1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 et 43;
b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.
5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:
a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.
6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.
9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.
|
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article.
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation. 3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. 4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4. 5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses FR 102 FR données à caractère personnel à une autre application en violation de l’article 18; e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. 6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; b) traite des catégories particulières de données en violation des articles 9 et 81; c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19; d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; f) omet de désigner un représentant conformément à l’article 25; g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; FR 103 FR j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2.
|
1. Chaque autorité de contrôle (...) veille à ce que les amendes administratives visées à l'article 79 bis qui sont imposées en vertu du présent article pour des violations du présent règlement (...) soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. (…)
2 bis. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 53, paragraphe 1 ter, points a) à f). Lorsqu'il est décidé d'imposer ou non une amende administrative (...) et que le montant de l'amende administrative est fixé, il est dûment tenu compte dans chaque cas des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi;
b) le fait que l'infraction a été commise de propos délibéré ou par négligence,
c) (...);
d) les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
e) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 23 et 30;
f) toute violation antérieure pertinente commise par le responsable du traitement ou le sous-traitant;
g) (…);
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant ont notifié la violation;
i) lorsque des mesures telles que celles visées à l'article 53, (…) paragraphe 1 ter, points a), d), e) et f), ont été précédemment décidées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l'adhésion à des codes de conduites approuvés, conformément à l'article 38, ou à des mécanismes de certification, conformément à l'article 39;
k) (…);
l) (…);
m) toute autre circonstance aggravante ou atténuante applicable au cas concerné.
3. (…)
3 bis. (…)
3 ter. Tout État membre peut établir les règles déterminant si et dans quelle mesure des amendes peuvent être infligées à des autorités et des organismes publics établis sur son territoire.
4. L'exercice, par l'autorité de contrôle (…), des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière.
5. Les États membres peuvent s'abstenir de mettre en place les règles régissant les amendes administratives visées à l'article 79 bis, paragraphes 1, 2 et 3, lorsque leur système juridique ne prévoit pas d'amendes administratives et que les violations visées font déjà l'objet de sanctions pénales dans le cadre de leur droit interne à la date du [date visée à l'article 91, paragraphe 2], tout en prenant les mesures nécessaires pour que ces sanctions pénales soient effectives, proportionnées et dissuasives, compte tenu du niveau des amendes administratives prévues dans le présent règlement. Dans ce cas, les États membres notifient à la Commission les parties de leur droit pénal concernées.
Art. 79 bis
1. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 250 000 EUR, ou, dans le cas d'une entreprise, 0,5 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement qui, de propos délibéré ou par négligence:
a) ne répond pas dans les délais prévus à l'article 12, paragraphe 2, aux demandes de la personne concernée;
b) perçoit des frais (…) en violation de l'article 12, paragraphe 4, première phrase.
2. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 500 000 EUR ou, dans le cas d'une entreprise, 1 % de son chiffre d'affaires annuel (…) total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations [en temps voulu ou] de façon [suffisamment] transparente à la personne concernée conformément à l'article 12, paragraphe 3, et aux articles 14 et 14 bis;
b) ne fournit pas un accès à la personne concernée ou ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 (...);
c) n'efface pas les données à caractère personnel en violation du droit à l'effacement et à l'"oubli numérique" conformément à l'article 17, paragraphe 1, points a), b), d) ou e);
d) (…)
d bis) traite des données à caractère personnel en violation du droit à la limitation du traitement prévu à l'article 17 bis ou n'informe pas la personne concernée avant que la limitation du traitement soit levée conformément à l'article 17 bis, paragraphe 4;
d ter) ne communique pas à chaque destinataire à qui le responsable du traitement a communiqué des données à caractère personnel toute rectification, tout effacement ou toute limitation du traitement en violation de l'article 17 ter;
d quater) ne fournit pas à la personne concernée les données à caractère personnel la concernant (...) en violation de l'article 18;
d quinquies) traite des données à caractère personnel après que la personne concernée s'y soit opposée conformément à l'article 19, paragraphe 1, et n'établit pas l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts, les droits et les libertés de la personne concernée, ou la constatation, l'exercice ou la défense d'un droit en justice;
d sexies) ne fournit pas à la personne concernée d'informations concernant le droit de s'opposer au traitement à des fins de prospection conformément à l'article 19, paragraphe 2, ou continue le traitement de données à des fins de prospection après l'opposition de la personne concernée, en violation de l'article 19, paragraphe 2 bis;
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28 et à l'article 31, paragraphe 4.
