L’article 83 du Règlement définit les termes de l’amende administrative qui peuvent atteindre en vertu des dispositions de :
a) l’article 83 (4) jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
b) l’article 83 (5) jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le considérant (150) du Règlement explique que lorsque des amendes administratives sont imposées à une entreprise, le terme « entreprise » doit être compris conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. C’est-à-dire que le pourcentage du chiffre d’affaires annuel mondial peut s’appliquer à l’ensemble du chiffre d’affaires d’un groupe d’entreprises.

Ce pouvoir de sanction entraîne les questions et les réponses suivantes :

1- Qui peut imposer l’amende administrative ?

L’article 58 (i) stipule que chaque autorité de contrôle dispose du pouvoir d’imposer une amende administrative en application de l’article 83 en fonction des caractéristiques propres à chaque cas.

2- Comment se détermine l’application de l’amende administrative ?

Tout d’abord il faut appliquer l’article 83 (2) qui liste une série de 11 comportements qui ont un caractère cumulatif. Ces comportements permettent aux autorités de contrôle de procéder à un jugement et ainsi déterminer si oui ou non les dispositions des articles 83 (4) ou 83 (5) sont applicables. Les comportements listés sont assez larges notamment la référence à une violation du Règlement commise par négligence ce qui ouvre droit à une interprétation jurisprudentielle qui peut être différente suivant les juridictions.

3- Peut-on se voir imposer plusieurs amendes administratives pour un même évènement ?

Le Règlement ne prévoit pas de limite sur le nombre d’amendes administratives qui pourraient être imposées pour un même évènement. En effet le considérant (150) dispose « afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. »
L’usage du pluriel n’est pas fait pour nous rassurer. Donc la même violation du Règlement pourrait entrainer plusieurs amendes administratives. Par exemple dans le cas où la violation du Règlement aurait des effets dans plusieurs états membres, une entreprise pourrait avoir à répondre à plusieurs actions de la part des autorités de contrôle de différents états membres.

Afin de couvrir cet effet négatif le Règlement prévoit qu’il peut être recouru au mécanisme de contrôle de la cohérence afin de favoriser une application cohérente des amendes administratives.
Ce mécanisme de contrôle est assuré par l’autorité de contrôle chef de file qui coopère étroitement avec les autorités de contrôle auprès desquelles les réclamations ont été introduites (voir considérant (130), et (131)). De plus l’article 70 (k) du Règlement dispose que le comité européen de la protection des données veille à l’application cohérente du Règlement. Enfin en application de l’article 83 (1) du Règlement chaque autorité de contrôle veille à ce que les amendes administratives imposées soient, dans chaque cas, effectives, proportionnées et dissuasives.

4- Comment l’amende administrative s’applique-t-elle dans le cadre de la relation responsable du traitement et le sous-traitant ?

Le Règlement instaure la responsabilité sous-traitant. Le sous-traitant a le devoir de s’assurer que tout traitement de données à caractère personnel qui a lieu sur le territoire de l’Union doit être effectué conformément au Règlement. Donc puisque le sous-traitant agit pour le compte du responsable du traitement, la même violation du Règlement peut susciter une amende administrative qui s’applique au responsable du traitement et une autre qui s’applique au sous-traitant.

De plus le Règlement prévoit que le responsable du traitement pour tout traitement de données à caractère personnel :
a) qu’il effectue lui-même ou qu’il sous-traite à un tiers, est tenu de mettre en œuvre des mesures appropriées et effectives et qu’il soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures ;
b) ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement ; et
c) afin de démontrer qu’il respecte le présent règlement, le responsable du traitement et le sous-traitant doivent tenir des registres pour les activités de traitement relevant de leur responsabilité. Chaque responsable du traitement et sous-traitant sont tenus de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement.

Il appartient donc au responsable du traitement de s’assurer du niveau de maturité de son sous-traitant ainsi que des règles de contrôles internes mises en place par le sous-traitant afin de satisfaire les dispositions du Règlement. A défaut la violation du Règlement par le sous-traitant équivaut à la violation du Règlement par le responsable du traitement, qui peut se voir donc appliquer une lourde amende du fait du non-respect du Règlement par le sous-traitant.

5- Comment le responsable du traitement doit-il se protéger vis-à-vis de son sous-traitant ?

Le contrat de sous-traitance doit être accompagné par un questionnaire portant sur le respect du Règlement par le sous-traitant. La réponse au questionnaire doit être signée par un représentant autorisé du sous-traitant qui garantit la conformité des réponses apportées à chacune des questions. Chaque année, suivant la durée du contrat, le sous-traitant devra compléter et signer le même questionnaire. Si les réponses au questionnaire ne sont pas satisfaisantes, il appartient au responsable du traitement ou au sous-traitant pour ses propres sous-traitants, de décider d’engager ou de continuer d’utiliser les services du fournisseur.

Charge ensuite aux parties de s’entendre sur le niveau de responsabilité portant sur les conséquences d’une amende administrative appliquée au responsable du traitement pour une violation du Règlement par le sous-traitant.

En conclusion : l’article 83 du Règlement accorde aux autorités de contrôle un pouvoir de sanction dissuasif forçant ainsi l’application du Règlement dans les entreprises qui traitent des données personnelles. Il ne faut surtout pas faire le pari que ces sanctions ne seront jamais appliquées étant donné que les actions peuvent être menées conjointement par plusieurs autorités de contrôle.

Il ne faut aussi pas perdre de vue que le Règlement s’applique au traitement de données à caractère personnel et que le type de données à caractère personnel concernées par la violation n’est qu’une des caractéristiques listés par article 83 (2). Ce qui signifie que ce n’est pas parce que la donnée à caractère personnel a très peu de valeur en elle-même que l’article 83 ne s’applique pas.