Les amendes «administratives» prévues par l’art. 83 du RGPD peuvent-elles être reconnues et exécutées en Suisse?

Thomas Widmer

Inhaltsverzeichnis

I. Champ d’application géographique du RGPD

II. Amendes prévues par l’art. 83 RGPD

III. Reconnaissance et exécution sur le territoire helvétique d’amendes fondées sur l’art. 83 RGPD

1. Les amendes «administratives» rendues sur la base de l’art. 83 RGPD sont-elles de nature pénale?

2. S’agit-il d’affaires dans lesquelles le droit de l’État requérant permet de faire appel au juge?

3. La condition de la double incrimination est-elle respectée?

4. Application de la lex mitior

5. Conclusion

En vertu de son art. 3, al. 2, le Règlement Général sur la Protection des Données européen («RGPD») s’applique notamment au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne («UE») par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’UE, lorsque les activités de traitement sont liées:

• a)
  à l’offre de biens ou de services à ces personnes concernées dans l’UE, qu’un paiement soit exigé ou non desdites personnes; ou
• b)
  au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE.

Le RGPD a donc une portée extraterritoriale et peut s’appliquer dans certains cas à des responsables de traitement établis en Suisse.

Selon l’art. 83 RGPD, des «amendes administratives» peuvent être infligées en cas d’infraction à certaines dispositions du Règlement. Leur montant s’élève à EUR 20’000’000 au maximum ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Ces amendes administratives sont sensiblement plus élevées que les sanctions pénales prévues par la nouvelle Loi fédérale sur la protection des données («nLPD»), qui ont pourtant été renforcées par rapport à la loi actuelle.

Contrairement aux autorités de contrôle des États membres de l’UE, le Préposé fédéral à la protection des données et à la transparence («PFPDT») n’a pas le pouvoir d’infliger des sanctions administratives. Cette option a été écartée par le Conseil fédéral, au motif que des sanctions administratives pécuniaires auraient impliqué, pour garantir la légitimité de la décision et le respect des droits procéduraux des personnes visées par une sanction, une réforme institutionnelle du PFPDT, ce qui aurait engendré des coûts trop importants. Pour compenser cette situation, le Conseil fédéral a opté pour un renforcement du régime pénal qui constitue au demeurant un élément central pour la reconnaissance de l’adéquation de la législation suisse.

Selon le principe de la territorialité, la souveraineté suisse s’oppose à l’exécution d’actes de puissance publique par des autorités étrangères sur le territoire helvétique. Les autorités étrangères ne peuvent ainsi pas intervenir directement |en Suisse mais doivent requérir la reconnaissance et l’exécution par les instances suisses.

Si le droit suisse connaît un mécanisme de reconnaissance et d’exécution de décisions civiles étrangères, tel n’est pas le cas de la reconnaissance et de l’exécution de décisions administratives étrangères.

Les décisions des autorités étrangères portant sur des créances de droit public ne peuvent être exécutées en Suisse que si un traité international le prévoit, ce qui n’est le cas qu’exceptionnellement. Un tel traité n’existe pas s’agissant de décisions administratives étrangères fondées sur le RGPD.

La nouvelle LDP prévoit certes une disposition concernant «l’assistance administrative avec des autorités étrangères». Il s’agit là, toutefois, d’échange d’informations et de données personnelles entre le PFPDT et une autorité étrangère chargée de la protection de données, et non d’un mécanisme de reconnaissance de décisions administratives étrangères.

Reste à déterminer si les amendes fondées sur le RGPD sont véritablement de nature «administrative» ou si elles ne revêtent pas, malgré leur dénomination, une nature pénale.

En vertu de l’art. 94 de la Loi fédérale sur l’entraide en matière pénale («EIMP»), les décisions définitives et exécutoires rendues par les autorités pénales d’un État étranger peuvent être exécutées en Suisse, à la demande de cet État, notamment si:

• a)
  le condamné réside habituellement en Suisse ou doit y répondre d’une infraction grave;
• b)
  la condamnation a trait à une infraction perpétrée à l’étranger et qui, commise en Suisse, y serait punissable.

