4

Le référentiel de sanctions

< Rapport d'information de la commission des affaires européennes >

Afin d’améliorer la visibilité des entreprises sur les modalités de sanction que pouvaient mettre en œuvre les autorités nationales et d’augmenter le montant potentiel desdites sanctions, le règlement met en place un référentiel, en son article 83, définissant le régime des amendes administratives.

La nouveauté tient d’abord à la mise en place de sanctions équivalentes dans tous les États membres, pour éviter tout « forum shopping » réglementaire. Le montant maximal de ces sanctions ainsi que les critères de fixation des amendes sont définis dans le règlement, charge ensuite aux autorités de contrôle nationales de les appliquer de manière proportionnée, en prenant en compte la nature de la violation des dispositions du règlement, le degré de responsabilité de l’organisme fautif ou encore le danger pour le respect des libertés fondamentales des personnes concernées.

L’autre aspect crucial, selon votre rapporteure, du règlement, dans ses dispositions d’application directe, tient à l’augmentation significative du montant maximal des amendes administratives. Celles-ci peuvent ainsi s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’exercice mondial total de l’exercice précédent, en cas de violation :

- des principes de base du traitement, tels que le principe du consentement ;

- des droits et libertés de personnes concernées définis de l’article 12 à l’article 22 du règlement ;

- de transfert illicite de données à caractère personnel vers le destinataire situé dans un pays tiers ou vers une organisation internationale ;

- des obligations découlant du chapitre IX relatif à des situations particulières de traitement, impliquant la liberté d’expression et d’information ou l’accès du public aux documents officiels ;

- du non-respect d’injonctions ou de limitations du flux des données ordonnées par une autorité nationale de contrôle.

Votre rapporteure estime qu’il s’agit là d’un renforcement cohérent des modalités de sanction, corollaire nécessaire au nouveau régime applicable aux responsables de traitement et aux sous-traitants. Elle souhaite toutefois attirer l’attention des autorités de contrôle sur les traitements spécifiques mis en œuvre par les entreprises innovantes et les start-up. S’il n’est pas souhaitable de modifier le projet de loi dans le sens d’un allégement normatif pour ces entreprises sur le modèle des « bacs à sable » réglementaires (43), dès lors que le règlement ne prévoit pas ce type de marge de manœuvre nationale, la CNIL devrait continuer à procéder tel qu’elle le fait actuellement. Le dialogue en amont avec les porteurs de projet est en effet crucial pour améliorer les analyses d’impact fournies par les responsables de traitement et les aider à prendre en compte les risques inhérents à ce traitement. Ce type de démarche proactive dépend toutefois nécessairement des moyens mis à la disposition du régulateur. Votre rapporteure rappelle ainsi que la Datainspektionen , l’autorité de régulation suédoise, a reçu un budget d’environ 150 000 euros pour aider les entreprises à mettre en œuvre les dispositions du RGPD.

< Rapport d'information de la commission des affaires européennes >