1. Le Contrôleur européen de la protection des données peut imposer des amendes administratives aux institutions, organes et organismes de l’Union relevant du champ d’application du présent règlement. Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et il est dûment tenu compte des éléments suivants:
|
a) |
la nature, la gravité et la durée de la violation et de ses conséquences, compte tenu de la finalité du système d’IA concerné ainsi que, s’il y a lieu, du nombre de personnes touchées et du niveau de dommage qu’elles ont subi; |
|
b) |
le degré de responsabilité de l’institution, organe ou organisme de l’Union, compte tenu des mesures techniques et organisationnelles qu’il a mises en œuvre; |
|
c) |
toute mesure prise par l’institution, organe ou organisme de l’Union pour atténuer les dommages subis par les personnes touchées; |
|
d) |
le niveau de coopération établi avec le Contrôleur européen de la protection des données en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs, y compris le respect de toute mesure précédemment ordonnée par le Contrôleur européen de la protection des données à l’encontre de l’institution, organe ou organisme de l’Union concerné pour le même objet; |
|
e) |
toute violation similaire commise précédemment par l’institution, organe ou organisme de l’Union; |
|
f) |
la manière dont le Contrôleur européen de la protection des données a eu connaissance de la violation, notamment si, et le cas échéant dans quelle mesure, l’institution, organe ou organisme de l’Union a notifié la violation; |
|
g) |
le budget annuel de l’institution, organe ou organisme de l’Union. |
2. Le non-respect de l’interdiction des pratiques en matière d’IA visées à l’article 5 fait l’objet d’une amende administrative pouvant aller jusqu’à 1 500 000 EUR.
3. La non-conformité du système d’IA avec les exigences ou obligations au titre du présent règlement, autres que celles énoncées à l’article 5, fait l’objet d’une amende administrative pouvant aller jusqu’à 750 000 EUR.
4. Avant de prendre des décisions en vertu du présent article, le Contrôleur européen de la protection des données donne à l’institution, organe ou organisme de l’Union faisant l’objet des procédures conduites par le Contrôleur européen de la protection des données la possibilité de faire connaître son point de vue sur l’éventuelle infraction. Le Contrôleur européen de la protection des données ne fonde ses décisions que sur les éléments et les circonstances au sujet desquels les parties concernées ont pu formuler des observations. Les éventuels plaignants sont étroitement associés à la procédure.
5. Les droits de la défense des parties concernées sont pleinement respectés dans le déroulement de la procédure. Les parties disposent d’un droit d’accès au dossier du Contrôleur européen de la protection des données, sous réserve de l’intérêt légitime des personnes ou entreprises concernées en ce qui concerne la protection de leurs données à caractère personnel ou de leurs secrets commerciaux.
6. Les fonds collectés en imposant des amendes en vertu du présent article contribuent au budget général de l’Union. Les amendes ne compromettent pas le bon fonctionnement de l’institution, organe ou organisme de l’Union faisant l’objet d’une amende.
7. Le Contrôleur européen de la protection des données informe chaque année la Commission des amendes administratives qu’il a infligées en vertu du présent article ainsi que de toute action en justice ou procédure judiciaire qu’il a engagée.
