Conférence du 22 mai 2023 : - L'arsenal de sanctions disponibles pour l'Autorité de protection des données - Les exigences d’efficacité, de proportionnalité et de dissuasion des sanctions - Les chiffres clés en matière de sanctions de l’APD et les leçons pratiques à en tirer Par Fanny COTON et Victoria RUELLE.

1. ALL OVER THE WORLD
RGPD : 5 ans
après, quel bilan ?
L’APD de plus en plus
sévère : zoom sur les
amendes
f.coton@lexing.be
v.ruelle@lexing.be

2. Présentation et logistique
• La présentation est enregistrée – possibilité de couper
votre caméra. Merci de couper votre micro.
• La présentation vous est envoyée par courriel.
• Le replay de cette conférence sera disponible en ligne dans
quelques jours. Le lien vous sera envoyé par mail.

3. 5 ans après, quel bilan ?
Rôle du DPO bien institué
RGPD incontournable dans les négociations
Foisonnement de jurisprudence et de lignes
directrices

4. 5 ans après, quelles sont vos priorités ?
Si vous ne pouviez accomplir que 2 de ces postes,
lesquels réaliseriez-vous en priorité ?
• Mise à jour du registre
• Audit des sous-traitants
• Analyse d’impact (et actualisation)
• Transferts de données hors UE
• Sensibilisation du personnel
• Conformité du site internet
• Documentation écrite par le DPO du bon exercice de sa
mission

5. I. L'arsenal de sanctions disponibles pour
l'Autorité de protection des données
II. Montant des amendes : exigences
d’efficacité, de proportionnalité et de
dissuasion
III.Les chiffres clés en matière de sanctions de
l’APD et les leçons pratiques à en tirer
Zoom sur les amendes : Plan

6. Réprimande
Ordre de
répondre à la
PC
Ordre de
rectifier/efface
r
Ordre de mise
en conformité
Amende
administrative
Suspension du
transfert
Limitation du
traitement
Communicatio
n de la
violation de
données
Publication
de la
décision
I. L'arsenal de sanctions disponibles pour l'Autorité
de protection des données

7. La réprimande
L’autorité
rappelle à
l’ordre le RT
Manquement
mineur
- Envoi de
courriers
électroniques
- Efforts de
mise en
conformité
QUAND ?
QUOI ? EXEMPLES

8. Ordre de répondre aux demandes des PC
L’autorité ordonne
au RT de satisfaire
à la demande de
la PC
Exercice de ses
droits par une PC
- Demande
d’information
- Demande
d’accès
- Demande
d’effacement
…
QUAND ?
QUOI ? EXEMPLES

9. Ordre de rectifier ou effacer les données
L’autorité
ordonne au
RT de rectifier
ou d’effacer
les données
Manquement
généralisé
- Conservation
des données
- Effacement
généralisé
QUAND ?
QUOI ? EXEMPLES

10. Ordre de mise en conformité
L’autorité
ordonne au RT
de mettre le
traitement en
conformité
En cas de non-
réalisation des
démarches
préalables au
traitement
- Caméras
- Utilisation des
cookies
QUAND ?
QUOI ? EXEMPLES

11. Communication de la violation de données
L’autorité
ordonner au RT
de communiquer
la violation de
données aux PCs
En cas de
violation de
données avec
risques élevés
pour les droits
des PCs
Exemples de
violation du RGPC
pour non
notification mais
pas d’ordre de
communiquer
QUAND ?
QUOI ? EXEMPLES

12. Limitation ou interdiction du traitement
L’autorité
ordonne une
limitation
temporaire ou
définitive du
traitement
Traitement
manifestement
illégal
- Déclaration
fiscale sur les
résidences
secondaires
QUAND ?
QUOI ? EXEMPLES

13. Suspension du transfert de données
L’autorité peut
suspendre le
transfert de
données vers un
état tiers de l’UE
Transfert de
données en
dehors de
l’Union qui ne
repose pas sur
un mécanisme
de transfert
reconnu par le
RGPD
- Flux
transfrontalier
illégal
QUAND ? EXEMPLES
QUOI ?

