Article 83 – Conditions générales pour imposer des amendes administratives

Article 83 - Conditions générales pour imposer des amendes administratives

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.

5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

En savoir plus...

L'article 83 du RGPD introduit l'amende administrative et désigne l'autorité de contrôle chargée de son application. Chaque décision relative à l'amende administrative doit être prise au cas par cas. En particulier, l'autorité doit décider si une amende administrative doit être imposée et quel doit être son montant. Pour ce faire, l'article 83 du RGPD contient une liste non exhaustive de critères. En tout état de cause, l'amende doit être effective, dissuasive et proportionnée. En outre, une obligation explicite de fournir des garanties procédurales adéquates est introduite. Enfin, pour les juridictions qui ne prévoient pas ou n'admettent pas les amendes administratives, l'obligation d'introduire des instruments tout aussi efficaces est prévue. Afin d'assurer une cohérence procédurale entre les différentes autorités de surveillance dans un domaine qui affecte directement les droits des responsables du traitement, le CEPD a adopté ses lignes directrices 04/2022 sur le calcul des amendes administratives en vertu du RGPD (ci-après « les lignes directrices de l'EDPB »).

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Harmonisation de la protection et dérogations pour les petites entreprises]
13. Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d'obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu'une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de se baser sur l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission.

[Amendes administratives et autres sanctions]
148. Afin de renforcer l'application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

[Sanctions pénales en cas d'infraction au RGPD et à ses adaptations locales]
149. Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

[Amendes administratives prononcées par les autorités de contrôle]
150. Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d'imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l'Union européenne. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte, lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau général des revenus dans l'État membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l'objet d'amendes administratives. L'application d'une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des autorités de contrôle ou à l'application d'autres sanctions en vertu du présent règlement.

[Amendes administratives au Danemark et en Estonie]
151. Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l'amende est imposée par les juridictions nationales compétentes sous la forme d'une sanction pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le cadre d'une procédure de délit, à condition qu'une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C'est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

[Mise en place d'un système pénal local si nécessaire]
152. Lorsque le présent règlement n'harmonise pas les sanctions administratives ou, si nécessaire dans d'autres circonstances, par exemple en cas de violation grave du présent règlement, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions, pénales ou administratives, devrait être déterminée par le droit des États membres.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 04/2022 - Méthode de calcul des amendes "RGPD"

24 mai 2023, v2.0

Références

Cet article cite...

> Article 5 - Principes relatifs au traitement des données à caractère personnel

> Article 6 - Licéité du traitement

> Article 7 - Conditions applicables au consentement

> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel

> Article 11 - Traitement ne nécessitant pas l'identification

> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

> Article 15 - Droit d'accès de la personne concernée

> Article 16 - Droit de rectification

> Article 17 - Droit à l'effacement («droit à l'oubli»)

> Article 18 - Droit à la limitation du traitement

> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

> Article 20 - Droit à la portabilité des données

> Article 21 - Droit d'opposition

> Article 22 - Décision individuelle automatisée, y compris le profilage

> Article 26 - Responsables conjoints du traitement

> Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

> Article 28 - Sous-traitant

> Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

> Article 30 - Registre des activités de traitement

> Article 31 - Coopération avec l'autorité de contrôle

> Article 32 - Sécurité du traitement

> Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

> Article 35 - Analyse d'impact relative à la protection des données

> Article 36 - Consultation préalable

> Article 37 - Désignation du délégué à la protection des données

> Article 38 - Fonction du délégué à la protection des données

> Article 39 - Missions du délégué à la protection des données

> Article 40 - Codes de conduite

> Article 41 - Suivi des codes de conduite approuvés

> Article 42 - Certification

> Article 43 - Organismes de certification

> Article 44 - Principe général applicable aux transferts

> Article 45 - Transferts fondés sur une décision d'adéquation

> Article 46 - Transferts moyennant des garanties appropriées

> Article 47 - Règles d'entreprise contraignantes

> Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union

> Article 49 - Dérogations pour des situations particulières

> Article 58 - Pouvoirs

> Article 84 - Sanctions

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 58 - Pouvoirs

> Article 70 - Missions du comité

> Article 84 - Sanctions

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Lien
C-807/71	Deutsche Wohnen SE	05/12/2023	2023	Allemagne	Cour de Justice de l'UE	A classer		Méthode de calcul de l'amende - CA mondial de l'entreprise	4. Cette notion [d'entreprise] n’est en effet pertinente que pour déterminer le montant de l’amende administrative imposée au titre de l’article 83, paragraphes 4 à 6, du RGPD à un responsable du traitement - 56 À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C-882/19, EU:C:2021:800, point 41 et jurisprudence citée). - 57 Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée.	83	13f3089206d6a7af14309e3188901bac86bb8db9		Cliquer pour accéder à la décision
C-683/21	Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos	05/12/2023	2023	Lituanie	Cour de Justice de l'UE	A classer		Prononcé d'une amende - Responsabilité pour faute (intentionnelle ou par négligence)	71. En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part. - 73. Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.	83	13f3089206d6a7af14309e3188901bac86bb8db9		Cliquer pour accéder à la décision
SAN-2020-018	Nestor	08/12/2020	2020	France	CNIL ou équivalent	A classer		Prescription d'un manquement au RGPD - Délai raisonnable	Le rapporteur rappelle que la Commission a été saisie de quatre plaintes entre 2018 et 2019, que des contrôles ont été effectués par la délégation de la CNIL en mai 2019 et en février 2020 et que le rapporteur désigné en décembre 2019 aux fins d’instruction de ces éléments a notifié son rapport le 28 février 2020. La formation restreinte considère donc que la Commission a appliqué un délai raisonnable entre les constats effectués par la délégation de contrôle et la saisine de la formation restreinte.	83, 84	13f3089206d6a7af14309e3188901bac86bb8db9	20	Cliquer pour accéder à la décision
433311	Sergic	04/11/2020	2020	France	Conseil d'Etat	A classer		Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable - Existence	3. Il résulte clairement [des] dispositions [de l'article 83] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL.	83, 84	13f3089206d6a7af14309e3188901bac86bb8db9		Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

DPA (autorité grecque)

14 novembre 2024

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

13 novembre 2024

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

08 novembre 2024

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis […]

Disponible sur: veille.portail-rgpd.com