Le second alinéa de cette disposition prévoit que la sanction prononcée à l’étranger est exécutée dans la mesure où elle ne dépasse pas le maximum de la peine prévue par le droit suisse pour une infraction du même genre («lex mitior»).

En d’autres termes, l’exécution d’une décision pénale étrangère présuppose que les conditions suivantes soient réunies: il doit s’agir (1) d’une décision étrangère de nature pénale, (2) rendue dans une affaire dans laquelle le droit de l’État requérant permet de faire appel au juge et (3) concernant une infraction qui est également punissable en Suisse. Enfin, (4) la lex mitior doit être appliquée. Ces différents aspects seront examinés ci-après afin d’en tirer une conclusion.

La qualification comme décision en matière pénale au sens de l’EIMP s’opère en principe selon les critères (matériels) de la jurisprudence Engel: une sanction est pénale soit lorsque le droit national la classifie comme telle, soit lorsque la nature de l’infraction ou la gravité de la sanction en dénotent le caractère pénal.

En l’espèce, les amendes découlant de l’art. 83 RGPD sont explicitement qualifiées d’«administratives». En outre, l’art. 84 RPGD prévoit de possibles «autres sanctions» applicables en cas de violation du règlement, «en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83». A titre d’exemple, le droit pénal français comprend deux sections concernant des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.

Cependant, en dépit de cette qualification «administrative» opérée par le droit européen, il est possible qu’au regard du montant élevé de ces amendes, qui peuvent atteindre 4 % du chiffre d’affaires mondial total de l’exercice précédant l’infraction, ces dernières revêtent un caractère pénal au sens du droit suisse.

La coopération judiciaire internationale en matière pénale ne peut être accordée, par définition, que pour la poursuite d’infractions pénales dont la répression relève de la compétence des autorités judiciaires de l’État requérant. Il faut, en d’autres termes, qu’une action pénale soit ouverte dans l’État requérant. Le droit suisse de l’entraide judiciaire pénale ne saurait servir de base à la collaboration de la Suisse pour des procédures strictement administratives ou à des procédures civiles conduites à l’étranger.

En l’espèce, les amendes rendues sur la base de l’art. 83 RGPD le sont par les autorités administratives des différents membres de l’Union européenne et non par une autorité |judiciaire en tant que telle. L’art. 83, al. 8 RGPD prévoit toutefois que «[L]’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière».

La doctrine est divisée sur la question de savoir si l’intervention éventuelle d’une autorité judiciaire européenne au stade du recours contre une amende prise en vertu de l’art. 83 RGPD satisfait la condition selon laquelle la procédure doit relever de la compétence d’une autorité judiciaire. Si Benhamou/Jacot-Guillarmod estiment que tel n’est pas le cas, Aurélien Pasquier est d’avis que l’analyse dépend de chaque cas, en fonction de la possibilité pour l’amendé de former un recours devant une autorité judiciaire qui dispose de compétences (notamment) pénales. Cette controverse n’a, à notre connaissance, pas été tranchée par les tribunaux à ce jour.

En réservant l’exigence de la double incrimination, l’État requérant s’assure que sa coopération ne sera pas prêtée pour des faits qui ne constitueraient pas, à ses yeux, une infraction punissable. Selon la conception classique, cela se justifie par des motifs liés à l’ordre public et au sentiment de justice, tant il serait choquant que l’État requis puisse restreindre la liberté individuelle d’une personne poursuivie dans l’État requérant pour des faits qu’il laisserait lui-même impunis.

L’examen de la punissabilité sous l’angle du droit suisse comprend les éléments constitutifs objectifs et subjectifs de l’infraction. Lorsque le droit suisse ne réprime des délits que s’ils sont commis intentionnellement, cet élément doit être pris en compte dans l’examen de la punissabilité.