g) (…)
3. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 1 000 000 EUR ou, dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:
a) traite des données à caractère personnel sans base juridique (...) à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7, 8 et 9;
b) (…);
c) (…);
d) ne respecte pas les conditions relatives à la prise de décision individuelle automatisée, y compris le (…) profilage conformément à l'article 20;
d bis) omet (…) de mettre en œuvre les mesures appropriées ou n'est pas à même d'établir le respect des obligations énoncées aux articles 22 (…) et 30;
d ter) omet de désigner un représentant en violation de l'article 25;
d quater) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation (…) de l'article 26;
d quinquies) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation [en temps utile ou] de façon complète à l'autorité de contrôle ou à la personne concernée en violation des articles 31 et 32;
d sexies) omet d'effectuer une analyse d'impact relative à la protection des données en violation de l'article 33 ou traite des données à caractère personnel sans consultation préalable de l'autorité de contrôle en violation de l'article 34, paragraphe 2;
e) (…);
f) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39 ou ne respecte par les conditions et les procédures prévues aux articles 38 bis et 39 bis;
g) effectue ou donne l'instruction d'effectuer, vers un destinataire situé dans un pays tiers ou à une organisation internationale, un transfert de données en violation des articles 41 à 44;
h) ne respecte pas une injonction, une limitation temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1 ter, ou ne fournit pas l'accès en violation de l'article 53, paragraphe 1.
i) (…)
j) (…).
3 bis. Si un responsable du traitement ou un sous-traitant enfreint délibérément ou par négligence plusieurs dispositions du présent règlement énumérées aux paragraphes 1, 2 ou 3, le montant total de l'amende ne peut pas excéder le montant fixé pour la violation la plus grave. 4. (...)
|
Art. 24
Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.
|
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Art. 221
§ 1er. Les compétences correctrices de l'autorité de contrôle en vertu de l'article 58.2 du Règlement s'appliquent également aux articles 7 à 10, 20 à 24, 28 à 70 et au titre 4 de la présente loi.
Sans préjudice de dispositions particulières, l'alinéa 1er ne s'applique pas aux traitements effectués par les autorités visées à l'article 26, 7°, b), dans l'exercice de leur fonction juridictionnelle.
§ 2. L'article 83 du Règlement ne s'applique pas aux autorités publiques et leurs préposés ou mandataires sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.
Art. 222
Le responsable du traitement ou le sous-traitant, son préposé ou mandataire, l'autorité compétente, visés aux titres 1er et 2, est puni d'une amende de deux cent cinquante euros à quinze mille euros lorsque :
1° les données à caractère personnel sont traitées sans base juridique conformément à l'article 6 du Règlement et aux articles 29, § 1er, et 33, § 1er, de la présente loi, y compris les conditions relatives au consentement et au traitement ultérieur;
2° les données à caractère personnel sont traitées en violation des conditions imposées par l'article 5 du Règlement et par l'article 28 de la présente loi par négligence grave ou avec intention malveillante;
3° le traitement ayant fait l'objet d'une objection conformément à l'article 21.1 du Règlement est maintenu sans raisons juridiques impérieuses;
4° le transfert de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale est effectué en violation des garanties, conditions ou exceptions prévues dans les articles 44 à 49 du Règlement ou des articles 66 à 70 de la présente loi par négligence grave ou avec intention malveillante;
5° la mesure correctrice adoptée par l'autorité de contrôle visant la limitation temporaire ou définitive des flux conformément à l'article 58.2.f) du Règlement n'est pas respectée;
6° la mesure correctrice adoptée par l'autorité de contrôle au sens de l'article 58.2.d) du Règlement n'est pas respectée;
7° il a été fait obstacle aux missions légales de vérification et de contrôle de l'autorité de contrôle compétente, de ses membres ou de ses experts;
8° de la rébellion, dans le sens de l'article 269 du Code pénal, a été commise à l'encontre des membres de l'autorité de contrôle;
9° la certification visée à l'article 42 du Règlement est revendiquée ou des sceaux de certification en matière de protection des données sont utilisées publiquement alors que ces certifications, labels ou marques n'ont pas été délivrés par une entité accréditée ou ceux-ci sont utilisés après que la validité de la certification, du sceau ou de la marque a expiré;
10° la certification visée à l'article 42 du Règlement a été obtenue sur la base de faux documents ou de documents erronés;
11° des tâches sont exécutées en tant qu'organisme de certification alors que celui-ci n'a pas été accrédité par l'organisme national d'accréditation compétent;
12° l'organisme de certification ne se conforme pas aux principes et aux tâches auxquels il est soumis tels que prévus aux articles 42 et 43 du Règlement;
13° les tâches de l'organisme visée à l'article 41 du Règlement sont exécutées sans agrément par l'autorité de contrôle compétente;
14° l'organisme agréé visé à l'article 41 du Règlement n'a pas pris les mesures appropriées en cas de violation du code de conduite tel que visé à l'article 41.4 du Règlement.
|
Pas de disposition correspondante
|