Le caractère dissuasif des sanctions prononcées par les autorités de contrôle devait participer au renforcement du cadre de protection des données personnelles. En France, le montant maximum de la sanction financière prononcée par la Cnil est de 150 000€ (300 000€ en cas de réitération).

Ce montant maximum a été infligé par la Cnil à la société Google Inc. en janvier 2014 qui estimait que les règles de confidentialité de la société n’étaient pas conformes à la loi « Informatique et Libertés ».

Le texte adopté par le Parlement européen prévoit que l’autorité de contrôle puisse infliger « une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d’affaire annuel mondial dans le cas d’une entreprise, le montant le plus élevé devant être retenu ». Le Parlement européen avait également énoncé une série de facteurs que les autorités de protection nationales devaient prendre en compte pour infliger une sanction administrative. Figurent notamment parmi ces facteurs :

  • La nature, la gravité et la durée de la non-conformité;
  • Le degré de responsabilité de la personne physique ou morale et les violations antérieurement commises par elle;
  • Le caractère délibéré de l’infraction commise ou sa commission par négligence;
  • Les mesures prises par le responsable du traitement pour atténuer le préjudice subi par les personnes concernées;
  • La gravité du dommage, y compris du préjudice extrapatrimonial, subi par les personnes concernées.

On peut constater que le Conseil de l’Union européenne a revu le montant de l’amende à la baisse. Il s’élève, en effet, à « 1 000 000 EUR ou, dans le cas d’une entreprise, 2 % de son chiffre d’affaires annuel total au niveau mondial pour l’exercice précédent (…) ». Le Conseil de l’Union européenne s’est aligné sur les propositions de la Commission européenne reprenant également les paliers de sanctions.