L’affaire C-383/23 oppose l’Anklagemyndigheden (le Ministère public danois) à la société ILVA A/S, une filiale du groupe Lars Larsen Group, dans le cadre de poursuites pour violation du Règlement général sur la protection des données (RGPD). ILVA A/S aurait manqué à ses obligations en matière de conservation des données à caractère personnel concernant environ 350 000 anciens clients, durant une période allant de mai 2018 à janvier 2019. Les infractions reprochées concernent notamment les articles 5, paragraphe 1, sous e), 5, paragraphe 2, et 6 du RGPD, encadrant la limitation de la durée de conservation des données et les principes de traitement.
En première instance, le Retten i Aarhus (tribunal d’Aarhus) a infligé une amende de 100 000 couronnes danoises (environ 13 400 euros) à ILVA pour négligence, considérant que le chiffre d’affaires du groupe Lars Larsen (6,57 milliards de DKK) ne devait pas être pris en compte pour déterminer le montant de l’amende, la filiale opérant de manière autonome. En appel, le Vestre Landsret (Cour d’appel de la région Ouest) a suspendu sa décision et sollicité l’interprétation de la CJUE concernant la notion d’« entreprise » à l’article 83 du RGPD et son articulation avec le droit de la concurrence de l’Union (articles 101 et 102 TFUE).
La juridiction de renvoi a posé les deux questions préjudicielles suivantes, à savoir:
1.Le terme « entreprise » figurant à l’article 83 du RGPD doit-il être compris selon les principes du droit de la concurrence, englobant l’entité économique (et donc le groupe dans son ensemble)?
2. Pour le calcul des amendes, le chiffre d’affaires à considérer est-il celui de l’entité économique (groupe) ou seulement celui de la filiale directement impliquée dans l’infraction?
CONCLUSIONS DE L’AVOCAT GENERAL
A. La Notion d’Entreprise dans le RGPD
L’Avocate générale a affirmé que, pour le calcul du montant maximal des amendes administratives, le terme « entreprise » à l’article 83, paragraphes 4 à 6, du RGPD doit être interprété conformément au droit de la concurrence de l’Union. Cela signifie que la notion d’« entreprise » inclut l’entité économique dans son ensemble, indépendamment de la structure juridique des entités qui la composent, dès lors que celles-ci sont liées par une « influence déterminante » (critère classique du droit de la concurrence).
Elle a souligné que cette interprétation était conforme au considérant 150 du RGPD, qui renvoie explicitement aux articles 101 et 102 TFUE pour comprendre ce concept. Le chiffre d’affaires mondial de l’entité économique (ici le groupe Lars Larsen) devrait donc être pris en compte pour fixer le plafond de l’amende.
B. La Fixation de l’Amende Effective
Toutefois, pour déterminer l’amende effective à infliger dans un cas spécifique, l’Avocate générale a insisté sur l’importance de respecter les principes énoncés à l’article 83, paragraphe 1, du RGPD : les sanctions doivent être effectives, proportionnées et dissuasives. Elle a affirmé que le chiffre d’affaires global de l’entité économique peut constituer un facteur pertinent parmi d’autres, mais qu’il ne doit pas être le critère principal ou exclusif.
L’Avocate générale a mis en garde contre une transposition automatique des principes du droit de la concurrence au RGPD, soulignant que les deux domaines ont des objectifs différents. Alors que le droit de la concurrence vise à sanctionner des comportements nuisibles au marché, le RGPD se concentre sur la protection des droits fondamentaux des personnes concernées. En conséquence, l’évaluation de l’amende effective doit tenir compte des facteurs spécifiques de chaque cas, tels que :
1. La gravité et la durée de la violation
2. Le nombre de personnes concernées
3. Les mesures correctives entreprises par l’entité fautive
4. Le rôle de la société mère dans la gestion des données et sa responsabilité effective dans l’infraction.
Dans le cas d’ILVA, elle a relevé que la société mère n’avait pas été poursuivie et que la violation semblait limitée à la filiale. Ces éléments plaident contre la prise en compte du chiffre d’affaires du groupe Lars Larsen pour le calcul de l’amende effective.
