Dans une décision rendue le 13 février 2025, la Cour de justice de l'Union européenne (CJUE) a précisé les règles pour fixer le montant d'une amende prononcée en cas de violation du Règlement général sur la protection des données, lorsque le responsable du traitement est la filiale d'un groupe. Le principe est le suivant : le montant maximal de l'amende doit être calculé en fonction du chiffre d'affaires annuel mondial du groupe, et pas uniquement de la filiale, mais l'amende réelle repose sur un ensemble de critères plus large.
Comment interpréter le terme "entreprise" ?
Il s'agissait d'une question préjudicielle posée par la cour d'appel de la région Ouest du Danemark à propos de l'interprétation de l'article 83 du RGPD. Il traite des conditions générales pour l'imposition des amendes en cas de violation du texte. Plus précisément, le juge danois souhaitait savoir comment le terme "entreprise" devait être interprété : doit-il l'être au sens du droit européen de la concurrence comme "toute entité exerçant une activité économique, indépendamment de son statut juridique et de la manière dont elle est financée" ?
Dans l'affirmatif, lors de l’imposition d’une amende à une entreprise, il convient de prendre en compte le chiffre d’affaires annuel total de l’entité économique dont l’entreprise fait partie, ou bien seulement le chiffre d’affaires annuel total de l’entreprise elle-même ?, se demandait également le tribunal danois.
Dans le détail, la cour d'appel de la région Ouest devait trancher un litige opposant le ministère public danois et l'entreprise ILVA, une chaîne de magasins de meubles qui fait partie du groupe Lars Larsen Group. La filiale avait été reconnue coupable d'avoir failli à ses obligations en matière de conservation des données personnelles de ses anciens clients.
La Datatilsynet mise sur le chiffre d'affaires global du groupe
Alors que le ministère public estimait que le chiffre d'affaires du groupe devait être pris en compte, le tribunal municipal d’Aarhus (juridiction de première instance) avait jugé que, dans la mesure où seule ILVA faisait l’objet de poursuites, il n’y avait pas lieu de prendre en compte le chiffre d’affaires du groupe pour déterminer le montant de l’amende. Le ministère public avait sollicité l'avis de la Datatilsynet, l'équivalent de la Cnil au Danemark, qui avait estimé que le calcul du montant devait être fondé non seulement sur le chiffre d’affaires d’ILVA, mais également sur le chiffre d’affaires global du groupe Lars Larsen Group.
Pour répondre à cette interrogation, la Cour de justice de l'Union européenne établit une distinction entre le montant maximal de l'amende et le calcul du montant réel de l'amende. En effet, elle juge que, si le chiffre d'affaires du groupe peut être utilisé comme un facteur pertinent afin de calculer le montant réel de l'amende, il ne peut pas être le seul critère pris en compte. L'idée est de prendre en compte les spécificités de la filiale et de l'infraction (nature, durée, efforts d'atténuation...) ; l'amende devait être "effective, proportionnée et dissuasive", rappellent les juges européens.
Vers une conformité globale intégrant les filiales
Ce n'est pas la première fois que la Cour de justice de l'Union européenne précise les règles applicables à la fixation du montant en cas de violation du RGPD. Dans un arrêt du 5 décembre 2023, elle avait jugé que l’amende devait être proportionnelle à la gravité de la violation et au chiffre d’affaires global du groupe, et non seulement à celui de la filiale en cause. Autrement dit, les sanctions peuvent être beaucoup plus élevées. Ce qui oblige les groupes à être plus vigilants à la manière dont ils gèrent le traitement des données personnelles par leurs filiales.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
