, comme une amende de 3 000 euros pour un propriétaire espagnol pour vidéosurveillance dans un immeuble. Une école suédoise a été condamnée à une amende de 20 000 EUR pour avoir utilisé la surveillance par reconnaissance faciale et le traitement biométrique associé.
Adoptées le 12 mai 2022, les « Normes 04/2022 relatives à l’estimation des amendes administratives dans le cadre du RGPD », ouvertes à la consultation publique jusqu’au 27 juin 2022, définissent une approche en cinq étapes pour le calcul des amendes avec la objectif d’harmonisation de la technique des autorités de contrôle là où le RGPD est imposé.
Étape 1 : reconnaissance des traitements de données intervenus en cas et l’applicabilité de l’article court 83(3) RGPD (qui habilite chaque autorité de contrôle d’infliger des amendes).
Action 2 : le point de départ de l’estimation, réalisée en catégorisant l’infraction, en examinant la gravité de l’infraction et le chiffre d’affaires.
Étape 3 : en examinant les éventuelles atténuer les situations pour les habitudes passées et présentes pour augmenter ou diminuer l’amende.
Étape 4 : évaluer les maximums légaux pour le cas.
Étape 5 : analyser si la quantité déterminée satisfait aux exigences d’efficacité, de dissuasion et de proportionnalité. À ce stade, l’amende peut être augmentée tant qu’elle ne dépasse pas les optimums légaux.
Les normes consistent en un exemple avec la biométrie pour évaluer les situations aggravantes et atténuantes avec des chiffres qui fournissent le point de départ d’une grande estimation :
« Un club de sport a utilisé des caméras électroniques dotées d’une technologie de reconnaissance faciale à l’entrée de l’un de ses locaux pour la fonction de reconnaissance de ses clients à l’entrée. Comme le club de sport l’a fait en violation de l’article court 9 GDPR (traitement des informations biométriques sans exception valable), l’autorité de contrôle compétente pour enquêter sur l’infraction a décidé d’infliger une amende. Compte tenu de toutes les circonstances pertinentes de l’affaire, l’autorité de contrôle a considéré qu’il s’agissait d’une violation d’un niveau de gravité élevé, et étant donné que le club de sport réalisait un chiffre d’affaires annuel de 150 millions d’euros, un montant initial de 2 000 000 d’euros (tout en haut du classement) a été pensé te.
« Néanmoins, le même club de sport a été condamné à une amende 2 ans auparavant pour avoir utilisé l’innovation d’empreintes digitales aux tourniquets dans un autre domaine. L’autorité de contrôle a choisi de considérer cela comme une récidive (Post 83( 2 )(e) GDPR). Ce faisant, il a attribué du poids au fait que cela concernait presque exactement le même sujet et que l’infraction avait été commise seulement 2 ans auparavant. En raison de cet aspect irritant, l’autorité de contrôle a décidé d’augmenter l’amende dans ce cas spécifique à 2 600 000 EUR, sans dépasser le maximum légal approprié de 20 millions d’EUR. »
Le CEPD évaluera en permanence ses orientations, ainsi que avec d’autres domaines politiques tels que l’IA.
Toute l’actualité en temps réel, est sur L’Entrepreneur
