Article 84 Sanctions

Champ d'application des sanctions nationales

Le paragraphe 1 de l'article 84 confère aux États membres la compétence pour déterminer le régime des sanctions applicables aux violations du RGPD qui ne font pas l'objet des amendes administratives prévues à l'article 83. Cette compétence permet aux États membres de combler les éventuelles lacunes du système de sanctions harmonisé et d'adapter le régime de sanctions à leurs traditions juridiques nationales.

Les sanctions nationales peuvent revêtir différentes formes : sanctions pénales (amendes pénales, peines d'emprisonnement), sanctions administratives autres que les amendes prévues à l'article 83 (avertissements, injonctions, interdictions d'activité), sanctions professionnelles ou disciplinaires. Les États membres disposent d'une large marge d'appréciation pour déterminer la nature et le niveau de ces sanctions, sous réserve de respecter les principes d'effectivité, de proportionnalité et de dissuasion.

L'article 84 permet notamment aux États membres d'établir des sanctions pénales pour les violations les plus graves du RGPD, particulièrement lorsqu'elles présentent un caractère intentionnel ou frauduleux. Plusieurs États membres ont ainsi introduit des infractions pénales spécifiques pour sanctionner certaines violations graves du RGPD, complétant ainsi le système d'amendes administratives.

Exigences d'effectivité, de proportionnalité et de dissuasion

L'article 84 impose aux États membres de garantir que les sanctions qu'ils établissent sont effectives, proportionnées et dissuasives. Ces trois exigences constituent des principes fondamentaux du droit de l'Union européenne en matière de sanctions et visent à garantir que les violations du RGPD soient effectivement sanctionnées de manière appropriée.

L'effectivité signifie que les sanctions doivent être réellement applicables et appliquées en pratique. Elles ne doivent pas rester purement théoriques mais doivent conduire à une sanction concrète des violations constatées. Cela suppose que les autorités compétentes disposent des moyens et des pouvoirs nécessaires pour détecter les violations et prononcer les sanctions prévues.

La proportionnalité implique que les sanctions doivent être adaptées à la gravité de la violation et aux circonstances de l'espèce. Une violation mineure ne doit pas entraîner une sanction disproportionnée, tandis qu'une violation grave doit être sanctionnée de manière significative. Les États membres doivent donc prévoir une gradation des sanctions permettant d'adapter la réponse pénale ou administrative à la gravité de chaque cas.

Le caractère dissuasif signifie que les sanctions doivent être suffisamment sévères pour décourager les violations du RGPD. Elles doivent créer un risque réel pour les potentiels contrevenants et les inciter à respecter leurs obligations. Une sanction purement symbolique, sans impact réel sur l'organisation sanctionnée, ne remplirait pas cette exigence de dissuasion.

Articulation entre sanctions nationales et amendes administratives

L'article 84 s'articule avec l'article 83, qui prévoit un système harmonisé d'amendes administratives pour les violations du RGPD. Ces deux articles forment ensemble le cadre complet des sanctions applicables aux violations du règlement, combinant des sanctions harmonisées au niveau européen et des sanctions nationales complémentaires.

La coexistence de ces deux régimes de sanctions soulève la question du cumul des sanctions. Le principe ne bis in idem, garanti par l'article 50 de la Charte des droits fondamentaux de l'Union européenne, interdit qu'une personne soit poursuivie ou punie pénalement deux fois pour les mêmes faits. Les États membres doivent donc veiller à ce que l'application cumulative de sanctions administratives et pénales ne viole pas ce principe.

Dans la pratique, les États membres ont adopté différentes approches pour articuler les sanctions administratives et pénales. Certains ont établi un principe de subsidiarité, donnant la priorité aux sanctions administratives et ne recourant aux sanctions pénales que pour les violations les plus graves. D'autres ont maintenu un système de cumul, tout en veillant à respecter le principe de proportionnalité globale des sanctions.

Articulation avec les autres dispositions du RGPD

L'article 84 complète l'article 83, qui établit les conditions générales pour imposer des amendes administratives et fixe les montants maximaux de ces amendes. Ensemble, ces deux articles constituent le cadre complet des sanctions applicables aux violations du RGPD, combinant harmonisation européenne et spécificités nationales.

Il s'articule également avec l'article 58, qui précise les pouvoirs des autorités de contrôle, incluant le pouvoir d'imposer des amendes administratives. L'article 84 permet aux États membres d'attribuer des pouvoirs de sanctions complémentaires à d'autres autorités, notamment aux autorités judiciaires pour les sanctions pénales.

Jurisprudence relative à l'article 84

La jurisprudence de la Cour de justice de l'Union européenne a précisé les limites de la compétence des États membres en matière de sanctions. Dans plusieurs arrêts, la CJUE a rappelé que les États membres doivent respecter les principes généraux du droit de l'Union, notamment les principes d'effectivité, de proportionnalité et de dissuasion, ainsi que le principe ne bis in idem.

Les juridictions nationales ont eu l'occasion de se prononcer sur la compatibilité de diverses sanctions nationales avec les exigences de l'article 84. Elles ont notamment validé l'introduction de sanctions pénales pour certaines violations graves du RGPD, considérant que ces sanctions complètent utilement le système d'amendes administratives et renforcent l'effectivité de la protection des données.

Recommandations de la CNIL et du CEPD

La CNIL rappelle que les sanctions prévues par le droit national doivent être appliquées de manière cohérente avec les amendes administratives prévues par le RGPD. Elle encourage une approche coordonnée entre les autorités administratives et judiciaires pour garantir que les violations du RGPD soient sanctionnées de manière effective et proportionnée, sans duplication inutile des procédures.

Le Comité européen de la protection des données (CEPD) a publié des lignes directrices sur l'articulation entre les sanctions administratives et pénales en matière de protection des données. Il souligne l'importance de garantir la cohérence des sanctions à l'échelle européenne, tout en respectant les spécificités des systèmes juridiques nationaux. Il recommande aux États membres d'échanger régulièrement sur leurs pratiques de sanctions pour favoriser une convergence progressive.

Implications pratiques pour les responsables de traitement

Les responsables de traitement et les sous-traitants doivent être conscients qu'ils peuvent faire l'objet non seulement d'amendes administratives prononcées par les autorités de contrôle, mais également de sanctions pénales ou administratives complémentaires prévues par les législations nationales. Cette multiplicité des sanctions renforce l'importance d'une conformité stricte au RGPD.

Les organisations opérant dans plusieurs États membres doivent être particulièrement vigilantes, car les régimes de sanctions nationales peuvent varier significativement d'un État à l'autre. Il est recommandé de se tenir informé des évolutions législatives dans tous les États où l'organisation est active et d'adapter les pratiques de conformité en conséquence.

En cas de violation du RGPD, l'organisation peut être confrontée à plusieurs procédures de sanction parallèles : une procédure administrative devant l'autorité de contrôle pouvant conduire à une amende administrative, et une procédure pénale ou administrative nationale pouvant conduire à d'autres sanctions. Il est essentiel de coordonner soigneusement la défense dans ces différentes procédures et de faire valoir, le cas échéant, le principe ne bis in idem pour éviter une double sanction disproportionnée.