Les plafonds d'amende que tout le monde connaît: et pourquoi ils ne racontent pas toute l'histoire
L'article 83 du RGPD fixe deux plafonds principaux :
- Niveau 1 (Art. 83, par. 4) : jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé: pour les violations des obligations des sous-traitants, des exigences DPD, des AIPD et de la notification des violations
- Niveau 2 (Art. 83, par. 5) : jusqu'à 20 000 000 € ou 4 % du chiffre d'affaires mondial annuel: pour les violations des principes fondamentaux, des règles de consentement, des droits des personnes concernées, des restrictions de transfert international et des ordres des autorités de contrôle
Ces plafonds sont des maximums, pas des résultats typiques. Les lignes directrices 04/2022 du CEPD expliquent comment les APD passent du maximum à l'amende réelle.
La méthodologie en cinq étapes du CEPD
Étape 1 : Identifier toutes les opérations de traitement en infraction
L'APD doit cartographier chaque violation distincte. Les opérations partageant une finalité illicite commune peuvent être évaluées ensemble ; des finalités illicites séparées conduisent à des amendes séparées.
Étape 2 : Classer la violation et fixer un point de départ
L'APD classe la violation comme :
- Moins grave (0–10 % du maximum applicable) : infraction procédurale mineure, impact limité
- Grave (10–30 % du maximum) : violation significative, impact moyen
- Très grave (30–100 % du maximum) : violation systématique, grande échelle, données sensibles
Étape 3 : Appliquer les facteurs aggravants et atténuants
Le CEPD identifie dix catégories de facteurs selon l'Art. 83, par. 2 :
| Facteur | Direction |
|---|---|
| Comportement intentionnel | Aggravant (+) |
| Comportement négligent | Neutre |
| Erreur accidentelle / technique | Atténuant (−) |
| Longue durée | Aggravant |
| Grand nombre de personnes concernées | Aggravant |
| Catégories de données sensibles | Aggravant |
| Pleine coopération avec l'APD | Atténuant |
| Violation auto-déclarée | Atténuant |
| Précédemment averti / condamné | Aggravant |
| Mesures préventives solides | Atténuant |
Étape 4 : Assurer l'efficacité, la proportionnalité et le caractère dissuasif
Le montant résultant doit être efficace, proportionné et dissuasif: cela peut augmenter une amende pour une grande entreprise rentable ou la réduire pour un petit responsable du traitement.
Étape 5 : Vérifier le plafond légal
Le montant final ne peut pas dépasser le plafond légal de l'Art. 83.
Exemples réels
Les plus grosses amendes RGPD à ce jour :
- Meta (2023) : 1,2 milliard €: violation des règles de transfert international
- Amazon (2021) : 746 millions €: publicité ciblée illicite, problèmes de consentement
- WhatsApp (2021) : 225 millions €: obligations de transparence et d'information