Les amendes liées au RGPD sont-elles - assurables ?
Par rapport à son prédécesseur juridique, le RGPD contient des mécanismes de sanction plus sévères. L'objectif est de faire en sorte que les dispositions du RGPD soient effectivement respectées. L'article 83 du RGPD prévoit une possibilité de sanction : L'amende. Mais quand cette amende tant redoutée est-elle appliquée et peut-on s'assurer contre elle ?
Art. 83 RGPD
Une amende au titre de l'article 83 du RGPD peut être infligée aux responsables du traitement et aux sous-traitants. Selon l'article 83 V du RGPD, le plafond est de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel mondial de l'entreprise ou du groupe concerné (le montant le plus élevé étant retenu). En cas d'infraction moins grave, comme par exemple un simple manque d'organisation, le plafond est abaissé à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (art. 83 IV RGPD). Le chiffre d'affaires annuel est ici déterminé sur la base du chiffre d'affaires de l'année précédente.
Le montant de l'amende dépend de nombreux critères d'évaluation tels que le type, la gravité et la durée de l'infraction, l'intention ou la négligence, les infractions antérieures, etc. Ceci est réglé en détail par l'article 83 I et II du RGPD.
Les cas dans lesquels des amendes ont été infligées montrent que les autorités de contrôle compétentes (article 58, paragraphe II, point i), du RGPD) exploitent pleinement ce cadre lorsque des amendes sont effectivement infligées. D'autre part, l'autorité de contrôle peut également renoncer à une amende et, le cas échéant, imposer d'autres mesures.
Il est souvent possible de prévenir les amendes et de les réduire en cas d'infraction en remplissant les exigences en matière de protection des données, par exemple en désignant un délégué à la protection des données. En principe, plus on remplit les exigences en matière de protection des données, moins l'amende est élevée au final.
Tant qu'un employé n'agit pas de manière totalement responsable et dans son propre intérêt, son infraction est imputée à l'entreprise. Si une entreprise subit une infraction sanctionnée par une amende du fait d'un prestataire de services ou similaire qu'elle a mandaté, l'entreprise peut faire valoir cette infraction à titre de dommages et intérêts auprès du prestataire de services.
Assurance
En principe, il est possible de s'assurer contre les amendes liées au RGPD (dans la mesure où la législation en vigueur le permet). Les amendes infligées au sein de l'entreprise sont couvertes par la plupart des assurances responsabilité civile. Si l'amende est infligée à une autre entreprise auprès de laquelle la propre entreprise a fourni des services ayant entraîné une infraction au RGPD, l'autre entreprise peut faire valoir cette amende en tant que dommages et intérêts à l'encontre de l'entreprise prestataire de services (droit de recours). De tels incidents sont également couverts par la plupart des assurances responsabilité civile pour les dommages pécuniaires.
Il est essentiel de veiller au montant maximal de la couverture lors de la conclusion de l'assurance. Pour ce faire, il convient tout d'abord de considérer le chiffre d'affaires annuel de l'entreprise afin de voir à quel montant maximal on arriverait selon les dispositions de l'article 83 du RGPD. Il ne faut pas oublier qu'il peut arriver que l'amende que l'assurance doit rembourser soit infligée à une entreprise pour laquelle elle fournit des services. L'amende est alors calculée en fonction du chiffre d'affaires de l'entreprise "cliente". Lors de la conclusion de l'assurance responsabilité civile, il faut donc déjà tenir compte du chiffre d'affaires des entreprises pour lesquelles l'entreprise va travailler. Le cas échéant, l'assurance responsabilité civile devra être adaptée plusieurs fois au cours de la carrière de l'entreprise.
Il convient de toujours demander l'avis d'un expert pour évaluer chaque cas.