Le CEPD publie des lignes directrices sur le calcul des amendes RGPD et sur l’utilisation de la reconnaissance faciale par les autorités
Le 12 mai 2022, le Comité européen de la protection des données a adopté deux lignes directrices : une sur les méthodes de calcul des amendes dans le cadre du RGPD, l'autre sur l’utilisation de technologies de reconnaissance faciale par les autorités répressives et judiciaires.
Des lignes directrices sur le calcul des amendes administratives dans le cadre du RGPD
Lors de sa 65e plénière du 12 mai 2022, le CEPD a adopté des lignes directrices visant à harmoniser les méthodes de calcul des amendes administratives adoptées par les autorités nationales.
Ces lignes directrices complètent celles sur l’application et la fixation des amendes administratives dans le cadre du RGPD qui se concentraient sur les circonstances dans lesquelles infliger une telle amende.
Elles établissent des « points de départ » harmonisés pour le calcul d'une amende et relèvent que trois éléments doivent être en pris en compte : la catégorisation des infractions par nature, la gravité de l'infraction et le chiffre d'affaires de l'entreprise.
Les lignes directrices définissent une méthode de calcul en cinq étapes :
- Tout d'abord, les autorités de protection des données doivent établir si l'affaire en cause concerne un ou plusieurs cas de comportement sanctionnable et s'ils ont conduit à une ou plusieurs infractions. L'objectif est de clarifier si toutes les infractions ou seulement certaines d'entre elles peuvent être sanctionnées par une amende.
- Deuxièmement, les autorités doivent se fonder sur un point de départ pour le calcul de l'amende, pour lequel le CEPD fournit une méthode harmonisée.
- Troisièmement, les autorités doivent tenir compte des facteurs aggravants ou atténuants susceptibles d'augmenter ou de diminuer le montant de l'amende, pour lesquels le CEPD fournit une interprétation cohérente.
- La quatrième étape consiste à déterminer les plafonds légaux des amendes, comme le prévoit l'art. 83 (4)-(6) RGPD et à veiller à ce que ces montants ne soient pas dépassés.
- Dans la cinquième et dernière étape, les autorités doivent analyser si le montant final calculé répond aux exigences d'efficacité, de dissuasion et de proportionnalité ou si des ajustements supplémentaires du montant sont nécessaires.
Ces lignes directrices seront soumises à une consultation publique pendant une période de 6 semaines. Après la consultation publique, une version finale sera adoptée, en tenant compte des commentaires des parties prenantes, et comprendra un tableau de référence avec une série de points de départ pour le calcul d'une amende, mettant en corrélation la gravité d'une infraction avec le chiffre d'affaires d'une entreprise.
Les lignes directrices du CEPD (version soumise à consultation publique jusqu'au 27 juin 2022)
Des lignes directrices dans le prolongement d’un engagement à renforcer la coopération européenne
Le 28 avril dernier, le CEPD a adopté une déclaration sur la coopération européenne (en anglais) par laquelle les autorités de l’UE ont réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective en identifiant plusieurs voies d’améliorations, dont notamment :
- L’identification des cas transfrontaliers d'importance stratégique, pour lesquels la coopération sera considérée comme prioritaire. Sur la base de critères comme le nombre de personne concernées en Europe ou encore la persistance de problèmes structurant ou récurrents, un plan d’action dédiée sera établi au niveau européen afin d’assurer une avancée effective et plus rapide de l’étude des dossiers, dans un délai déterminé collectivement.
- La facilitation de l’utilisation des outils de coopération permis par le RGPD, et en particulier les enquêtes conjointes entre autorités.
L’intensification des échanges d’information, de manière soutenue et précoce, afin de favoriser l’émergence rapide d’un consensus informel qui pourra permettre l’avancée des instructions communes.
Des lignes directrices sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires
Le CEPD a également adopté des lignes directrices présentant les technologies de reconnaissance faciale et le cadre juridique de leur application dans le domaine de la prévention, des enquêtes, des poursuites des infractions pénales et de l’exécution des sanctions.
Dans ces lignes directrices, le CEPD souligne que les outils de reconnaissance faciale ne devraient être utilisés que dans le strict respect de la directive Police-Justice. En outre, ces outils ne devraient être utilisés que s'ils sont nécessaires et proportionnés, comme le prévoit la Charte des droits fondamentaux de l'Union européenne.
Le CEPD réitère son appel à une interdiction de l'utilisation de la technologie de reconnaissance faciale dans certains cas, comme il l'avait demandé dans son avis conjoint avec le contrôleur européen sur la protection des données sur la proposition de règlement sur l'intelligence artificielle. Plus spécifiquement, le CEPD considère qu'il devrait y avoir une interdiction :
- de l'identification biométrique à distance des individus dans les espaces accessibles au public ;
- des systèmes de reconnaissance faciale qui classent les individus sur la base de leurs données biométriques dans des groupes en fonction de l'ethnie, du sexe, de l'orientation politique ou sexuelle ou d'autres motifs de discrimination ;
- de la reconnaissance faciale ou des technologies similaires permettant de déduire les émotions d'une personne physique ;
- du traitement de données personnelles dans un contexte répressif qui s'appuierait sur une base de données alimentée par la collecte de données personnelles à grande échelle et de manière indiscriminée, par exemple en collectant des photographies et des images faciales accessibles en ligne.
Ces lignes directrices seront soumises à une consultation publique d'une durée de 6 semaines. Elles sont également accompagné de trois annexes :
- L’annexe I aide à évaluer les risques d’interférence avec les droits fondamentaux dans un champ d’application donné.
- L’annexe II a pour objectif d’aider les autorités chargées de l’application de la loi à acquérir et à gérer un système de technologies de reconnaissance faciale.
- L’annexe III expose des scénarios potentiels et les aspects pertinents à prendre en compte.
Les lignes directrices du CEPD (version soumise à consultation publique jusqu'au 27 juin 2022)
Pour approfondir
- EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement [en anglais] - Comité européen de la protection des données
- Le Comité européen de la protection des données (CEPD)
- Les lignes directrices du CEPD - Comité européen de la protection des données
- The EDPB publishes guidelines on the calculation of GDPR fines and on the use of facial recognition in law enforcement [en anglais]