C. Les Garanties Applicables en Matière Pénale
Puisque l’amende dans cette affaire est infligée dans le cadre d’une procédure pénale au Danemark (conformément à l’article 83, paragraphe 9, du RGPD), l’Avocate générale a rappelé que la sanction devait respecter les principes fondamentaux du droit pénal, notamment le principe de légalité et le principe de proportionnalité des peines, garantis par la Charte des droits fondamentaux de l’Union européenne. Toute amende disproportionnée par rapport à la gravité de l’infraction pourrait être contestée sur ce fondement.
Proposition de Réponse aux Questions Préjudicielles
L’Avocate générale a proposé les réponses suivantes aux questions préjudicielles posées par la juridiction de renvoi :
1. Le terme « entreprise », à l’article 83, paragraphes 4 à 6, du RGPD, doit être interprété conformément au droit de la concurrence de l’Union. Lors de la fixation du montant maximal des amendes, le chiffre d’affaires à considérer est celui de l’entité économique dans son ensemble (le groupe Lars Larsen dans le cas présent).
2. Lors de la détermination de l’amende effective à infliger, la notion d’« entreprise » doit être appliquée de manière contextualisée, en tenant compte des circonstances spécifiques de chaque cas. Le chiffre d’affaires du groupe peut être pris en compte mais ne constitue qu’un élément parmi d’autres, au même titre que la gravité de l’infraction, les mesures correctrices, ou encore l’implication de la société mère.
3. Lorsqu’une amende est infligée dans le cadre d’une procédure pénale, les garanties fondamentales en matière de droit pénal, telles que le principe de proportionnalité, doivent être scrupuleusement respectées.
MOTIVATION DE LA COUR
L’arrêt rendu le 13 février 2025 par la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-383/23 effectue une clarification déterminante sur la notion d’« entreprise » dans le cadre du Règlement général sur la protection des données (RGPD), telle qu’évoquée à l’article 83, paragraphes 4 à 6, en lien avec le calcul des amendes administratives applicables en cas de violation de ce règlement. Le raisonnement motivé par la Cour s’appuie à la fois sur une analyse systématique des dispositions spécifiques du RGPD, ainsi que sur un rapprochement substantiel avec la jurisprudence du droit de la concurrence de l’Union, notamment les articles 101 et 102 TFUE.
Cette décision, tout en établissant une certaine continuité avec des arrêts précédents tels que Deutsche Wohnen (C-807/21), dépasse néanmoins un simple recadrage technique en articulant des exigences juridiques de proportionnalité et d’harmonisation avec la nécessaire efficacité des sanctions prévues par le RGPD.
Bien que la CJUE ait suivi l’essentiel des recommandations de l’Avocate générale, elle s’en est partiellement écartée sur un point spécifique lié à l’articulation entre les principes de proportionnalité et la notion d’« entreprise ». L’Avocate générale avait indiqué que la prise en compte du chiffre d’affaires global devait être limitée à des cas où la société mère exerçait un rôle direct dans la violation. La CJUE, en revanche, a retenu une approche plus large, considérant que la simple appartenance à une unité économique justifiait de prendre en compte le chiffre d’affaires global pour déterminer le plafond de l’amende, indépendamment d’un rôle actif ou direct de la société mère.
Par ailleurs, la Cour a davantage insisté sur la nécessité de ne pas altérer l’effet dissuasif des amendes, même lorsque celles-ci sont imposées dans un cadre pénal. Elle s’est également montrée plus explicite quant à la compatibilité entre la notion d’« entreprise » en droit de la concurrence et l’objectif fondamental du RGPD, à savoir la protection des droits fondamentaux des personnes physiques.
La portée de la notion d’« entreprise » : contextualisation sous l’angle du RGPD et du droit de la concurrence
La Cour commence par examiner la question fondamentale de l’interprétation du terme « entreprise » dans le cadre du RGPD. Elle se fonde sur le considérant 150 de ce règlement, qui renvoie explicitement à la définition d’entreprise adoptée dans le domaine du droit de la concurrence de l’Union, notamment aux articles 101 et 102 TFUE. Ces articles définissent une « entreprise » comme toute entité exerçant une activité économique, indépendamment de sa structure juridique et de son mode de financement, et insistent sur la notion d’unité économique.
La Cour explique que cette compréhension, développée au fil de décennies de jurisprudence en droit de la concurrence, est pertinente dans le contexte du RGPD pour plusieurs raisons. Tout d’abord, elle permet une prise en compte cohérente de la réalité économique sous-jacente en matière de traitement des données personnelles. Une entreprise, au sens économique, peut inclure plusieurs entités juridiques distinctes, mais dont les activités s’inscrivent dans une stratégie économique commune et sous une influence déterminante.
