Claeys & Engels
Rechercher

Comment le respect du RGPD sera-t-il garanti?

Newsflash
Protection des données et de la vie privée

Un des changements les plus marquants que le RGPD va apporter est incontestablement l’octroi de compétences étendues en matière de contrôle et de sanction aux autorités de contrôle ("data protection authority" : en Belgique, il s’agit de la Commission vie privée). La manière dont ces nouvelles compétences seront mises en œuvre demeure toutefois encore incertaine.  

Bien que des sanctions soient actuellement prévues dans beaucoup de pays européens (en ce compris la Belgique) dans la réglementation relative au traitement des données à caractère personnel, les autorités de contrôle ne peuvent, pour le moment, pas infliger ces sanctions étant donné qu’elles ne disposent pas de compétence de sanction. Le RGPD est à cet égard synonyme de changement : non seulement il accorde aux autorités de contrôle un pouvoir de sanction, mais il met également à leur disposition un nouvel arsenal étendu de sanctions.

Compétences élargies des autorités de contrôle

Les autorités de contrôle se voient ainsi accorder un certain nombre de compétences d’investigation qui leur permettront d’examiner s’il y a une violation du RGPD. Ainsi, les autorités de contrôle pourront désormais et entre autres :

  • ordonner au responsable du traitement et au sous-traitant de lui communiquer toute information dont elles ont besoin pour l’accomplissement de leurs missions ;
  • mener des enquêtes sous la forme de contrôles de la protection des données (“audits”);
  • obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant.

En outre, le RGPD attribue aux autorités de contrôle la compétence de prendre un certain nombre de mesures correctrices :

  • avertir et rappeler à l’ordre;
  • ordonner de remédier aux violations endéans un certain délai;
  • imposer une limitation de traitement temporaire ou définitive, y compris une interdiction de traitement;
  • ordonner la suspension des flux de données vers un pays tiers.

L’autorité de contrôle décidera elle-même de savoir quelle sanction est concrètement la plus adaptée.

Amendes administratives

Parallèlement, les autorités de contrôle peuvent infliger des amendes administratives. Ces amendes peuvent s’ajouter aux mesures correctrices ou se substituer à ces dernières. Au moment d’apprécier si une amende doit être infligée, et pour déterminer le montant de celle-ci, il sera tenu compte de toute une série de circonstances atténuantes ou aggravantes, telles que la nature, la gravité et la durée de l’infraction, le caractère délibéré de la violation ou le fait qu’elle ait été commise par négligence, la nature des données à caractère personnel (s’agit-il de données sensibles ?), l’existence de précédentes violations de la réglementation dans le chef du responsable du traitement ou du sous-traitant, etc.

Pour un certain nombre d’infractions, l’amende infligée peut s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, peut aller jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent. Cela sera par exemple le cas lorsque :

  • aucun registre des activités de traitement n’a été tenu par le responsable du traitement ;
  • aucune convention n’a été conclue entre le responsable du traitement et le sous-traitant ;
  • il n’y a pas de délégué à la protection des données (‘date protection officer’), bien que cela soit requis.

La plupart des infractions au RGPD peuvent cependant être sanctionnées par une amende de 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Cela sera par exemple le cas lorsque :

  • le responsable du traitement ne tient pas compte des principes de base d’un traitement ou ne dispose pas d’une base juridique pour procéder au traitement des données ;
  • les droits des personnes concernées ne sont pas garantis ;
  • le transfert des données vers un pays tiers n’est pas protégé.

Le RGPD précise que ces amendes pécuniaires doivent être « effectives, proportionnées et dissuasives ». En accordant aux autorités de contrôle le pouvoir d’infliger de lourdes amendes de ce type, le législateur européen s’efforce de donner aux Etats les moyens pour garantir le respect du RGPD. Le but de ces sanctions élevées est donc clair : inscrire le respect du RGPD dans les priorités de la direction et des conseils d’administration dans le monde de l’entreprise.

Application en pratique

La façon dont les nouvelles compétences seront concrètement mises en œuvre dans les Etats membres est, à ce jour, incertaine. Ainsi, en Belgique, la Commission vie privée a déjà émis des critiques, dans un récent avis, à l’égard du projet de loi qui a pour objectif de réformer la Commission vie privée et de la préparer au RGPD. Les principales critiques de la Commission vie privée ont trait, d’une part, au fait que le projet de loi prévoirait la mise en place d’un organe, à savoir la chambre contentieuse, qui assurerait tant la recherche et la poursuite des infractions que le fait de juger. La confusion de ces deux compétences (poursuite et sanction) est - selon la Commission vie privée - en opposition avec la séparation des pouvoirs et mènera à une réduction d’une jurisprudence de qualité. Une seconde critique importante de la Commission vie privée a trait au fait qu’un certain nombre des missions prévues par le RGPD ne lui ont pas été attribuées. Ainsi, par exemple, le projet de loi n’attribuerait pas à la Commission vie privée les missions de coopération avec les autres autorités de contrôle, ni celles relatives à la tenue d’un registre interne des violations du RGPD et des mesures correctrices attribuées. La plus grande critique de la Commission vie privée concerne cependant le déroulement de la procédure prévu dans le projet de loi. Selon la Commission vie privée, la procédure serait en effet incohérente et rigide. Elle manquerait par ailleurs de clarté et - sur certains points - contreviendrait à ce que le RGPD prescrit.

Bien que le fait que le RGPD mette à disposition des autorités de contrôle des compétences importantes et un arsenal de sanctions étendu soit clair, il n’en reste pas moins que de réelles  incertitudes subsistent quant à la manière dont ces nouvelles compétences seront appliquées en pratique.