Le Comité européen de la protection des données (CEPD) vient de publier des lignes directrices pour permettre l’harmonisation de la méthode de calcul des amendes administratives pour non-respect du RGPD à l’échelle européenne. Que prévoient-elles ?
RGPD : 5 étapes pour calculer les amendes administratives
Lorsque les obligations imposées par le Règlement général sur la protection des données (RGPD) ne sont pas respectées, la Commission nationale de l’informatique et des libertés (CNIL) peut contraindre l’auteur de cette violation au paiement d’une amende administrative.
Pour harmoniser les méthodes de calcul du montant de ces amendes, le Comité européen de la protection des données (CEPD) vient de publier des lignes directrices à l’attention de la CNIL et des autorités équivalentes dans les autres pays de l’Union européenne.
Ainsi, elles devront :
- déterminer s’il y a eu un ou plusieurs comportements sanctionnables et si ces derniers ont conduit à une ou plusieurs infractions ;
- se fonder sur un point de départ défini par le CEPD, prenant en compte la catégorisation des infractions, la gravité de l’infraction et le chiffre d’affaires de l’entreprise ;
- tenir compte des facteurs aggravants ou atténuants pour augmenter ou diminuer le montant de l’amende en fonction de ces derniers ;
- déterminer le plafond légal de l’amende applicable, qui varie en fonction de la violation constatée et ne pas le dépasser ;
- analyser si le montant final obtenu est efficace, dissuasif et proportionné, ou s’il est nécessaire d’effectuer des ajustements supplémentaires.