Si le Règlement général sur la protection des données (RGPD) fait couler autant d’encre depuis son entrée en vigueur, c’est certainement, en partie, en raison du montant des amendes administratives potentielles qu’il prévoit.
Ces dernières peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total du groupe dont fait partie l’entreprise en infraction. Ce montant peut être doublé en cas de concours d’infractions.
Nul doute, ces amendes ont d’ores et déjà joué leur rôle en persuadant les entreprises à prendre ce nouveau règlement au sérieux.
L’autorité de protection des données
L’Autorité de protection des données (APD) dispose d’un pouvoir d’enquête et de sanction considérable.
L’APD peut mener des enquêtes d’initiative, à la suite de la notification d’une violation de données ou encore sur la base d’une plainte (si par exemple une demande d’effacement est refusée).
Les pouvoirs d’enquête conférés à l’APD sont larges. Ceux-ci incluent notamment la descente dans les locaux de l’entreprise et l’audition de personnes. L’APD peut également ordonner la consultation des systèmes informatiques et la copie des données qu’ils contiennent.
L’entité qui fait l’objet du contrôle a bien évidemment intérêt à collaborer dès ce stade avec l’APD. Elle peut y faire valoir ses éléments d’explication et éventuellement les changements qu’elle envisage pour mettre fin à une situation que l’APD critique.
Si, au terme de cette enquête, l’APD estime que des manquements ont été commis, elle peut entamer une procédure de sanction administrative.
L’entreprise poursuivie pourra à nouveau faire valoir à ce stade ses éléments de défense oralement et/ou par écrit.
En résumé, la Chambre Contentieuse dispose d’un large pouvoir dont elle n’hésite pas à faire usage. En 2024, l’APD a publié pas moins de 173 décisions.
Quelles sanctions au terme de la procédure ?
Parmi l’éventail des sanctions à sa disposition, l’APD peut se limiter à formuler un avertissement, à privilégier la voie transactionnelle, voire décider de classer la plainte sans suite.
Elle peut toutefois imposer des sanctions plus lourdes telles qu’ordonner une mise en conformité du traitement, le gel, la limitation ou l’interdiction temporaire ou définitive du traitement. Enfin, elle peut prononcer des astreintes ou amendes administratives. Pour fixer le montant de ces amendes, l’APD semble suivre les lignes directrices de l’EDPB sur le calcul des amendes.
Outre la sanction de l’amende, l’APD peut également décider de publier sa décision de manière anonymisée ou non sur son site internet. Bien qu’elle ne constitue pas une sanction per se, la publication d’une décision de l’APD peut engendrer de graves dommages réputationnels pour une organisation.
Quel(s) recours ?
La décision de l’APD peut naturellement faire l’objet d’un recours. Celui-ci ne suspendra toutefois pas pour autant l’exigibilité des amendes, qui devront être payées dans les 30 jours.
La décision pourra ainsi être attaquée dans les 30 jours de sa notification devant la Cour des marchés.
Our advice:
Il est primordial pour les entreprises de se conformer au RGPD, afin de ne pas commettre d’infraction, et de garder en tête que l’Autorité de protection des données peut effectuer une enquête à tout moment.
Si tel est le cas, il est important de collaborer et de se faire assister dès que l’APD débute son enquête, afin d’éviter au maximum qu’elle ne débouche sur une procédure de sanction administrative.