En outre, cette interprétation garantit que les amendes administratives prévues par le RGPD soient effectivement dissuasives, incluant la possibilité de calculer le plafond des pénalités sur la base du chiffre d’affaires global de l’unité économique et non pas seulement de l’entité juridique immédiatement responsable de la violation. À cet égard, la CJUE met l’accent sur le caractère dissuasif des sanctions comme un pilier fondamental de l’architecture normative du RGPD.
L’articulation entre la notion d’« entreprise » et le calcul des amendes administratives
La motivation de la CJUE repose sur une distinction clé entre deux étapes de la détermination des amendes administratives :
1. Le calcul du plafond de l’amende : La Cour affirme que, pour déterminer le montant maximal de l’amende (tel qu’établi par les pourcentages fixés à l’article 83, paragraphes 4 à 6), le chiffre d’affaires à prendre en compte est celui de l’ensemble de l’unité économique (c’est-à-dire le groupe d’entreprises) à laquelle appartient l’entité juridiquement responsable de la violation. Ce choix repose sur une lecture claire du considérant 150 et sur une volonté d’assurer un traitement uniforme des différentes entités économiques au niveau de l’Union.
2. La modulation de l’amende finale : Bien que le plafond repose sur la puissance économique de l’unité économique dans son ensemble, la CJUE insiste sur la nécessité d’adapter l’amende effective aux circonstances spécifiques du cas soumis à l’autorité compétente. Cette dernière doit, en vertu de l’article 83, paragraphe 2, prendre en compte un ensemble de critères englobant notamment la gravité et la durée de l’infraction, le nombre de personnes affectées, la coopération de l’entité fautive, ainsi que toute circonstance atténuante ou aggravante. L’objectif est de s’assurer que la sanction soit non seulement dissuasive, mais également proportionnée et équitable par rapport aux faits reprochés.
Cette distinction fondamentale est présentée par la CJUE comme un moyen de concilier les impératifs de proportionnalité, de légalité et d’équité, avec les exigences d’harmonisation et d’efficacité inscrites dans le RGPD. En d’autres termes, bien que la notion d’unité économique guide le calcul du plafond théorique de l’amende, elle ne supplante pas l’appréciation contextuelle des faits.
Les implications de l’interprétation retenue pour la protection des données personnelles
Le choix de calquer la compréhension de l’« entreprise » sur celle du droit de la concurrence n’est pas qu’un simple emprunt terminologique. Il reflète une vision ambitieuse du RGPD comme étant non seulement un instrument de protection des droits fondamentaux, mais également un outil de régulation adapté à une économie globalisée où les groupes multinationaux exercent souvent un contrôle déterminant sur des filiales éclatées juridiquement. Cette approche permet de pallier les stratégies de contournement par lesquelles de grands acteurs économiques pourraient minimiser artificiellement leur exposition aux sanctions en isolant leurs activités illicites dans des entités de moindre envergure. En d’autres termes, cette interprétation renforce l’effectivité des mécanismes de sanction inscrits dans le RGPD.
La CJUE souligne également que cette solution est conforme aux prescriptions de proportionnalité et d’équilibre exigées par la Charte des droits fondamentaux de l’Union européenne. En particulier, elle réaffirme que la prise en compte de l’unité économique ne saurait générer d’iniquités disproportionnées pour les entités impliquées. Par exemple, une filiale ayant agi de manière isolée et sans intervention directe de sa société mère pourrait voir son amende ajustée pour refléter cette réalité.
Si l’interprétation de la CJUE est fondée sur une logique cohérente, elle soulève néanmoins des interrogations sur certains points. Par exemple, l’insistance sur la notion d’unité économique pourrait parfois conduire à des résultats perçus comme excessivement sévères dans des situations où la société mère n’a qu’une très faible implication, voire aucune, dans les activités incriminées de sa filiale. Cela suscite un délicat équilibre entre les exigences de dissuasion et celles d’équité. De plus, l’interprétation retenue peut poser des problèmes d’articulation avec les systèmes nationaux où les amendes prévues par le RGPD sont de nature pénale, comme au Danemark. L’application des principes pénaux traditionnels, tels que la culpabilité personnelle, peut se retrouver en tension avec la logique économique et collective inhérente à la notion d’unité économique.
