L’autorité de protection des données et ses pouvoirs de sanction

La majorité des règles applicables à la protection des données à caractère personnel étaient déjà prévues dans la Directive 95/46/CE. Cependant, en l’absence d’autorité de contrôle dotée de pouvoirs de sanction, les exigences de la Directive de 1995 sont restées largement inappliquées dans la pratique.
Pour remédier à ce problème, le législateur européen a adopté le RGPD et a imposé aux États membres de mettre en place des autorités nationales de contrôles dotés de véritables pouvoirs de sanctions.
Contrairement à la Commission vie privée qui intervenait comme un médiateur, l’APD dispose aujourd’hui d’un large pouvoir d’enquête, de contrôle et de sanction.

Les issues possibles d’un dossier

Saisie d’un dossier, la Chambre Contentieuse peut :

• classer la plainte sans suite,
• proposer une transaction,
• transmettre le dossier au parquet du procureur du Roi de Bruxelles,
• prendre une décision « light » à l’issue de laquelle la Chambre Contentieuse formule des avertissements ou encore ordonne à l’organisation qui traite les données de mettre en place des mesures de mise en conformité.
• publier sa décision
• décider d’examiner le fond de l’affaire qui est portée devant elle.

Les sanctions à la disposition de l’APD

Si l’APD décide d’examiner l’affaire au fond, elle peut, après un examen approfondi du dossier, classer sans suite (par exemple, en cas d’absence de preuves suffisantes de manquement), rejeter les demandes du plaignant (par exemple, en cas d’absence de manquement) ou, dans le cas où elle constate effectivement des manquements au RGPD, prononcer des sanctions à l’encontre du responsable du traitement ou du sous-traitant.

Parmi les sanctions à la disposition de l’APD, la Chambre Contentieuse peut prononcer les sanctions suivantes :

• l’avertissement et la réprimande
• l’ordre de faire droit aux demandes des personnes concernées (ex. faire droit à une demande d’accès ou d’effacement)
• l’ordre de rectifier ou effacer de données à caractère personnel ou d’en limiter le traitement
• l’ordre de mise en conformité (selon les modalités et dans le délai fixé par l’APD dans sa décision)
• l’ordre d’informer la personne concernée quant à une violation de données à caractère personnel (ex. informer les personnes d’une fuite de données les concernant)
• la limitation temporaire ou définitive, y compris l’interdiction, du traitement
• la suspension des flux transfrontaliers de données (ex. en cas d’utilisation d’un prestataire IT établi en dehors de l’Union européenne lorsque le transfert de données en dehors de l’UE ne repose sur aucun mécanisme reconnu par le RGPD).
• l’amende administrative

L’amende administrative

Ce sont sans aucun doute les amendes administratives qui sont le plus redoutées par les organisations soumises au RGPD.
Les amendes peuvent atteindre 20.000.000 euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le montant de l’amende sera défini par l’APD en tenant compte des lignes directrices de l’EDPB sur le calcul des amendes et des critères suivants :

• la nature, la gravité et la durée de la violation ;
• la nature, de la portée ou de la finalité du traitement concerné ;
• le nombre de personnes concernées affectées ;
• le niveau de dommage subi;
• le fait que la violation a été commise délibérément ou par négligence;
• toute mesure prise pour atténuer le dommage subi par les personnes concernées;
• les mesures techniques et organisationnelles mises en œuvre ;
• toute violation pertinente commise précédemment;
• le degré de coopération avec l’autorité de contrôle;
• les catégories de données à caractère personnel concernées par la violation;
• la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, la violation a été notifiée ou non;
• le respect de mesures imposées précédemment par l’autorité le cas échéant ;
• l’application de codes de conduite ou de mécanismes de certification approuvés ;
• toute autre circonstance aggravante ou atténuante comme les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

La publication de la décision

Les décisions rendues par la Chambre Contentieuse peuvent être publiées sur le site internet de l’Autorité.
La publication d’une décision peut engendrer des effets néfastes non négligeables pour l’entité qui serait épinglée par l’Autorité comme ayant commis des traitements illégaux.