Le Comité européen de la protection des données (CEPD) vient de publier deux nouvelles lignes directrices : la première porte sur la méthode de calcul des amendes délivrées dans le cadre du RGPD, l'autre sur l’utilisation de technologies de reconnaissance faciale par les autorités répressives et judiciaires.

Une nouvelle méthode de calcul pour les amendes RGPD

Le 12 mai 2022 s'est tenue la 65e plénière du CEPD. À cette occasion, le Comité européen a adopté de nouvelles lignes directrices visant à « harmoniser les méthodes de calcul des amendes administratives adoptées par les autorités nationales ». Qui dit règlement européen, dit harmonisation à l'échelle du contient. Ce n'était pas forcément le cas jusqu'à présent. Cette nouvelle règle sur la méthode de calcul pour les amendes dans le cadre du RGPD établit un point de départ et impose la prise en compte de trois éléments : la catégorisation des infractions par nature, la gravité de l'infraction et le chiffre d'affaires de l'entreprise.

L'ensemble des CNIL européennes devront donc prendre en compte ces trois critères pour déterminer le montant des amendes. Pour calculer abec précision ce montant, les autorités compétentes devront déterminer si l'affaire en cause « concerne un ou plusieurs cas et s'ils ont conduit à une ou plusieurs infractions ». Elles doivent aussi tenir compte des facteurs aggravants ou atténuants susceptibles d'augmenter ou de diminuer le montant de l'amende. Les CNIL devront aussi respecter les plafonds légaux des amendes, comme le prévoit l'art. 83 (4)-(6) du RGPD. Enfin, les autorités doivent analyser si le montant « répond aux exigences d'efficacité, de dissuasion et de proportionnalité ».

Le CEPD veut renforcer la coopération européenne

Avec cette nouvelle ligne directrice, le CEPD souhaite également renforcer la coopération européenne. Les différentes autorités de l’Union ont récemment réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective. Pour y parvenir, elles souhaitent notamment faciliter l’utilisation des outils de coopération permis par le RGPD, et en particulier les enquêtes conjointes entre autorités. Ce n'est pas tout, les CNIL européennes comptent bien intensifier leurs échanges d’informations, « afin de favoriser l’émergence rapide d’un consensus informel qui pourra permettre l’avancée des instructions communes ».

Le CEPD a également rappelé que les outils de reconnaissance faciale ne devraient être utilisés que dans le strict respect de la directive Police-Justice. Pour faire simple, le Comité européen souhaite que ces technologies ne soient utilisées qu'en cas d'extrême nécessité et de manière proportionnée, comme le prévoit la Charte des droits fondamentaux de l'Union européenne. À ce sujet, en France, le Sénat plaide pour la création d’une autorité chargée de vérifier la fiabilité des algorithmes. Le CEPD considère notamment qu'il devrait y avoir une interdiction de l'identification biométrique à distance des individus dans les espaces accessibles au public.