📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 83 du RGPD : Conditions générales pour imposer des amendes administratives

Sommaire

Introduction 

L’article 83 définit les conditions générales d’application des amendes administratives par les autorités de contrôle. 

Explication de l’article

Les amendes administratives par les autorités de contrôle doivent respecter trois grands principes : effectivité, proportionnalité et dissuasion. Les amendes peuvent être accompagnées d’autres mesures comme une injonction de mise en conformité sous astreinte ou une interdiction de traitement.

De nombreux critères sont pris en compte pour fixer le montant de l’amende :

  • Nature, gravité, durée de la violation.
  • Nombre de personnes concernées et ampleur du préjudice.
  • Caractère intentionnel ou négligent de la violation.
  • Efforts pour atténuer les conséquences du traitement illicite.
  • Mesures techniques et organisationnelles en place.
  • Historique de conformité ou d’infractions.
  • Qualité de la coopération avec l’autorité de contrôle.
  • Nature des données personnelles concernées.
  • Origine de la révélation de la violation (notification ou détection).
  • Respect ou non de mesures correctrices antérieures.
  • Existence de certifications ou d’adhésion à un code de conduite.
  • Circonstances aggravantes ou atténuantes (ex. : avantage financier tiré de la violation).

En cas de violations multiples pour un même traitement, seule l’infraction la plus grave est retenue pour fixer le plafond de l’amende.

Montant des amendes

Deux niveaux sont prévus par le RGPD :

  • 10 000 000 € ou 2 % du chiffre d’affaires mondial pour certaines obligations spécifiques (ex. : consentement des enfants, sous-traitance, registre des traitements, sécurité, notification de violation, DPO…).
  • 20 000 000 € ou 4 % du chiffre d’affaires mondial pour les principes de base (licéité, consentement, droits des personnes, transferts internationaux…).

Le montant le plus élevé entre l’amende forfaitaire et le pourcentage du chiffre d’affaires est retenu. Enfin, les États membres conservent une certaine marge de manœuvre : ils peuvent décider si les autorités et organismes publics peuvent être sanctionnés, et déterminer les garanties procédurales applicables.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;

b) le fait que la violation a été commise délibérément ou par négligence;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;

g) les catégories de données à caractère personnel concernées par la violation;

h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 et 43;

b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;

c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.

5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

6. Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9. Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu’ils adoptent en vertu du présent paragraphe au plus tard le … [deux ans à compter de la date d’entrée en vigueur du présent règlement], et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 24

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).

Article 20

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I – Le président de la Commission nationale de l’informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi.

II- Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.

Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence.

Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

III – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

1° Un rappel à l’ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

5° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement.

Analyse des 3 textes qui précèdent

Texte original du RGPD (article 83)

  • L’article 83 instaure l’obligation pour chaque autorité de contrôle d’imposer des amendes administratives qui soient effectives, proportionnées et dissuasives.
  • Les amendes peuvent être imposées seules ou en complément d’autres mesures correctrices prévues à l’article 58.
  • Le montant et l’opportunité de l’amende sont modulés selon de nombreux critères, notamment la nature, la gravité, la durée et le caractère délibéré ou négligent de la violation, les mesures prises pour atténuer les dommages, le degré de responsabilité, les violations antérieures, la coopération avec l’autorité, la catégorie des données impactées, ou encore l’existence de codes de conduite ou mécanismes de certification.
  • Le montant total de l’amende pour des violations multiples liées est plafonné à celui de la violation la plus grave.
  • Les violations sont classées selon deux niveaux de gravité, avec des amendes pouvant atteindre respectivement 10 millions d’euros ou 2% du chiffre d’affaires mondial, et 20 millions d’euros ou 4% du chiffre d’affaires mondial, selon la nature des obligations violées.
  • L’article prévoit aussi des règles spécifiques pour les autorités publiques et garantit des procédures juridictionnelles régulières et effectives.
  • Il précise aussi que dans les États n’ayant pas de système d’amendes, celles-ci peuvent être décidées par les autorités de contrôle et imposées par les juridictions nationales avec une équivalence d’effet.

Directive 95/46/CE (article 24)

  • La directive était beaucoup plus générale, renvoyant aux États membres la définition des sanctions et mesures à appliquer en cas de violation.
  • Il s’agissait d’une obligation générale de mettre en place des sanctions pour assurer l’application effective de la directive, sans spécification détaillée des modalités, montants ou critères.

Loi Informatique et Libertés (article 20)

  • Cette loi, notamment avant la transposition complète du RGPD, prévoyait un éventail de mesures correctrices pour le non-respect des obligations, avec un pouvoir de la CNIL d’émettre avertissements, mises en demeure, injonctions, et des astreintes.
  • Les montants maximaux des amendes administratives en France sont fixés (par exemple, jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires dans certains cas).
  • La procédure est encadrée avec des garanties procédurales et la possibilité d’un recours.

Jurisprudences 

Européennes 

C-807/21, Deutsche Wohnen SE contre Staatsanwaltschaft Berlin (5 décembre 2023)

Affirme que les amendes administratives peuvent être imposées uniquement si une violation délibérée ou par négligence est établie.

Identifie les conditions de mise en œuvre des sanctions pour les personnes morales responsables de traitement.

C-683/21, Nacionalinis visuomenės sveikatos centras contre Valstybinė duomenų apsaugos inspekcija (5 décembre 2023)

Définit la notion de responsable conjoint de traitement.

Précise que la qualification de responsables conjoints n’exige pas d’accord préalable entre entités.

Conditionne l’imposition d’amendes à la démonstration d’une violation délibérée ou par négligence.

C-383/23 (13 février 2025) – ILVA (Amende pour violation du RGPD)

Clarifie que le montant maximal de l’amende se base sur le chiffre d’affaires mondial de l’entreprise.

Souligne que le terme « entreprise » doit être interprété conformément aux articles 101 et 102 TFUE.

Met en avant l’importance de vérifier que l’amende soit proportionnée, dissuasive et effective.

Françaises 

CE Fr., n°354629 (12 mars 2014)

Rappelle la qualification de responsable du traitement dans le cadre des entités liées.

Confirme le rôle de la CNIL dans la régulation et contrôle des traitements.

CE Fr., n°412589 (6 juin 2018)

Énonce que la CNIL doit mettre en demeure le responsable du traitement avant de prononcer une sanction sauf cas exceptionnels.

La sanction se fonde sur la non-conformité persistante au terme du délai imparti.

CE Fr., n°449209 (28 janvier 2022)

Précise la prise en compte du marché et capacité financière pour la fixation du montant des amendes.

Confirme la publicité de la délibération de sanction dans certains cas, en conformité avec la gravité des manquements.

Recommandations 

CEPD

Lignes directrices sur le calcul des amendes administratives au titre du RGPD – 04/2022 (24 mai 2023)

G29 

Lignes directrices sur l’application et la fixation des amendes administratives – wp253 (3 octobre 2017)

Un DPO peut vous aider à anticiper et éviter les situations pouvant mener à une sanction administrative. Confiez votre conformité à un DPO externe certifié.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.