Bruxelles, le 16 mai – Le comité européen de la protection des données (EDPB) a adopté de nouvelles lignes directrices sur le calcul des amendes administratives, ayant pour objet d’harmoniser la méthode utilisée par les autorités chargées de la protection des données (APD). Les lignes directrices prévoient également des «points de départ» harmonisés pour le calcul des amendes. Trois éléments sont pris en compte à cet effet: la classification des infractions selon leur nature, la gravité de l’infraction et le chiffre d’affaires de l’entreprise.
Andrea Jelinek, présidente de l’EDPB, s’est exprimée en ces termes: «Dorénavant, les APD de l’ensemble de l’EEE suivront la même méthode pour calculer les amendes. Cela favorisera une harmonisation et une transparence plus poussées de la pratique des APD en matière d’amendes. Les circonstances individuelles d’une affaire doivent toujours être déterminantes et les APD ont un rôle important à jouer pour veiller à ce que chaque amende soit effective, proportionnée et dissuasive.»
Les lignes directrices définissent une méthode de calcul en 5 étapes. Premièrement, les APD doivent établir si l’affaire en cause concerne un ou plusieurs comportements passibles de sanctions et s’il en a résulté une ou plusieurs infractions. Il s’agit de déterminer si toutes les infractions ou seulement certaines d’entre elles sont passibles d’amende.
Deuxièmement, les APD doivent s’appuyer sur un point de départ pour le calcul de l’amende, pour lequel l’EDPB fournit une méthode harmonisée.
Troisièmement, les APD doivent prendre en compte les circonstances aggravantes ou atténuantes de nature à justifier une augmentation ou une diminution du montant de l’amende, au sujet desquels l’EDPB fournit une interprétation cohérente.
La quatrième étape consiste à déterminer les plafonds légaux des amendes tels que prévus à l’article 83, paragraphes 4 à 6, du RGPD, et à veiller à ce que ces montants ne soient pas dépassés.
Lors de la cinquième et dernière étape, les ADP doivent analyser si le montant final calculé répond aux exigences d’efficacité, de dissuasion et de proportionnalité ou s’il nécessite des ajustements supplémentaires.
Ces lignes directrices sont un ajout important au cadre que l’EDPB met actuellement en place pour rendre plus efficace la coopération entre les APD dans les affaires transfrontières, ce qui constitue une priorité stratégique de l’EDPB.
Les lignes directrices feront l’objet d’une consultation publique pendant une période de six semaines. À la suite de la consultation publique, une version finale des lignes directrices, tenant compte du retour des parties prenantes, sera adoptée; elle comprendra un tableau de référence dans lequel figureront une série de points de départ pour le calcul des amendes, mettant en relation la gravité de l’infraction avec le chiffre d’affaires de l’entreprise.
L’EDPB a également adopté des lignes directrices sur l’utilisation de la technologie de reconnaissance faciale dans le domaine répressif. Les lignes directrices fournissent des orientations aux législateurs européens et nationaux, ainsi qu’aux autorités répressives, sur la mise en œuvre et l’utilisation des systèmes de reconnaissance faciale.
Andrea Jelinek, présidente de l’EDPB, a déclaré à ce sujet: «Si les technologies modernes présentent des avantages pour les services répressifs, tels que l’identification rapide des suspects d’infractions graves, elles doivent satisfaire aux exigences de nécessité et de proportionnalité. La technologie de reconnaissance faciale est intrinsèquement liée au traitement de données à caractère personnel, y compris les données biométriques, et présente des risques graves pour les droits et libertés individuels.»
L’EDPB souligne que les outils de reconnaissance faciale ne devraient être utilisés que dans le strict respect de la directive en matière de protection des données dans le domaine répressif. En outre, ces outils ne devraient être utilisés que s’ils sont nécessaires et proportionnés, conformément à la charte des droits fondamentaux.
Dans les lignes directrices, l’EDPB réitère son appel en faveur d’une interdiction de l’utilisation de la technologie de reconnaissance faciale dans certains cas, comme il l’avait demandé dans l’avis conjoint de l’EDPB et du CEPD sur la proposition de législation sur l’intelligence artificielle. Plus précisément, l’EDPB considère qu’il convient d’interdire:
· l’identification biométrique à distance de personnes dans les espaces accessibles au public;
· les systèmes de reconnaissance faciale catégorisant les personnes, sur la base de leurs données biométriques, en groupes selon leur appartenance ethnique, leur sexe, leur orientation politique ou sexuelle ou d’autres motifs de discrimination;
· les technologies de reconnaissance faciale ou de nature similaire destinées à déceler les émotions des personnes physiques;
· tout traitement de données à caractère personnel dans un contexte répressif qui reposerait sur une base de données alimentée par la collecte massive et indifférenciée de données à caractère personnel, par exemple l’extraction de photographies et de portraits de visages accessibles en ligne.
Les lignes directrices feront l’objet d’une consultation publique durant six semaines.
