Ces deux nouveaux textes sont soumis à la consultation publique jusqu’au 27 juin 2022 pour qu’ensuite soit adopté les versions définitives de ces dispositions.
Une méthode harmonisant le calcul des amendes administratives protégeant les dispositions du RGPD.
Cette première ligne directrice, concernant les méthodes de calcul des amendes administratives, va permettre d’aligner toutes les autorités nationales en termes de sanction.
Ce texte complète les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement (UE) 2016/679 adoptées le 3 octobre 2017. Ces dispositions retenaient déjà l’idée que « si les autorités de contrôle agissent en ‟totale indépendance” [1] à l’égard des gouvernements, des responsables du traitement ou des sous-traitants, elles sont tenues de coopérer ‟en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect” [2] ».
De plus, concernant le calcul des amendes administratives, ces lignes directrices abordées que « des sanctions équivalentes dans l’ensemble des États membres ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres sont considérées comme une manière ‟d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur” [3] ».
Elles retiennent également que le calcul des amendes administratives doit reposer sur trois éléments :
La catégorisation des infractions par nature ;
La gravité de l’infraction ;
Le chiffre d’affaires de l’entreprise.
Désormais, avec la publication de cette nouvelle ligne directrice, la base de calcul est complétée par une méthode de calcul définit en cinq étapes :
L’autorité nationale doit analyser s’il y a une ou plusieurs infractions punissables d’une amende administrative. Cela permettra de calculer le montant de l’amende en vue des différents comportements répréhensibles ;
L’autorité va ensuite se fonder sur la base de calcul, vu précédemment, pour établir le montant de l’amende ;
L’autorité va à présent prendre en compte les facteurs aggravants et atténuants qui vont permettre de faire varier à la hausse ou à la baisse le montant de l’amende ;
L’autorité doit prendre en compte les plafonds légaux encadrant le montant des amendes mentionnés à l’article 83 (4)-(6) du RGPD pour établir le montant final ;
L’autorité doit, pour finir, analyser le montant final calculé et l’ajuster si besoin.
Ces lignes directrices complètent la Déclaration sur la coopération européenne adoptée le 28 avril 2022 par le CEPD qui prônait une coopération transfrontalière des autorités de l’Union européenne plus étroite et plus collective. L’objectif étant d’intensifier les échanges d’informations entre les autorités pour permettre des instructions communes.
Parallèlement, au niveau national, la Commission nationale de l’informatique et des libertés (CNIL), a publié son rapport d’activité sur l’année 2021 dans lequel il est possible d’observer une augmentation accrue du nombre de plaintes et de sanctions imputées pour non-respect des règles transcrites dans le RGPD.
En quelques chiffres, la CNIL a opéré 384 contrôles qui ont conduit à 135 mises en demeure et 18 sanctions pour un montant total d’amendes de 214 millions d’euros. Concernant ces chiffres, 89 des 135 mises en demeure ont porté sur les cookies.
Ainsi, la CNIL met en place une politique dissuasive basée sur des contrôles plus nombreux et des sanctions proportionnées aux fautes commises.
Par conséquent, les autorités nationales et européennes, sont de plus en plus sévères concernant la protection des données personnelles des utilisateurs. Ainsi, le nombre de contrôle et de sanction risque d’accroître au fil des années du fait de la mise en place de législations plus précises et répressives concernant les pratiques touchant au numérique.
L’encadrement des technologies de reconnaissance faciale par les autorités répressives et judiciaires.
Le CEPD s’est positionné sur le sujet sensible des technologies de reconnaissance faciale qui influence dangereusement la protection des données personnelles.
Cette deuxième ligne directrice pose le cadre juridique de ces technologies dans divers domaines comme la prévention, les enquêtes ou l’exécution des sanctions.
Ce nouveau texte doit être appliqué corrélativement avec la directive « Police-Justice » du 27 avril 2016 transposée en France avec la loi Informatique et Libertés. Cette directive encadre les pratiques servants
« à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
Ainsi, les technologies de reconnaissance faciale ne doivent être utilisées que si elles sont nécessaires et proportionnées, car elles peuvent porter atteinte aux droits fondamentaux protégés par de nombreux textes européens.
Le CEPD souhaite intégrer une interdiction de ces technologies dans certains cas. Cette ligne directrice énumère une liste de situations où l’utilisation de cette technologie devrait être interdite :
« De l’identification biométrique à distance des individus dans les espaces accessibles au public ;
Des systèmes de reconnaissance faciale qui classent les individus sur la base de leurs données biométriques dans des groupes en fonction de l’ethnie, du sexe, de l’orientation politique ou sexuelle ou d’autres motifs de discrimination ;
De la reconnaissance faciale ou des technologies similaires permettant de déduire les émotions d’une personne physique ;
Du traitement de données personnelles dans un contexte répressif qui s’appuierait sur une base de données alimentée par la collecte de données personnelles à grande échelle et de manière indiscriminée, par exemple en collectant des photographies et des images faciales accessibles en ligne ».
Le CEPD a également publié trois annexes pour permettre d’évaluer la pertinence de cette réglementation lors de la consultation publique.
Il faudra attendre le 27 juin 2022 pour accéder aux versions finales de ces lignes directrices et analyser les conséquences de ces nouveaux textes européens dans la protection des données personnelles [4].
