Article 83 du RGPD : Conditions générales pour imposer des amendes administratives
Sommaire :
Comprendre l’article 83
Cet article 83 du RGPD énonce les conditions générales devant être respectées par les autorités de contrôle concernant les amendes administratives. En effet, les autorités de contrôle doivent veiller à respecter les principes d’effectivité, de proportionnalité et de dissuasion lors de sanctions impliquant une amende administrative.
Les amendes peuvent être accompagnées d’autres sanctions (injonction de mise en conformité sous astreinte, interdiction ou limitation d’un traitement…).
Pour en savoir plus sur les pouvoirs de la CNIL, consultez notre article : RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL.
Lors de la détermination du montant de l’amende administrative, plusieurs éléments doivent être pris en compte :
- nature, gravité, durée de la violation au regard de la nature, de la portée et de la finalité du traitement concerné
- le nombre de personne concernées affectées et le niveau de dommage subi
- si la violation a été commise délibérément ou par négligence
- si des efforts ont été entrepris par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi
- si des mesures techniques et organisationnelles avaient été mises en place
- toute autre violation précédente et pertinente commise par le responsable de traitement et le sous-traitant
- la coopération avec l’autorité de contrôle
- les catégories de données personnelles concernées
- la manière dont l’autorité a été informée de la violation (si elle résulte d’une notification du responsable de traitement ou du sous-traitant)
- si le responsable de traitement ou le sous-traitant a déjà fait l’objet de mesures correctrices pour le même objet et si ces mesures ont été respectées
- si des codes de conduite ou des mécanismes de certifications sont appliqués
- s’il existe d’autres circonstances aggravantes ou atténuantes (tels que les avantages financiers procurés par la violation)
Si plusieurs violations sont constatées pour un même traitement, le montant total de l’amende ne peut excéder le montant fixé pour la violation la plus grave.
Pour les violations suivantes :
Les amendes administratives peuvent s’élever à 10 000 000€, ou 2% du CA annuel mondial total de l’exercice précédent. Le montant le plus élevé parmi ces options est retenu.
Obligations du responsable de traitement et du sous-traitant
- Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
- Article 11 – Traitement ne nécessitant pas l’identification
- Article 25 – Protection des données dès la conception et protection des données par défaut
- Article 26 – Responsables conjoints du traitement
- Article 27 – Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union.
- Article 28 – Sous-traitant
- Article 29 – Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
- Article 30 – Registre des activités de traitement
- Article 31 – Coopération avec l’autorité de contrôle
- Article 32 – Sécurité du traitement
- Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
- Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel
- Article 35 – Analyse d’impact relative à la protection des données
- Article 36 – Consultation préalable
- Article 37 – Désignation du délégué à la protection des données
- Article 38 – Fonction du délégué à la protection des données
- Article 39 – Missions du délégué à la protection des données
- Article 42 – Certification
- Article 43 – Organismes de certification
Obligations incombant aux organismes de certifications :
Obligations incombant à l’organisme chargé du suivi des codes de conduite :
Pour les violations suivantes :
L’amende peut s’élever à 20 000 000€ ou 4% du CA (le montant le plus élevé est retenu).
Principes de base d’un traitement :
- Article 5 – Principes relatifs au traitement des données à caractère personnel
- Article 6- Licéité du traitement
- Article 7 – Conditions applicables au consentement
- Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel
Les droits des personnes concernées :
- Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
- Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
- Article 15 – Droit d’accès de la personne concernée
- Article 16 – Droit de rectification
- Article 17 – Droit à l’effacement («droit à l’oubli»)
- Article 18 – Droit à la limitation du traitement
- Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
- Article 20 – Droit à la portabilité des données
- Article 21 – Droit d’opposition
- Article 22 – Décision individuelle automatisée, y compris le profilage
Transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale :
- Article 44 – Principe général applicable aux transferts
- Article 45 – Transferts fondés sur une décision d’adéquation
- Article 46 – Transferts moyennant des garanties appropriées
- Article 47 – Règles d’entreprise contraignantes
- Article 48 – Transferts ou divulgations non autorisés par le droit de l’Union
- Article 49 – Dérogations pour des situations particulières
- Droit des États membre
- Non respect d’une injonction en vertu de l’Article 58 – Pouvoirs
Les États membres peuvent déterminer dans quelles mesures des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
Les garanties procédurales sont définies par le droit de l’Union et le droit des États membres, en vertu d’un droit à un recours juridictionnel effectif et à une procédure régulière.
Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?
Article 83 du RGPD
- Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
- Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
- Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
- Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.
- Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.
- Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
- Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
- L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridic tionnel effectif et une procédure régulière.
- Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu’ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.
Jurisprudence
Aucune jurisprudence sur cet article !
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €
