Même si le fondement principal des sanctions prononcées par les autorités de contrôle est la non-conformité aux principes généraux de la protection des données et l’absence de base légale appropriée, il ne faut pas négliger l’absence de mesure de sécurité appropriée. En Allemagne, le Commissaire Fédéral à la Protection des Données et à la Liberté d'information (BfDI) a infligé à une société de télécommunications une amende de 9.550.000 euros, en raison de sa procédure d'authentification ne comportant pas de mesures techniques et organisationnelles appropriées pour empêcher des personnes non-autorisées de recevoir des informations sur les clients de leur service clientèle téléphonique. La BfDI a pris en considération le degré de coopération fourni par cette société de télécom pour remédier à l'infraction et pour atténuer ses effets négatifs éventuels et a décidé d'imposer une amende du montant le plus bas possible.
L’autorité bulgare a, quant à elle, imposé une amende de 2.600.000 euros à l'Agence nationale des revenus bulgare pour n'avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées, ayant entraîné une violation des données à caractère personnel impactant plus de 6 millions de personnes.
Comme indiqué précédemment, en 2019, l'autorité britannique (ICO) a annoncé son intention d'infliger une amende à deux sociétés pour leur manque de mesures techniques et organisationnelles appropriées pour assurer la sécurité de leurs systèmes informatiques.
Remarques finales
Les principes du traitement des données constituent l'essence même du RGPD et, par conséquent, toute violation du RGPD entraînera une violation de ces principes. Le respect du principe de licéité (article 5, paragraphe 1, point a), du RGPD) est la condition préalable au traitement de toute donnée à caractère personnel. C'est donc l'un des premiers critères vérifiés par les autorités de contrôle lors d'audits ou d'enquêtes, qu’elles soient motivées ou non.
Il est encore trop tôt pour prédire quels montants peuvent être attendus et les types de sanctions qui seront imposés à l'avenir. Cependant, il est possible de discerner cinq tendances différentes :
1) La volonté des autorités de contrôle d'appliquer le règlement a augmenté d'année en année depuis son entrée en vigueur,
2) Les autorités imposent des amendes de plus en plus élevées,
3) Le nombre et le montant des amendes administratives par mois ont également augmenté,
4) Le régime des amendes imposées par les autorités de contrôle varie considérablement d'un état membre à l'autre, et il semblerait que ces dernières s’orienteraient vers des sanctions relatives aux respects des délais de conservation des données personnelles,
5) Le respect des principes de traitement des données à caractère personnel et la mise en œuvre de mesures de sécurité appropriées seront les principaux défis à relever en 2020.
Comme l'explique Michael Hofmann, Partner Consulting, en charge des problématiques RGPD chez EY Luxembourg, "En considérant le montant potentiel des amendes de 4 % du chiffre d'affaires annuel mondial d'une entité, la somme totale actuelle des amendes infligées à ce jour reste relativement faible. Toutefois, les autorités de contrôle doivent mener des enquêtes de plus en plus approfondies, impliquer d'autres autorités de contrôle impactées, prendre en compte le dialogue avec les représentants de l'entreprise faisant l'objet de l'enquête et déterminer quelle amende administrative est la plus efficace, proportionnée et dissuasive par rapport à la gravité de l'infraction. Leurs décisions doivent également être recevables devant les tribunaux compétents, ce qui prend du temps. Malgré cela, le RGPD a permis une meilleure gestion et compréhension des données personnelles et leur traitement pour les professionnels, tout en spécialisant, et de plus en plus, les métiers de la protection des données et vie privée".
[1] Le champ d’application territorial de l’Article 3 RGPD comprend les entités qui offrent des biens et services aux personnes concernées situées sur le territoire de l’UE, qu’un paiement soit exigé ou non, ou lorsqu’une telle entité procède au suivi de leur comportement au sein de l’Union. Conformément aux articles 83(4) et 83(5), les amendes sont calculées sur base du chiffre d’affaires annuel mondial total
[2] Toutes les amendes administratives ne sont pas rendues publiques ; de ce fait, ces nombres ne peuvent pas refléter entièrement l’ampleur actuelle des sanctions prises sur base du RGPD. Aussi, l’ autorité britannique a notifié son intention de sanctionner deux entreprises pour un montant total de £282.590.396 (approximativement €315.310.200).
[3] Les montants étant compris entre 900.000 et 27,8 millions d’euros.
[4] Les Pays-Bas font également partie des états membres ayant un modèle de contravention défini.
[5] De manière générale, une sanction est constituée de plusieurs violations d'articles du RGPD. Ainsi dans cette analyse, la violation principale sera retenue.