14. L’amende administrative
L’autorité
impose
une
sanction
pécuniaire
à suivre… à suivre…
QUAND ?
QUOI ? EXEMPLES

15. BONUS : La publication de la décision
L’autorité
décide si sa
décision sera
publiée sur
son site
internet
Intérêt général
vs.
Effets négatifs
pour le RT
Appréciation
au cas par cas
QUAND ? EXEMPLES
QUOI ?

16. II. Les exigences d’efficacité, de proportionnalité et
de dissuasion des sanctions
1. Les amendes administratives
• Exigences d’efficacité, de proportionnalité et de dissuasion des
amendes administratives
2. La détermination du montant de l’amende administrative
• les plafonds
• les circonstances aggravantes ou atténuantes
• le contrôle par la Cour des Marchés
3. L’exonération des autorités publiques

17. 1. Les amendes administratives
Commission Vie privée : compétence de
médiation
Efficacité
Dissuasion
Proportionnalité
Autorité de la protection des données
(APD) : pouvoir d’amende

18. Les
plafond
s
Les
circonstances
aggravantes
ou atténuantes
Le contrôle
de la Cour
des
Marchés
2. La détermination du montant de l’amende
administrative

19. 20.000.000 €
ou
4%CA
10.000.000 €
ou
2% CA
Les grands principes de traitements des données
(licéité, loyauté, transparence, accountability,
exactitude, minimisation).
Base de légitimité
Les obligations liées aux droits des personnes
concernées
Les obligations liées aux transferts de données en
dehors de l’union
Privacy by design et by default
Accord entre des coRT et accord de ST
L’obligation de tenir un registre des activités de
traitement
Les obligations de sécurité des traitements
L’obligation de notification en cas de violation de
données
L’ obligation de réaliser une analyse d’impact et
de désigner un DPO
2. La détermination du montant de l’amende
administrative

20. Les
plafond
s
Les
circonstances
aggravantes ou
atténuantes
Le
contrôle
de la Cour
des
Marchés
2. La détermination du montant de l’amende
administrative

21. 2. La détermination du montant de l’amende
administrative
Nature et durée de la violation
Catégories de données
Nombre de personnes concernées
Intention du contrevenant
Dommages pour les personnes concernées
Mesures prises pour atténuer le dommage & degré de coopération
Toute autre circonstance aggravante ou atténuante

22. Les
plafonds
Les
circonstances
aggravantes ou
atténuantes
Le
contrôle
de la Cour
des
Marchés
2. La détermination du montant de l’amende
administrative

23. RGPD : les Etats Membres
peuvent décider si les
autorités publiques sont
soumises ou non aux
amendes administratives
Loi belge : Les autorités
publiques ne sont pas
soumises aux amendes
administratives
Cour Constitutionnelle:
L’exonération des
autorités publiques n’est
pas discriminatoire
3. L’exonération des autorités publiques

24. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
Le traitement de
données d’un ex-
travailleur par
son ancien
employeur
L’utilisation de
cookies
L’utilisation de
caméras
thermiques dans
un aéroport

25. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
Traitements de données sensibles
Utilisation illégale de cookies
2021 2022
Décisions : 143 Décisions : 189
Amendes : 8 Amendes : 12
Total : +/- 300.000 € Total : +/- 740.000 €

26. III. Les chiffres clés en matière de sanctions de l’APD
et les leçons pratiques à en tirer
150/2022
151/2022
153/2022
154/2022
155/2022
156/2022
157/2022
168/2022
169/2022
170/2022

27. Conclusion
En pratique :
Une décision de sanction fait suite à :
A. Une plainte pour :
• Réponse insatisfaisante à une requête
• Usage des caméras
• Marketing direct
• Parallèle à un litige de droit social
B. Une notification de fuite de données
C. Une priorité stratégique de l’APD

28. Conclusion – résultats du sondage
Si vous ne pouviez accomplir que 2 de ces postes,
lesquels réaliseriez-vous en priorité ?
• Mise à jour du registre
• Audit des sous-traitants
• Analyse d’impact (et actualisation)
• Transferts de données hors UE
• Sensibilisation du personnel
• Conformité du site internet
• Documentation écrite par le DPO du bon exercice de sa
mission

29. Se préparer à un contrôle de l’APD
https://lexing.be/earlegal/earlegal-10-comment-se-preparer-a-un-
controle-de-lautorite-de-protection-des-donnees/

30. Merci pour votre
attention !