Plafond des amendes administratives
| Type d'entité | Plafond fixe | Plafond proportionnel | Règle |
|---|
| Essentielle | 10 millions € | 2 % du CA mondial annuel | Le plus élevé des deux est retenu |
| Importante | 7 millions € | 1,4 % du CA mondial annuel | Le plus élevé des deux est retenu |
Critères de fixation de l'amende (article 56 §2)
- Gravité de la violation (nature, durée, conséquences sur les services essentiels)
- Caractère intentionnel ou négligent
- Mesures prises pour atténuer le dommage
- Antécédents de l'entité (récidive)
- Niveau de coopération avec l'autorité (CCB)
- Bénéfices financiers tirés de la violation
- Catégories de données concernées
Responsabilité personnelle des dirigeants (article 32)
Les membres des organes de direction (CEO, conseil d'administration) ont des obligations directes :
- Approuver les mesures de gestion des risques cyber
- Superviser leur mise en œuvre effective
- Suivre une formation appropriée en cybersécurité
- Engager leur responsabilité personnelle en cas de manquement (sanctions civiles et financières individuelles)
Mesures non-financières
Outre les amendes, l'autorité compétente (CCB) peut prendre les mesures suivantes :
- Avertissement
- Injonction de se conformer dans un délai donné
- Suspension temporaire de la certification ou de la fonction de dirigeant (entités essentielles)
- Publication de la décision (effet réputationnel)
Comment éviter les sanctions ?
- S'enregistrer auprès du CCB (entités essentielles + importantes)
- Mettre en œuvre les 11 mesures de l'article 30
- Notifier tout incident significatif sous 24h / 72h / 1 mois
- Documenter et tester les mesures (audits, pentests)
- Former les dirigeants (article 32)
Demander un audit de conformité →