Le CEPD a élaboré des lignes directrices dans le but d’harmoniser les méthodes de calcul des amendes administratives au sein des différentes autorités de contrôle européennes.
Soumises à consultation publique pendant 6 semaines avant adoption de leur version finale, l’objectif de ces lignes directrices est de créer des « points de départ harmonisés », à partir desquels le calcul des amendes administratives devra se fonder.
Ces lignes directrices sont complémentaires des « lignes directrices sur l’application et la fixation des amendes administratives »[1], préalablement publiées par le CEPD.
Rappelant (i) que le calcul du montant de l’amende est à la discrétion de l’autorité de contrôle et (ii) que le RGPD exige que le montant de l’amende soit efficace, proportionnel, dissuasif et individualisé, le CEPD a adopté une méthodologie en 5 étapes pour guider les autorités de contrôle dans la fixation du montant des amendes :
- La première étape consiste à identifier les opérations de traitement et évaluer s’il y a une ou plusieurs conduites sanctionnables, et si cette ou ces conduites donnent lieu à une ou plusieurs infractions.
- La deuxième étape consiste à trouver le point de départ pour le calcul de l’amende, c’est-à-dire la date à partir de laquelle toutes les circonstances de l’affaire doivent être prises en compte pour aboutir au montant final de l’amende.
- La troisième étape consiste à évaluer les circonstances aggravantes ou atténuantes. Il s’agit, notamment, selon le CEPD :
- des mesures prises par le responsable du traitement ou le sous-traitant pour atténuer les dommages subis par les personnes concernées ;
- du degré de responsabilité du responsable du traitement ou du sous-traitant ;
- de l’existence d’infractions antérieures ;
- du degré de coopération avec l’autorité de contrôle ;
- de la manière dont l’infraction a été portée à la connaissance de l’autorité de contrôle ;
- du respect des mesures ordonnées antérieurement concernant le même objet ;
- de l’adhésion à des codes de conduite ou mécanismes de certification approuvés,
- de toute autre circonstance aggravante ou atténuante.
- La quatrième étape consiste à identifier les maximums légaux pertinents, notamment afin de vérifier que les amendes maximales ne sont pas dépassées.
- Enfin, la cinquième étape consiste à analyser si le montant final de l’amende répond aux exigences d’efficacité, de dissuasion et de proportionnalité exigé par le RGPD, quitte à augmenter ou diminuer l’amende en conséquence.
Comme le rappelle le CEPD, cette méthode « générale » poursuit des objectifs d’harmonisation et de transparence, mais ne doit pas être interprétée comme une formule mathématique et automatique, ces lignes directrices feront ainsi l’objet d’un examen régulier pour ajuster au mieux la méthode.
[1] G29, Lignes directrices 2016/679 sur l’application et la fixation des amendes administratives aux fins du règlement (UE), 3 octobre 2017, WP 253
