Pour harmoniser la méthodologie actuelle, le CEPD (Comité européen de la protection des données) a adopté, cette semaine, des lignes directrices qui permettront à un meilleur calcul des amendes.
Trois éléments pourraient ainsi prochainement être pris en compte : la gravité de l’infraction, le chiffre d’affaires de l’entreprise et la catégorisation des infractions par nature.
Si les lignes directrices adoptées dans le cadre du RGPD se concentraient davantage sur les circonstances dans lesquelles imposées une amende, celles-ci arrêtées par le CEPD établissant ce que l’autorité bruxelloise appelle « des points de départ » harmonisés.
Les lignes directrices adoptées, qui seront soumises à une consultation publique sur une période de six semaines avant leur adoption finale, reposent sur une méthode de calcul en cinq étapes.
D’abord, les gendarmes européens de la protection des données doivent savoir si l’affaire en cours sur leur bureau concerne un ou plusieurs cas de comportement sanctionnable. Elles seront à déterminer si ce ou ces cas ont conduit à une ou plusieurs infractions. Quel intérêt dans tout ça ? Clarifier quelles infractions doivent être sanctionnées par une amende.
Après avoir fait cela, les autorités doivent s’arrêter sur un point de départ pour le calcul de l’amende. Le CEPD prévoit à ce titre de leur livraison une méthode harmonisée.
Troisième étape : il faudra tenir compte des facteurs aggravants ou atténuants qui pourraient aussi bien augmenter que diminuer le montant de l’amendement.
Puis arrive l’étape qui permet de déterminer les plafonds légaux des amendements, comme le prévoit le RGPD. Les autorités doivent veiller à ne pas dépasser ces montants.
Enfin, la cinquième et ultime étape suggère aux autorités d’analyser si le montant final calculé correspond bien aux exigences d’efficacité, de proportionnalité et de dissuasion. Si un ajustement supplémentaire du montant doit être effectué, c’est à ce moment-là que les gendarmes de la donnée devront en discuter.
Une fois les lignes directrices définitivement adoptées, leur version finale comprendra un tableau de référence faisant apparaître toute une série de points de départ pour le calcul des amendes, à faire en fonction de la gravité de l’infraction et du chiffre d’affaires de l ‘entreprise.
« Désormais, les autorités de protection des données de l’EEE suivront la même méthodologie pour calculer les amendes », explique la présidente du CEPD, avant d’ajouter que « cela a renforcé l’harmonisation et la transparence de la pratique des amendes des autorités de protection des données. Les circonstances individuelles d’une affaire doivent toujours être un facteur déterminant et les APD ont un rôle important à jouer pour garantir que chaque amende est efficace, proportionnée et dissuasive ».
Notons enfin que l’autorité a aussi adopté, en parallèle, des lignes directrices sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires européennes.
Ici, il s’agit de fournir aux déclenchés de l’Union européenne et des États des membres des orientations sur le cadre juridique à adopter, et tout ce qui concerne plus globalement la prévention, les enquêtes, les poursuites des infractions pénales et l’exécution des sanctions.
Le CEPD rappelle que malgré l’utilité de la reconnaissance faciale notamment pour identifier le suspect d’un crime grave, son utilisation doit satisfaire aux exigences de nécessité et de proportionnalité. En impliquant directement les données personnelles, dont les données biométriques, l’autorité bruxelloise évoque de potentiels graves risques pour les droits et libertés individuelles.
Le comité européen propose ainsi d’interdire l’identification biométrique accessible à distance dans les espaces au public et l’interdiction de toute technologie de reconnaissance faciale ou similaire pour déduire les émotions d’une personne.
En outre, le CEPD refuse que la technologie soit utilisée pour « catégoriser » des individus (en fonction de leur origine ethnique, de leur sexe et autres).
Ces lignes directrices sont elles aussi soumises à une consultation publique d’une durée de six semaines.
Alexandre Boéro
