Le Comité européen de la protection des données (CEPD) a adopté deux lignes directrices : l’une sur les méthodes de calcul des amendes dans le cadre du RGPD, l'autre sur l’utilisation de technologies de reconnaissance faciale par les autorités répressives et judiciaires. Ces deux mesures rentrent dans le cadre d’un renforcement de la coopération internationale. Le 28 avril dernier, le CEPD a en effet adopté une déclaration sur la coopération européenne autour du RGPD par laquelle les autorités de l’UE ont « réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective ».
Cela inclut l’identification des cas transfrontaliers d'importance stratégique, pour lesquels la coopération sera considérée comme prioritaire. Sur la base de critères comme le nombre de personnes concernées en Europe ou encore la persistance de problèmes, un plan d’action dédié sera établi au niveau européen afin d’assurer une avancée significative de l’étude des dossiers, dans un délai déterminé au niveau européen. De même, cette coopération vise à faciliter l’utilisation des outils de coopération permis par le RGPD, en particulier les enquêtes conjointes entre autorités. Une consultation publique est mise en place pour ces deux lignes directrices durant une période de 6 semaines à l’issue de laquelle une version finale sera adoptée.
Focus sur le calcul des amendes administratives
L’annonce d’un point sur le calcul des amendes administratives liées au RGPD vient compléter les accords sur l’application et la fixation des amendes administratives dans le cadre du RGPD qui se concentraient sur les circonstances dans lesquelles infliger une telle amende. Le CEPD pose ainsi les bases pour le calcul d'une amende, précisant que trois éléments doivent être en pris en compte : la catégorisation des infractions par nature, la gravité de l'infraction et le chiffre d'affaires de l'entreprise. Le comité propose une méthode de calcul en cinq étapes. Tout d'abord, les autorités de protection des données doivent établir si l'affaire en cause concerne un ou plusieurs cas de comportement sanctionnables et s'ils ont conduit à une ou plusieurs infractions. L'objectif étant de clarifier si toutes les infractions ou seulement certaines d'entre elles peuvent être sanctionnées par une amende.
Deuxièmement, les autorités doivent se fonder sur un point de départ pour le calcul de l'amende, pour lequel le CEPD fournit une méthode unique. Troisièmement, les autorités doivent tenir compte des facteurs aggravants ou atténuants susceptibles d'augmenter ou de diminuer le montant de l'amende. La quatrième étape consiste à déterminer les plafonds légaux des amendes, comme le prévoit l'article 83 (4)-(6) du RGPD et veiller à ce que ces montants ne soient pas dépassés. Dans la cinquième et dernière étape, les autorités doivent analyser si le montant final calculé répond aux exigences d'efficacité, de dissuasion et de proportionnalité ou si des ajustements supplémentaires du montant sont nécessaires.
Réguler les technologies de reconnaissance faciale
Le Comité européen de la protection des données a également présenté des directives relatives aux technologies de reconnaissance faciale. Cela apporte un cadre juridique de leur application dans le domaine de la prévention, des enquêtes, des poursuites des infractions pénales et de l’exécution des sanctions. Le CEPD souligne que les outils de reconnaissance faciale ne devraient être utilisés que dans le strict respect de la directive Police-Justice. En outre, ces outils ne devraient être utilisés que s'ils sont nécessaires et proportionnés, comme le prévoit la Charte des droits fondamentaux de l'Union européenne. L’organe européen réitère son appel à une interdiction de l'utilisation de la reconnaissance faciale dans certains cas, comme il l'avait demandé dans son avis sur la proposition de règlement sur l'intelligence artificielle.
Plus spécifiquement, le CEPD considère qu'il devrait y avoir une interdiction des solutions suivantes : l'identification biométrique à distance des individus dans les espaces accessibles au public ; les systèmes de reconnaissance faciale qui classent les individus sur la base de leurs données biométriques dans des groupes en fonction de l'ethnie, du sexe, de l'orientation politique ou sexuelle ou d'autres motifs de discrimination. Sont également interdits la reconnaissance faciale ou des technologies similaires permettant de déduire les émotions d'une personne physique et le traitement de données personnelles dans un contexte répressif qui s'appuierait sur une base de données alimentée par la collecte de données personnelles à grande échelle et de manière indiscriminée, par exemple en collectant des photographies et des images faciales accessibles en ligne.