Calcul des amendes administratives dans le cadre du RGPD

Le 12 mai 2022, le Comité Européen de la Protection des Données (CEPD) a adopté des lignes directrices visant à harmoniser les méthodes de calcul des amendes pour manquement au RGPD. Elles restent encore peu connues au plus haut niveau des entreprises, il est par conséquent difficile de comprendre leurs réels impacts financiers.

Bien que les entreprises soient de plus en plus sensibilisées au RGPD, les conséquences d’une non-conformité sont encore opaques. A partir d’exemples et d’une méthode de calcul précise, il devient plus évident de proposer aux organes décisionnaires une appréciation des risques financiers.

Cet article a pour objectif de renforcer la considération des enjeux RGPD au sein des entreprises en leur fournissant des arguments de poids et des exemples concrets permettant de :

• Faciliter le travail des acteurs de la mise en conformité ;
• Démystifier la méthode de calcul de la CEPD ;
• Fournir un outil de calcul « simplifié » des amendes ;
• Sensibiliser à la mise en conformité RGPD, et les conséquences financières en cas de non-conformité.

La méthode de calcul du montant d’une amende pour manquement au RGPD en cinq étapes :

1. Identification des infractions

Les autorités identifient les comportements sanctionnables par une amende et les éventuelles infractions associées.

2. Classification des infractions

Les autorités se basent sur la méthodologie harmonisée formalisée par le CEPD afin de définir les éléments suivants :

a. La classification de l’infraction (cf. article 83, paragraphes 4 à 6, du RGPD) définie majoritairement en fonction des obligations des parties prenantes (responsable de traitement, organisme de certification…), des principes de bases d’un traitement et des droits des personnes concernées.

b. La gravité de l’infraction (cf. l’article 83, paragraphe 2, points a, b et g du RGPD) définie à partir du type de violation (nature, gravité et durée), du traitement concerné (nature, portée et finalité, nombre de personnes concernées et le niveau de dommage subi), les catégories de données personnelles concernées.

c. Le chiffre d’affaires de l’entreprise, afin de déterminer le montant de l’amende de manière effective, dissuasive et proportionnée, (cf. article 83(1) du RGPD).

3. Identification des facteurs aggravants/atténuants

Les autorités prennent en compte les facteurs aggravants ou atténuants, susceptibles d’augmenter ou de diminuer le montant de l’amende, pour lesquels le CEPD fournit une interprétation cohérente.

4. Définition des plafonds des amendes

Les autorités déterminent les plafonds légaux des amendes, (cf. art. 83 (4)-(6) du RGPD) et veillent à ce que ces montants ne soient pas dépassés : jusqu’à 20.000.000€ ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

5. Définition du montant des amendes

Les autorités analysent si le montant final calculé répond aux exigences d’efficacité, de dissuasion et de proportionnalité ou si des ajustements supplémentaires du montant sont nécessaires. Le montant peut être calculé à partir du niveau de gravité de l’infraction :

• Low (Faible) : entre 0% et 10% du montant maximum ;
• Medium (Moyen) : entre 10% et 20% du montant maximum ;
• High (Elevé) : entre 20% et 100% du montant maximum.

Exemple « simple » :

Contexte : Calcul de l’amende pour une société ayant un CA de 8 milliards d’euro. Les autorités de contrôle ont décidé, après évaluation des circonstances de l’infraction, que le niveau de gravité était « low ».

Calcul du montant de l’amende :

– Etape 1 : Qualification de l’infraction.

– Etape 2 : Classification de l’infraction

L’infraction a été classifiée à un niveau de gravité « low ».

– Etape 3 : Identification des facteurs aggravants/atténuants

Aucune situation aggravante/atténuante n’a été identifiée.

– Etape 4 : évaluation du montant maximum légal de l’amende 

Le maximum légal défini par le RGPD est de 4% du CA. Dans notre cas le montant maximum est donc de 320 M€.

– Etape 5 : Définir le montant de l’amende

Dans ce cas d’exemple, le niveau de gravité étant « low », le montant maximum sera de 32 M€ et suite aux réajustements, le montant de l’amende a été fixé à 25 M€.  

