La violation alléguée du RGPD par ILVA A/S
La société ILVA A/S, filiale du groupe danois Lars Larsen Group, a été poursuivie pour conservation illicite de données personnelles relatives à 350 000 anciens clients entre mai 2018 et janvier 2019. Le traitement concerné portait sur des informations stockées dans un système obsolète, partiellement supprimé, et consulté occasionnellement, sans anonymisation ni suppression conforme aux articles 5 et 6 du RGPD.
La divergence d’appréciation des juridictions danoises
Le Retten i Aarhus (tribunal de première instance) a infligé une amende symbolique de 100 000 DKK (≈ 13 400 €), estimant que seule la filiale — et non le groupe — devait être sanctionnée. À l’inverse, le Datatilsynet (autorité de contrôle danoise) et le ministère public recommandaient une amende de 1,5 million DKK (≈ 201 000 €), calculée sur la base du chiffre d’affaires consolidé du groupe (6,57 milliards DKK), invoquant la notion d’unité économique.
La problématique de l’article 83 RGPD
Les paragraphes 4 à 6 de l’article 83 prévoient un plafond d’amende correspondant à 4 % du chiffre d’affaires annuel mondial de l’« entreprise ». Le considérant 150 du RGPD renvoie explicitement aux articles 101 et 102 TFUE pour définir cette notion, intégrant la jurisprudence relative aux « unités économiques » en droit de la concurrence.
Les questions posées par le Vestre Landsret
1. La notion d’entreprise au sens du RGPD doit-elle englober toute entité économique, indépendamment de sa structure juridique ?
2. Le calcul de l’amende doit-il se fonder sur le chiffre d’affaires du groupe ou de la seule entité poursuivie ?
L’emprunt à la notion d’entreprise en droit de la concurrence
La Cour réaffirme que la référence aux articles 101 et 102 TFUE vise à assurer l’effet dissuasif des amendes. L’« entreprise » comprend toute unité économique, y compris les sociétés mères et filiales lorsque celles-ci n’agissent pas indépendamment sur le marché. Ainsi, le plafond de 4 % s’applique au chiffre d’affaires consolidé du groupe, même si seule une filiale est responsable du traitement.
La théorie de l’unité économique
La CJUE rappelle que l’appréciation de l’unité économique dépend :
– Des liens capitalistiques (détention totale ou quasi-totale des parts) ;
– Du contrôle effectif exercé par la société mère (nomination des dirigeants, harmonisation des politiques de conformité) ;
– De l’intégration opérationnelle des activités de traitement au sein du groupe.
La distinction entre plafond et amende effective
Si le plafond est déterminé par le chiffre d’affaires du groupe, le montant effectif de l’amende doit tenir compte :
– Des circonstances spécifiques de la violation (nature, gravité, durée) ;
– De la responsabilité propre de la filiale (mesures techniques et organisationnelles mises en œuvre, coopération avec l’autorité) ;
– De la capacité économique réelle de l’entité sanctionnée.
Le rôle des juridictions pénales
L’article 83(9) RGPD permet aux États membres (comme le Danemark) d’imposer des amendes via des procédures judiciaires. La CJUE souligne que ces juridictions doivent respecter les droits de la défense et le principe de proportionnalité, tout en assurant une équivalence fonctionnelle avec les amendes administratives.
Analyse approfondie des manquements