La détermination du montant de l’amende et une motivation ancrée dans les exigences de dissuasion et d’efficacité des sanctions
La CJUE s’appuie principalement sur le considérant 150 du RGPD, qui établit que la détermination des sanctions financières doit viser des objectifs de dissuasion et d’efficacité. Conformément à ce considérant, et à l’article 83, paragraphe 1, les amendes administratives doivent être proportionnées à la gravité de l’infraction, mais aussi dissuasives pour inciter au respect des règles sur la protection des données à caractère personnel. En prenant en compte le chiffre d’affaires mondial de l’entité économique (le groupe dans son ensemble) pour déterminer le plafond de l’amende, la CJUE ancre sa motivation dans une logique de politique législative visant à éviter que de grands groupes économiques puissent amoindrir la portée des sanctions en limitant artificiellement leur responsabilité à des filiales de moindre envergure.
La Cour souligne que, si seul le chiffre d’affaires de la filiale impliquée dans la violation était pris en considération, l’effet dissuasif pourrait être affaibli dans certains cas, en particulier lorsque la filiale n’exerce qu’une fonction limitée au sein d’un groupe plus important. En revanche, en prenant en compte le chiffre d’affaires de l’unité économique dans son ensemble, la CJUE vise à s’assurer que les grandes entreprises ne bénéficient pas indirectement d’une position avantageuse, et que les sanctions soient appliquées de manière équitable, indépendamment des structures organisationnelles complexes.
La distinction entre le plafond de l’amende et son montant effectif
L’un des aspects les plus notables de la motivation de la CJUE réside dans sa distinction entre deux étapes nécessaires pour le calcul des amendes administratives. Dans un premier temps, le montant maximal de l’amende est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial de l’entité économique, en application des articles 83, paragraphes 4 à 6. Ce plafond, fixé à 2 % ou 4 % du chiffre d’affaires mondial selon la gravité de l’infraction, constitue une limite légale destinée à empêcher l’arbitraire ou les excès dans l’imposition des sanctions.
Cependant — et c’est ici que le raisonnement gagne en subtilité — la Cour ne fait pas de cette logique une règle absolue pour le montant effectif de l’amende infligée. En vertu de l’article 83, paragraphe 2, du RGPD, la détermination de l’amende finale doit tenir compte des circonstances spécifiques du cas d’espèce, notamment la gravité de la violation, le degré de responsabilité de la filiale fautive, et toutes mesures correctives entreprises. La CJUE insiste donc sur le rôle des autorités de contrôle ou des juridictions nationales dans l’appréciation contextuelle des faits. Par conséquent, bien que la capacité économique de l’ensemble du groupe puisse justifier un montant élevé au titre de la proportionnalité, elle doit également être mise en balance avec des éléments contextuels afin de garantir une sanction juste.
Réconciliation du RGPD et des systèmes juridiques nationaux
Dans le contexte danois, où les amendes prévues par le RGPD prennent la forme de sanctions pénales imposées par les juridictions nationales, la CJUE a veillé à conjuguer les exigences du RGPD avec les principes fondamentaux du droit pénal. Plus précisément, la Cour a rappelé que les juridictions nationales doivent respecter le principe de proportionnalité des peines, garanti notamment par la Charte des droits fondamentaux de l’Union européenne. Cela inclut la prise en compte de la situation spécifique de la filiale sanctionnée, tout en veillant à préserver l’équivalence des effets entre les amendes administratives imposées dans d’autres États membres et les amendes pénales infligées au Danemark.
Cette approche, qui repose sur une articulation entre la capacité économique de l’unité économique et l’équité procédurale applicable dans le cadre pénal, illustre une démarche équilibrée de la CJUE. Elle vise à harmoniser les règles tout en respectant les particularités des systèmes juridiques des États membres. La Cour semble ainsi reconnaître que le caractère pénal des sanctions au Danemark ne saurait compromettre les objectifs dissuasifs et uniformes poursuivis par le RGPD.
Points de tensions et critiques de la motivation
Bien que la motivation de la CJUE soit globalement convaincante, elle n’échappe pas à certaines critiques, notamment en ce qui concerne l’application généralisée du chiffre d’affaires mondial comme critère de calcul du plafond de l’amende.
