Le « Groupe 29″ (“Article 29 Data Protection Working Party”), considéré comme le Comité Européen de la Protection des Données (“EDPB”) a pour objectif de communiquer des lignes directrices afin de permettre une compréhension uniforme et équivalente entre les Etats membres des dispositions du Règlement général sur la protection des données à caractère personnel (“GDPR”), qui entrera en vigueur le 25 mai 2018. A ce jour, plusieurs lignes directrices ont été publiées, dont celles relatives au droit à la portabilité des données, à la désignation d’un « Data Protection Officer » ou encore au « lead supervisory authority ».
Ce 3 octobre 2017, le Groupe 29 a publié des lignes directrices portant sur l’application et la fixation des amendes administratives pouvant être infligées à un responsable de traitement en cas de violation d’une disposition du règlement GDPR et ce, notamment en raison de l’importance de ces amendes. Pour rappel, l’article 83 du règlement prévoit que ces amendes peuvent aller jusqu’à 10 millions d’euros (si c’est une entreprise, jusqu’à 2% de son chiffre d’affaire annuel mondial) ou 20 millions d’euros (si c’est une entreprise, jusqu’à 4% de son chiffre d’affaire annuel mondial) en fonction du type d’infraction.
A cet égard, le Groupe 29 rappelle que l’amende administrative doit être adéquate, proportionnée et dissuasive afin de répondre à l’objectif du règlement et que par conséquent, elle devra être déterminée au cas par cas. Il indique par ailleurs que dans ce cadre, l’autorité de contrôle devra tenir compte de plusieurs critères dont la nature, la durée et la gravité de l’infraction, le nombre de personnes faisant l’objet de l’infraction, le but du traitement de leur données, l’éventuel dommage subi par ces personnes, la manière dont l’infraction a été révélée, le degré de coopération du responsable de traitement avec l’autorité de contrôle, l’éventuelle situation de « récidive », les catégories de données concernées, le caractère intentionnel ou négligent, les actions entreprises par le responsable en vue de limiter les conséquences dommageables pour la personne concernée, etc.
En cas d’infraction – mais également afin de se conformer à l’obligation « d’accountability » prévue par le règlement – le Groupe 29 recommande aux entreprises et aux responsables de traitement de conserver des preuves que des mesures ont été implémentées afin de répondre aux obligations imposées par les articles 25 et 32 du règlement. En effet, le degré de responsabilité du responsable de traitement sera pris en compte dans la fixation du montant de l’amende.
