Les amendes administratives infligées par les différentes autorités de protection des données européennes, la CNIL dans le cas de la France, sont parfois pointées du doigt par un public qui a pu s’étonner du montant des sanctions prononcées.

Pour harmoniser la méthodologie actuelle, le CEPD (Comité européen de la protection des données) a adopté, cette semaine, des lignes directrices qui aideront à un meilleur calcul des amendes.

Trois éléments pourraient ainsi prochainement être pris en compte : la gravité de l’infraction, le chiffre d’affaires de l’entreprise et la catégorisation des infractions par nature.

Un calcul de l’amende en cinq étapes

Si les lignes directrices adoptées dans le cadre du RGPD se concentraient davantage sur les circonstances dans lesquelles infliger une amende, celles arrêtées par le CEPD établissent ce que l’autorité bruxelloise appelle « des points de départ » harmonisés.

Les lignes directrices adoptées, qui seront soumises à une consultation publique sur une période de six semaines avant leur adoption finale, repose sur une méthode de calcul en cinq étapes.

D’abord, les gendarmes européens de la protection des données devront savoir si l’affaire en cours sur leur bureau concerne un ou plusieurs cas de comportement sanctionnable. Elles auront à déterminer si ce ou ces cas ont conduit à une ou plusieurs infractions. Quel intérêt dans tout ça ? Clarifier quelles infractions doivent être sanctionnées par une amende.

Après avoir fait cela, les autorités devront s’arrêter sur un point de départ pour le calcul de l’amende. Le CEPD prévoit à ce titre de leur livrer une méthode harmonisée.

Troisième étape : il faudra tenir compte des facteurs aggravants ou atténuants qui pourraient aussi bien augmenter que diminuer le montant de l’amende.

Puis arrive l’étape qui aidera à déterminer les plafonds légaux des amendes, comme le prévoit le RGPD. Les autorités devront veiller à ne pas dépasser ces montants.

Enfin, la cinquième et ultime étape suggère aux autorités d’analyser si le montant final calculé correspond bien aux exigences d’efficacité, de proportionnalité et de dissuasion. Si un ajustement supplémentaire du montant doit être effectué, c’est à ce moment-là que les gendarmes de la donnée devront en discuter.

Un tableau de référence mis à disposition des gendarmes européens de la donnée

Une fois les lignes directrices définitivement adoptées, leur version finale comprendra un tableau de référence faisant apparaître toute une série de points de départ pour le calcul des amendes, à faire en fonction de la gravité de l’infraction et du chiffre d’affaires de l’entreprise.

« Désormais, les autorités de protection des données de l’EEE suivront la même méthodologie pour calculer les amendes », explique la présidente du CEPD, avant d’ajouter que « cela renforcera l’harmonisation et la transparence de la pratique des amendes des autorités de protection des données. Les circonstances individuelles d’une affaire doivent toujours être un facteur déterminant et les APD ont un rôle important à jouer pour garantir que chaque amende est efficace, proportionnée et dissuasive ».

Le CEPD veut contrôler l’utilisation des technologies de reconnaissance faciale

Notons enfin que l’autorité a aussi adopté, en parallèle, des lignes directrices sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires européennes.

Ici, il s’agit de fournir aux législateurs de l’Union européenne et des États membres des orientations sur le cadre juridique à adopter, et tout ce qui concerne plus globalement la prévention, les enquêtes, les poursuites des infractions pénales et l’exécution des sanctions.

Le CEPD rappelle que malgré l’utilité de la reconnaissance faciale notamment pour identifier le suspect d’un grave crime, son utilisation doit satisfaire aux exigences de nécessité et de proportionnalité. En impliquant directement les données personnelles, dont les données biométriques, l’autorité bruxelloise évoque de potentiels graves risques pour les droits et libertés individuels.

Le comité européen propose ainsi d’interdire l’identification biométrique à distance dans les espaces accessibles au public et l’interdiction de toute technologie de reconnaissance faciale ou similaire pour déduire les émotions d’une personne.

En outre, le CEPD refuse que la technologie soit utilisée pour « catégoriser » des individus (en fonction de leur origine ethnique, de leur sexe et autres).

Ces lignes directrices sont elles aussi soumises à une consultation publique d’une durée de six semaines.

Alexandre Boero