Conférence du 22 mai 2023 :
- L'arsenal de sanctions disponibles pour l'Autorité de protection des données
- Les exigences d’efficacité, de proportionnalité et de dissuasion des sanctions
- Les chiffres clés en matière de sanctions de l’APD et les leçons pratiques à en tirer
Par Fanny COTON et Victoria RUELLE.
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les amendes
1. ALL OVER THE WORLD
RGPD : 5 ans
après, quel bilan ?
L’APD de plus en plus
sévère : zoom sur les
amendes
f.coton@lexing.be
v.ruelle@lexing.be
2. Présentation et logistique
• La présentation est enregistrée – possibilité de couper
votre caméra. Merci de couper votre micro.
• La présentation vous est envoyée par courriel.
• Le replay de cette conférence sera disponible en ligne dans
quelques jours. Le lien vous sera envoyé par mail.
3. 5 ans après, quel bilan ?
Rôle du DPO bien institué
RGPD incontournable dans les négociations
Foisonnement de jurisprudence et de lignes
directrices
4. 5 ans après, quelles sont vos priorités ?
Si vous ne pouviez accomplir que 2 de ces postes,
lesquels réaliseriez-vous en priorité ?
• Mise à jour du registre
• Audit des sous-traitants
• Analyse d’impact (et actualisation)
• Transferts de données hors UE
• Sensibilisation du personnel
• Conformité du site internet
• Documentation écrite par le DPO du bon exercice de sa
mission
5. I. L'arsenal de sanctions disponibles pour
l'Autorité de protection des données
II. Montant des amendes : exigences
d’efficacité, de proportionnalité et de
dissuasion
III.Les chiffres clés en matière de sanctions de
l’APD et les leçons pratiques à en tirer
Zoom sur les amendes : Plan
6. Réprimande
Ordre de
répondre à la
PC
Ordre de
rectifier/efface
r
Ordre de mise
en conformité
Amende
administrative
Suspension du
transfert
Limitation du
traitement
Communicatio
n de la
violation de
données
Publication
de la
décision
I. L'arsenal de sanctions disponibles pour l'Autorité
de protection des données
8. Ordre de répondre aux demandes des PC
L’autorité ordonne
au RT de satisfaire
à la demande de
la PC
Exercice de ses
droits par une PC
- Demande
d’information
- Demande
d’accès
- Demande
d’effacement
…
QUAND ?
QUOI ? EXEMPLES
9. Ordre de rectifier ou effacer les données
L’autorité
ordonne au
RT de rectifier
ou d’effacer
les données
Manquement
généralisé
- Conservation
des données
- Effacement
généralisé
QUAND ?
QUOI ? EXEMPLES
10. Ordre de mise en conformité
L’autorité
ordonne au RT
de mettre le
traitement en
conformité
En cas de non-
réalisation des
démarches
préalables au
traitement
- Caméras
- Utilisation des
cookies
QUAND ?
QUOI ? EXEMPLES
11. Communication de la violation de données
L’autorité
ordonner au RT
de communiquer
la violation de
données aux PCs
En cas de
violation de
données avec
risques élevés
pour les droits
des PCs
Exemples de
violation du RGPC
pour non
notification mais
pas d’ordre de
communiquer
QUAND ?
QUOI ? EXEMPLES
12. Limitation ou interdiction du traitement
L’autorité
ordonne une
limitation
temporaire ou
définitive du
traitement
Traitement
manifestement
illégal
- Déclaration
fiscale sur les
résidences
secondaires
QUAND ?
QUOI ? EXEMPLES
13. Suspension du transfert de données
L’autorité peut
suspendre le
transfert de
données vers un
état tiers de l’UE
Transfert de
données en
dehors de
l’Union qui ne
repose pas sur
un mécanisme
de transfert
reconnu par le
RGPD
- Flux
transfrontalier
illégal
QUAND ? EXEMPLES
QUOI ?
15. BONUS : La publication de la décision
L’autorité
décide si sa
décision sera
publiée sur
son site
internet
Intérêt général
vs.
Effets négatifs
pour le RT
Appréciation
au cas par cas
QUAND ? EXEMPLES
QUOI ?