Premièrement, cette approche peut susciter des inquiétudes dans des cas où la société mère exerce une influence limitée ou n’intervient pas directement dans les activités conduisant à la violation. Dans ces hypothèses, l’imputation de la capacité économique globale pourrait paraître déconnectée de la responsabilité effective. Par exemple, la simple appartenance à une unité économique pourrait suffire à justifier une sanction élevée, même si la société mère n’a ni participé à l’infraction ni bénéficié directement de ses conséquences.
Deuxièmement, en pratique, cette méthode pourrait entraîner un effet disproportionné dans certaines configurations économiques. Une filiale de taille modeste, au sein d’un groupe largement internationalisé, pourrait se voir imposer une amende particulièrement élevée par rapport à ses moyens propres, du simple fait de son affiliation à une grande entité économique. Bien que la Cour ait prévu que le montant final de l’amende soit ajusté aux circonstances spécifiques, la prise en compte du chiffre d’affaires global demeure un critère potentiellement générateur d’inégalités.
Enfin, la CJUE semble s’en remettre largement à la capacité des juridictions nationales pour moduler les montants effectifs, tout en insistant sur l’effet dissuasif des sanctions. Or, cette double exigence pourrait être difficile à concilier dans des systèmes comme celui du Danemark, où les principes pénaux traditionnels, notamment celui de la culpabilité individuelle, pourraient limiter la prise en compte d’éléments liés à la structure économique du groupe.
FONDEMENTS JURISPRUDENTIELS & REGLEMENTAIRES
L’analyse de l’arrêt et des conclusions met en lumière une convergence du droit européen sur la notion d’unité économique appliquée aux sanctions administratives du RGPD. Les références judiciaires et doctrinales citées, comme Akzo Nobel et Deutsche Wohnen, fournissent une base solide pour appliquer le concept d’unité économique au calcul des amendes, tandis que les lignes directrices du CEPD complètent cette approche en garantissant l’harmonisation entre États membres.
1. Arrêt Akzo Nobel (C-97/08 P) : Portée : Définit la notion de “société mère exerçant une influence déterminante sur ses filiales” dans le cadre du droit de la concurrence; Fonde la notion d’« unité économique » utilisée dans l’interprétation de l’article 83 du RGPD.
2. Arrêt Sumal (C-882/19) : Portée : Explique comment une filiale peut être tenue pour responsable dans le cadre d’une infraction imputée à l’unité économique; Utilisé pour établir que la notion d’« entreprise » au sens du RGPD s’aligne sur celle des articles 101 et 102 TFUE.
3. Arrêt Deutsche Wohnen (C-807/21) : Portée : Confirme que la notion d’« entreprise » pour fixer les amendes dans le RGPD inclut l’unité économique globale, alignée sur le droit de la concurrence. – Sert à justifier la prise en compte du chiffre d’affaires mondial pour déterminer le plafond des amendes.
4. Arrêt Guardian Industries (C‑580/12 P): – Portée : Apprécie la pertinence du chiffre d’affaires global pour évaluer le pouvoir économique et déterminer des sanctions proportionnées.
– Aligné sur les objectifs dissuasifs du RGPD.
5. Arrêt General Química (C-90/09 P): – Portée : Expose les critères pour établir l’influence déterminante d’une société mère sur ses filiales. – Utilisé pour démontrer la responsabilité “globale” en matière de sanctions.
6. Arrêt Lafarge (C-413/08 P): – Portée : Analyse des majorations d’amendes pour dissuasion dans les cas de concurrence.- Sert à évaluer les critères de proportionnalité lors de l’imposition de sanctions.
2. Jurisprudence judiciaire nationale citée
1. France – Conseil d’État (19 juin 2020, n° 430810): – Portée : Se conforme à l’interprétation européenne sur la notion d’unité économique en matière de RGPD.
2. Autriche – Tribunal administratif fédéral (BVwG, 19 août 2019): – Portée : Analyse divergente sur l’application de l’unité économique au RGPD.
3. Lignes directrices ou référentiels du CEPD: Lignes directrices 04/2022 du Comité européen de la protection des données (CEPD) Publication : Adoptées le 24 mai 2023 – Contenu : Méthodologie harmonisée pour le calcul des amendes administratives. – Guide les autorités de contrôle pour intégrer des critères comme le chiffre d’affaires global tout en tenant compte de la gravité des infractions.