En l’occurrence, le champ d’application des amendes prévues par l’art. 83 RGPD excède celui des sanctions pénales prévues par la nLPD. A titre d’exemples:

• –
  Le RGPD permet aux autorités de contrôle de sanctionner le défaut de tenue d’un registre des activités de traitement; tel n’est pas le cas de la nLPD.
• –
  Le responsable du traitement est tenu, selon le RGPD, de désigner un conseiller à la protection des données dans certaines circonstances (et peut être amendé en cas de défaut); la nLPD ne l’impose pas.
• –
  Le RGPD prévoit une amende en cas d’infraction à l’obligation de notifier à l’autorité de contrôle une violation de données à caractère personnel; cela n’est pas prévu par la nLPD.
• –
  Les amendes prises en vertu de l’art. 83 RGPD peuvent sanctionner un comportement tant intentionnel que négligent alors que seule une violation intentionnelle est sanctionnable en vertu de la nLPD.

Par ailleurs, les destinataires des amendes prises sur la base de l’art. 83 RGPD et des sanctions pénales prévues par les art. 60 et suivants de la nLPD diffèrent: les premières visent le responsable du traitement, à savoir généralement l’entreprise (personne morale) alors que les secondes trouvent application, sauf exceptions, à l’égard de la ou des personne.s.physique.s responsable.s du traitement illicite.

En tout état de cause, l’application du principe de la lex mitior interdit que l’amende prise en vertu de l’art. 83 RGPD ne dépasse la peine maximale prévue par le droit suisse pour la même infraction. Cela limite donc sensiblement le montant desdites amendes, puisque qu’alors qu’elles peuvent atteindre EUR 20’000’000 voire 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sur la base du RGPD, les sanctions pénales prévues par la nLPD sont plafonnées à CHF 250’000.

A la lumière de ce qui précède, plusieurs obstacles se dressent à l’encontre de la reconnaissance et l’exécution sur le territoire helvétique d’une amende prise par une autorité de contrôle européenne en vertu de l’art. 83 RGPD, à savoir:

• –
  Dans l’hypothèse où ces amendes sont de nature administrative (comme l’indique expressément le RGPD), elles ne peuvent pas être reconnues et exécutées en Suisse;
• –
  Dans l’hypothèse où, malgré leur dénomination, ces amendes sont considérées comme revêtant une nature pénale, elles peuvent l’être à la condition que l’amendé soit habilité à former un recours à leur encontre devant une autorité judiciaire européenne qui dispose de compétences (notamment) pénales (et non exclusivement administratives);
• |–
  Seules les amendes qui sanctionnent une infraction figurant dans le catalogue (réduit) des art. 60 à 63 nLPD sont susceptibles d’être reconnues et exécutées en Suisse;
• –
  Seules les amendes qui sanctionnent un comportement intentionnel sont susceptibles d’être reconnues et exécutées en Suisse;
• –
  En tout état, lesdites amendes ne peuvent être reconnues et exécutées en Suisse qu’à hauteur de CHF 250’000 au maximum, en vertu de l’application de la lex mitior.

Résume

Le Règlement général sur la protection des données européen peut, dans certaines circonstances, avoir une portée extraterritoriale et s’appliquer, par exemple, à des entreprises situées en Suisse. Ces dernières peuvent donc faire l’objet, en cas de manquement audit Règlement, de sanctions financières potentiellement élevées. La reconnaissance et l’exécution de telles sanctions européennes sur le territoire helvétique soulève plusieurs questions délicates; en tout état, il semble acquis qu’une entreprise suisse ne peut se voir amendée pour un montant supérieur à CHF 250’000, qui correspond au plafond prévu par la nouvelle Loi fédérale sur la protection des données, laquelle entrera en vigueur le 1^er septembre 2023.

Zusammenfassung

Die Europäische Datenschutz-Grundverordnung kann unter bestimmten Umständen einen extraterritorialen Geltungsbereich aufweisen und beispielsweise auf in der Schweiz angesiedelte Unternehmen anwendbar sein. Diese können folglich im Fall eines Verstosses gegen die Verordnung mit potenziell hohen Bussen bestraft werden. Die Anerkennung und Vollstreckung solcher europäischen Bussen auf Schweizer Hoheitsgebiet wirft mehrere heikle Fragen auf. In jedem Fall scheint jedoch klar, dass Schweizer Unternehmen höchstens mit CHF 250’000 gebüsst werden können. Dies entspricht der Obergrenze im neuen, am 1. September 2023 in Kraft tretenden Datenschutzgesetz.