Appliqué à une entreprise X, avec un CA de 150 M€ :

Contexte : L’entreprise X est sous enquête de la CNIL, à la suite d’un possible transfert de données personnelles aux Etats-Unis chez un sous-traitant. À la suite de l’enquête, il se trouve qu’un DPA (Data Processing agreement) a bien été mis en place avec ce prestataire. Cependant, celui-ci ne couvre pas le transfert des données hors UE.

Les données hébergées aux Etats-Unis ne sont pas chiffrées, et leur protection n’est donc pas assurée. C’est un manquement à l’article 46 du RGPD (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5#Article46).

Pendant l’évaluation, la CNIL a estimé ce manquement comme medium.

Calcul du montant de l’amende :

– Etape 1 : Identification des infractions

L’infraction identifiée concerne l’absence de chiffrement des données hébergées aux Etats-Unis.

– Etape 2 : Classification de l’infraction

Le niveau de gravité de l’infraction a été estimé à « medium ».

– Etape 3 : Identification des facteurs aggravants/atténuants

Au vu de l’infraction dû à un manquement de chiffrement des données, une circonstance aggravant se trouve dans le transfert des données hors UE. C’est une condition essentielle pour un tel transfert de données et un hébergement hors UE.

– Etape 4 : Evaluation du montant maximum légal de l’amende :

Le maximum légal défini par le RGPD est de 4% du CA. Dans notre cas le montant maximum est donc de 6 M€.

– Etape 5 : Définir le montant de l’amende

Sachant que le niveau de gravité ayant été évalué à « medium », le montant de l’amende doit être compris entre 0,6 et 1,2 M€. Au vu du faible nombre de clients impacté et de la coopération de l’entreprise X durant l’enquête, cette amende est rabaissée à 1,08 M€.

Exemple appliqué à Meta début 2023 :

Contexte : À la suite d’une non-conformité avec le RGPD, Meta ayant un CA de 50 Md€ a été contraint de verser une amende de 390 M€ ainsi qu’un délai de 3 mois pour se mettre en conformité.

En effet, Meta a été accusé de ne pas exposer clairement à ces utilisateurs les informations sur les opérations de traitement de leurs données à caractère personnel et les finalités associées. Les publicités personnalisées utilisées par l’entreprise ont donc été jugées illégales par la DPC (équivalent de la CNIL en Irlande). 

Pour ce faire, l’organisation plaignante (Noyb – Organisation de la protection de la vie privée) s’est appuyée sur les articles 5, 6 12 et 13 du RGPD pour faire valoir ses droits.

Calcul du montant de l’amende :

– Etape 1 : Identification des infractions

Manque de transparence sur les opérations de traitement des données à caractère personnel et des finalités associées.

– Etape 2 : Classification de l’infraction

Le niveau de gravité n’a pas été communiqué par la presse. En revanche, à partir de notre méthode de calcul, nous avons pu déterminer le niveau de gravité à « Medium ».

– Etape 3 : Identification des facteurs aggravants/atténuants

Aucune situation aggravante/atténuante n’a été identifiée.

– Etape 4 : Evaluation du montant maximum légal de l’amende :

Le maximum légal défini par le RGPD est de 4% du CA. Ainsi, dans notre cas le montant maximum est donc de 2 Md€.

– Etape 5 : Définir le montant de l’amende

Enfin, le niveau de gravité a été évalué à medium (entre 10% et 20% du montant maximum), par conséquent, le montant doit donc être compris entre 200 et 400 M€. Le montant final de l’amende a été fixé à 390 M€.

Estimer le montant des amendes liées au RGPD pour mieux renforcer ses efforts en cybersécurité

A travers cet article et ses différents exemples, nous avons voulu lever le voile sur le processus des amendes imposables par les autorités de contrôles sur la protection de la donnée personnelle. Au vu des impacts financiers et pour l’image, nous avons la conviction que ces considérations doivent être portées à la connaissance de tous les niveaux des entreprises.

Écrit par Félix Marquis et Lucas Martinez.