Article 83 Conditions générales pour imposer des amendes administratives

Principes directeurs : effectivité, proportionnalité et dissuasion

L'article 83, paragraphe 1, énonce trois principes cardinaux qui doivent guider les autorités de contrôle dans l'exercice de leur pouvoir de sanction : l'effectivité, la proportionnalité et le caractère dissuasif des amendes. Ces principes, qui trouvent leur fondement dans le droit de l'Union européenne et notamment dans l'article 49, paragraphe 3, de la Charte des droits fondamentaux de l'Union européenne, visent à garantir que les sanctions prononcées sont à la fois justes et efficaces.

Le principe d'effectivité implique que l'amende doit être suffisamment élevée pour avoir un impact réel sur l'organisation sanctionnée. Elle ne doit pas constituer une simple formalité ou un coût négligeable pouvant être absorbé sans conséquence par l'entreprise. Le principe de proportionnalité exige que le montant de l'amende soit adapté à la gravité du manquement et aux circonstances de l'espèce. Enfin, le caractère dissuasif de l'amende vise à décourager non seulement l'organisation sanctionnée, mais également l'ensemble des acteurs économiques, de commettre des violations similaires à l'avenir.

Ces trois principes doivent être appliqués de manière cumulée et cohérente dans chaque cas d'espèce, en tenant compte de l'ensemble des critères prévus au paragraphe 2 de l'article 83.

Les critères d'appréciation de la sanction

L'article 83, paragraphe 2, énumère onze critères que les autorités de contrôle doivent prendre en compte pour décider s'il y a lieu d'imposer une amende administrative et, le cas échéant, pour en déterminer le montant. Cette liste est conçue pour permettre une individualisation de la sanction, garantissant qu'elle soit adaptée aux circonstances spécifiques de chaque violation.

Parmi ces critères figurent notamment la nature, la gravité et la durée de la violation (point a), le caractère intentionnel ou négligent de la violation (point b), et les mesures prises pour atténuer le dommage subi par les personnes concernées (point c). L'autorité de contrôle doit également tenir compte du degré de responsabilité du responsable du traitement ou du sous-traitant, en examinant notamment les mesures techniques et organisationnelles mises en œuvre conformément aux articles 25 (protection des données dès la conception et par défaut) et 32 (sécurité du traitement) du RGPD.

D'autres critères portent sur les violations antérieures (point e), le degré de coopération avec l'autorité de contrôle (point f), les catégories de données concernées (point g), et la manière dont l'autorité a eu connaissance de la violation (point h). L'adhésion à des codes de conduite ou à des mécanismes de certification (point j), ainsi que les avantages financiers obtenus ou les pertes évitées du fait de la violation (point k), constituent également des éléments d'appréciation importants.

Le régime à deux niveaux d'amendes administratives

L'article 83 établit un régime de sanctions à deux niveaux, en fonction de la gravité des violations sanctionnées. Les paragraphes 4 et 5 distinguent ainsi deux plafonds d'amendes administratives, reflétant une gradation dans la sévérité des manquements au RGPD.

Le paragraphe 4 prévoit des amendes pouvant atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Ce niveau de sanction s'applique notamment aux violations des obligations des responsables de traitement et des sous-traitants prévues aux articles 8 (consentement des mineurs), 11 (traitement ne nécessitant pas d'identification), 25 à 39 (obligations générales des responsables de traitement et des sous-traitants), 42 et 43 (certification et organismes de certification).

Le paragraphe 5 prévoit des amendes plus élevées, pouvant atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Ce plafond maximal s'applique aux violations considérées comme les plus graves, notamment celles portant sur les principes de base du traitement (article 5), les conditions de licéité du traitement (article 6), le traitement des catégories particulières de données (article 9), les droits des personnes concernées (articles 12 à 22), et les transferts de données vers des pays tiers ou à des organisations internationales (articles 44 à 49).

Le cumul et la combinaison des sanctions

L'article 83, paragraphe 2, précise que les amendes administratives peuvent être imposées « en complément ou à la place » des autres mesures correctrices prévues à l'article 58, paragraphe 2, points a) à h) et j) du RGPD. Cette disposition confère aux autorités de contrôle une large marge d'appréciation dans le choix des sanctions, leur permettant de combiner une amende administrative avec d'autres mesures telles qu'un avertissement, une mise en demeure, une limitation ou une interdiction du traitement, ou une injonction de satisfaire aux demandes des personnes concernées.

Cette faculté de cumuler les sanctions vise à permettre aux autorités de contrôle d'adapter leur réponse à la nature et à la gravité de la violation. Dans certains cas, une amende seule ne suffira pas à remédier à la situation ; il sera nécessaire d'ordonner également des mesures correctrices pour mettre fin à la violation et prévenir sa répétition. À l'inverse, dans d'autres situations, des mesures correctrices sans amende pourront être jugées suffisantes, notamment lorsque l'organisation a fait preuve de bonne foi et de coopération.

En cas de violations multiples portant sur des dispositions différentes du RGPD, l'article 83, paragraphe 3, prévoit que le montant total de l'amende ne peut dépasser le montant fixé pour la violation la plus grave. Cette règle vise à éviter une accumulation disproportionnée de sanctions.

Articulation avec les autres dispositions du RGPD

L'article 83 s'articule étroitement avec l'article 58 du RGPD, qui définit les pouvoirs des autorités de contrôle. L'article 58, paragraphe 2, point i), confère expressément aux autorités le pouvoir d'imposer des amendes administratives en application de l'article 83, en fonction des circonstances propres à chaque espèce et en complément ou à la place des autres mesures correctrices.