16. II. Les exigences d’efficacité, de proportionnalité et
de dissuasion des sanctions
1. Les amendes administratives
• Exigences d’efficacité, de proportionnalité et de dissuasion des
amendes administratives
2. La détermination du montant de l’amende administrative
• les plafonds
• les circonstances aggravantes ou atténuantes
• le contrôle par la Cour des Marchés
3. L’exonération des autorités publiques
17. 1. Les amendes administratives
Commission Vie privée : compétence de
médiation
Efficacité
Dissuasion
Proportionnalité
Autorité de la protection des données
(APD) : pouvoir d’amende
19. 20.000.000 €
ou
4%CA
10.000.000 €
ou
2% CA
Les grands principes de traitements des données
(licéité, loyauté, transparence, accountability,
exactitude, minimisation).
Base de légitimité
Les obligations liées aux droits des personnes
concernées
Les obligations liées aux transferts de données en
dehors de l’union
Privacy by design et by default
Accord entre des coRT et accord de ST
L’obligation de tenir un registre des activités de
traitement
Les obligations de sécurité des traitements
L’obligation de notification en cas de violation de
données
L’ obligation de réaliser une analyse d’impact et
de désigner un DPO
2. La détermination du montant de l’amende
administrative
21. 2. La détermination du montant de l’amende
administrative
Nature et durée de la violation
Catégories de données
Nombre de personnes concernées
Intention du contrevenant
Dommages pour les personnes concernées
Mesures prises pour atténuer le dommage & degré de coopération
Toute autre circonstance aggravante ou atténuante
23. RGPD : les Etats Membres
peuvent décider si les
autorités publiques sont
soumises ou non aux
amendes administratives
Loi belge : Les autorités
publiques ne sont pas
soumises aux amendes
administratives
Cour Constitutionnelle:
L’exonération des
autorités publiques n’est
pas discriminatoire
3. L’exonération des autorités publiques
24. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
Le traitement de
données d’un ex-
travailleur par
son ancien
employeur
L’utilisation de
cookies
L’utilisation de
caméras
thermiques dans
un aéroport
25. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
Traitements de données sensibles
Utilisation illégale de cookies
2021 2022
Décisions : 143 Décisions : 189
Amendes : 8 Amendes : 12
Total : +/- 300.000 € Total : +/- 740.000 €
26. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
150/2022
151/2022
153/2022
154/2022
155/2022
156/2022
157/2022
168/2022
169/2022
170/2022
27. Conclusion
En pratique :
Une décision de sanction fait suite à :
A. Une plainte pour :
• Réponse insatisfaisante à une requête
• Usage des caméras
• Marketing direct
• Parallèle à un litige de droit social
B. Une notification de fuite de données
C. Une priorité stratégique de l’APD
28. Conclusion – résultats du sondage
Si vous ne pouviez accomplir que 2 de ces postes,
lesquels réaliseriez-vous en priorité ?
• Mise à jour du registre
• Audit des sous-traitants
• Analyse d’impact (et actualisation)
• Transferts de données hors UE
• Sensibilisation du personnel
• Conformité du site internet
• Documentation écrite par le DPO du bon exercice de sa
mission
29. Se préparer à un contrôle de l’APD
https://lexing.be/earlegal/earlegal-10-comment-se-preparer-a-un-
controle-de-lautorite-de-protection-des-donnees/
Jurisprudence de tous les pays et CJUE
Lignes directrices belges, françaises, européennes
Foisonnement donc DPO ne s’ennuie pas
Où mettre les priorités ?
Sondage vos priorités
Résultats anonymes
Garder en mémoire le résultat de ce sondage
Mettre en perspective avec les sanctions prononcées par l’APD
00:00:30
Quels enseignements en tirer dans votre pratique ?
En conclusion, la porte d’entrée des dossiers tranchés par la chambre contentieuse vient essentiellement d’une poignée de sources.
L’enquête peut être élargie
La sanction et l’amende peuvent viser un autre point, mais les causes à l’origine de l’enquête sont peu nombreuses
A
B
C
cookies
dpo
smart cities
Data brokers
Remettons en parallèle les résultats du sondage sur vos priorités
Dans un monde idéal,