Les dispositions clés du RGPD
L’article 83 du RGPD encadre les conditions d’imposition des amendes administratives. Les paragraphes 4 à 6 prévoient un plafond calculé soit en valeur absolue (10 ou 20 millions d’euros), soit en pourcentage du chiffre d’affaires annuel mondial de l’« entreprise » (2 % ou 4 %). Le considérant 150 renvoie explicitement aux articles 101 et 102 TFUE pour définir la notion d’entreprise, intégrant ainsi une approche économique unitaire dépassant les personnalités juridiques distinctes.
Le cadre juridique danois
Le Danemark, en vertu de l’article 83(9) RGPD, a transposé ce régime via des sanctions pénales. L’article 41 de la loi danoise no 502 habilite les juridictions à infliger des amendes en tenant compte des critères du RGPD, mais sans préciser si le chiffre d’affaires du groupe doit être intégré.
Les manquements d’ILVA A/S
ILVA A/S, filiale du groupe Lars Larsen, a conservé illégalement les données personnelles de 350 000 clients entre mai 2018 et janvier 2019. L’Autorité danoise de protection des données (Datatilsynet) a recommandé une amende de 1,5 million de couronnes danoises (environ 201 000 €), calculée sur la base du chiffre d’affaires consolidé du groupe (6,57 milliards de couronnes). Le tribunal de première instance d’Aarhus a toutefois minoré l’amende à 100 000 couronnes (13 400 €), arguant que seule la filiale était poursuivie et que son activité était autonome.
La question du groupe économique
Le ministère public danois a soutenu en appel que la notion d’« entreprise » au sens du RGPD devait s’entendre comme une unité économique incluant la société mère et ses filiales, conformément aux règles de concurrence. ILVA, à l’inverse, plaidait pour une interprétation restrictive limitée à sa personne juridique.
Les questions préjudicielles
Le Vestre Landsret (Cour d’appel de la région Ouest) a posé deux questions à la CJUE :
1. La notion d’entreprise au sens du RGPD : Doit-elle être alignée sur celle des articles 101 et 102 TFUE, englobant toute entité économique indépendamment de sa structure juridique ?
2. Le chiffre d’affaires pertinent : En cas de réponse affirmative, faut-il retenir le chiffre d’affaires de l’entité économique globale ou uniquement celui de la filiale sanctionnée ?
Analyse de la Cour
La notion d’« entreprise » : Un emprunt au droit de la concurrence
La Cour rappelle sa jurisprudence Deutsche Wohnen (C-807/21) : la référence aux articles 101 et 102 TFUE vise à définir l’unité économique plutôt que la personne morale individuelle. Une entreprise au sens du RGPD inclut ainsi toutes les entités formant une organisation économique unifiée, dès lors qu’elles partagent une direction commune et une stratégie commerciale intégrée.
Le critère de l’« influence déterminante »
La Cour valide la présomption selon laquelle une société mère exerçant un contrôle exclusif ou quasi exclusif sur une filiale forme avec elle une unité économique. Cette présomption, empruntée au droit des pratiques anticoncurrentielles, s’applique même si la filiale dispose d’une autonomie opérationnelle.
Le calcul de l’amende : Capacité économique réelle
L’article 83(1) RGPD impose que l’amende soit « effective, proportionnée et dissuasive ». La Cour souligne que le chiffre d’affaires consolidé du groupe est un indice essentiel de sa capacité économique. Ignorer cette dimension reviendrait à permettre aux groupes de fragmenter leurs activités pour minorer artificiellement les sanctions.
Distinction entre montant maximal et amende effective
La Cour précise que le chiffre d’affaires consolidé détermine le plafond légal (première étape), tandis que l’amende effective (deuxième étape) doit intégrer les circonstances spécifiques : gravité de la violation, mesures correctives, coopération avec l’autorité. Les juridictions nationales doivent ainsi vérifier si le groupe a bénéficié de la violation ou exercé un contrôle sur la filiale.
Implications
Pour les groupes multinationaux
L’arrêt renforce la responsabilisation des maisons mères, qui ne peuvent plus s’abriter derrière l’autonomie juridique de leurs filiales. Une vigilance accrue est requise sur :
– La gouvernance des données au sein du groupe.
– Les mécanismes de contrôle interne pour prévenir les violations.
Pour les autorités de protection
L’arrêt légitime l’usage d’indicateurs économiques consolidés, permettant des sanctions alignées sur la puissance financière réelle des contrevenants. Les autorités nationales devront cependant motiver spécifiquement le recours au chiffre d’affaires global, notamment en démontrant le lien entre la violation et la stratégie du groupe.
Conclusion
La CJUE, en harmonisant la notion d’entreprise entre RGPD et droit de la concurrence, affirme une logique de responsabilité économique élargie. Ce cadre impose aux opérateurs une diligence renforcée dans la supervision de leurs filiales, tandis que les juges nationaux devront articuler rigoureusement les impératifs de proportionnalité et de dissuasion.
Analyse approfondie des manquements