Il doit également être lu en liaison avec l'article 84 du RGPD, qui prévoit que les États membres déterminent le régime des autres sanctions applicables aux violations du règlement qui ne font pas l'objet d'amendes administratives en vertu de l'article 83. Certaines violations peuvent ainsi relever de sanctions pénales au niveau national, conformément au principe selon lequel le RGPD n'exclut pas l'application du droit pénal des États membres.

Enfin, l'article 83 s'inscrit dans le cadre plus général du chapitre VIII du RGPD, qui organise les voies de recours, la responsabilité et les sanctions. Il complète ainsi les dispositions relatives au droit de réclamation (article 77), au recours juridictionnel contre une autorité de contrôle (article 78), au recours contre un responsable de traitement ou un sous-traitant (article 79), et au droit à réparation et à la responsabilité (article 82).

Jurisprudence relative à l'article 83

Depuis l'entrée en application du RGPD le 25 mai 2018, de nombreuses autorités de contrôle européennes ont fait usage de leur pouvoir de sanction prévu à l'article 83. Plusieurs décisions emblématiques ont été rendues, illustrant l'application concrète des critères d'appréciation et des montants maximaux prévus par le règlement. En France, la CNIL a prononcé des amendes record, notamment une sanction de 90 millions d'euros à l'encontre de Google Ireland Limited en décembre 2020 pour non-respect des règles relatives aux cookies, et une amende de 60 millions d'euros à l'encontre de Microsoft Ireland Operations Limited en décembre 2022.

Au niveau européen, des amendes particulièrement élevées ont été prononcées par plusieurs autorités de contrôle. L'autorité luxembourgeoise (CNPD) a ainsi infligé une amende de 746 millions d'euros à Amazon Europe Core en juillet 2021. L'autorité irlandaise (DPC) a prononcé des amendes de plusieurs centaines de millions d'euros à l'encontre de grandes entreprises du numérique. Ces décisions illustrent le caractère effectivement dissuasif des sanctions prévues à l'article 83 et confirment que les autorités de contrôle n'hésitent pas à prononcer des amendes proches des plafonds légaux lorsque les violations sont particulièrement graves.

La jurisprudence des juridictions nationales et de la Cour de justice de l'Union européenne (CJUE) relative à l'article 83 est encore en cours de développement. Toutefois, plusieurs juridictions ont déjà eu l'occasion de confirmer la légalité des amendes prononcées par les autorités de contrôle et de préciser les conditions d'application des critères prévus au paragraphe 2 de l'article 83. Ces décisions tendent à confirmer la large marge d'appréciation dont disposent les autorités de contrôle, sous réserve du respect des principes d'effectivité, de proportionnalité et de dissuasion.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) a publié plusieurs lignes directrices et documents d'orientation relatifs à sa politique de sanction et à l'application de l'article 83 du RGPD. Dans sa politique de sanctions adoptée en 2019, la CNIL détaille les critères qu'elle prend en compte pour déterminer le montant des amendes et précise sa méthodologie d'appréciation. Elle insiste notamment sur l'importance de la coopération des organisations avec l'autorité de contrôle et sur la prise en compte des mesures correctrices mises en œuvre spontanément par les responsables de traitement pour remédier aux violations constatées.

Le Comité européen de la protection des données (CEPD) a adopté, le 12 mai 2021, des lignes directrices 04/2022 sur le calcul des amendes administratives dans le cadre du RGPD. Ces lignes directrices visent à harmoniser les pratiques des autorités de contrôle européennes en matière de sanctions et à garantir une application cohérente de l'article 83 dans l'ensemble de l'Union européenne. Elles précisent notamment la méthodologie de calcul du montant de base de l'amende, en fonction de la gravité et du chiffre d'affaires de l'entreprise, ainsi que les modalités de prise en compte des circonstances aggravantes et atténuantes. Ces lignes directrices constituent une référence essentielle pour toute organisation souhaitant anticiper les risques de sanction et évaluer son exposition en cas de violation du RGPD.

Implications pratiques pour les responsables de traitement

Pour les responsables de traitement et les sous-traitants, l'article 83 du RGPD constitue un puissant levier d'incitation à la conformité. Les montants maximaux des amendes administratives, pouvant atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, représentent un risque financier et réputationnel considérable pour les organisations. Il est donc essentiel de mettre en place une démarche de conformité rigoureuse et documentée, permettant de prévenir les violations du RGPD et de démontrer, en cas de contrôle, la mise en œuvre de mesures techniques et organisationnelles appropriées.

Les organisations doivent accorder une attention particulière aux critères d'appréciation énoncés à l'article 83, paragraphe 2. La coopération avec l'autorité de contrôle, la notification spontanée des violations de données, la mise en place de mesures correctrices rapides et la démonstration d'une démarche proactive de mise en conformité constituent autant de circonstances atténuantes susceptibles de réduire le montant de l'amende. À l'inverse, le caractère intentionnel d'une violation, l'absence de coopération, les violations répétées ou l'obtention d'avantages financiers indus constituent des circonstances aggravantes pouvant conduire à des amendes particulièrement élevées.

Enfin, les organisations doivent intégrer le risque de sanction dans leur analyse de risques RGPD et leur stratégie de gouvernance des données. La désignation d'un délégué à la protection des données (DPO), la tenue d'un registre des activités de traitement, la réalisation d'analyses d'impact relatives à la protection des données (AIPD), la conclusion de contrats conformes avec les sous-traitants et la formation régulière des collaborateurs constituent autant de mesures permettant de réduire le risque de violation et, en cas de manquement, de démontrer la bonne foi de l'organisation et sa volonté de se conformer au RGPD.