Qu'est-ce qu'une entreprise selon le RGPD ? La CJUE durcit le calcul des amendes

Qu'est-ce qu'une entreprise selon le RGPD ?
Catégories :
, ,

Le 13 février 2025, la Cour de justice de l'Union européenne (CJUE) a rendu une décision dans l'affaire C-383/23, qui a des conséquences importantes pour le calcul des amendes en vertu du règlement général sur la protection des données (RGPD) pourrait avoir. La décision portait essentiellement sur la question de savoir si le terme "entreprise" utilisé à l'article 83, paragraphes 4 à 6, de la loi sur les cartels pouvait être interprété de manière restrictive. RGPD doit être interprété au sens du droit de la concurrence de l'UE. Dans ce cas, le chiffre d'affaires total d'un groupe pourrait être pris en compte lors du calcul d'une amende si une filiale enfreint la RGPD n'est pas respectée.

Contexte de l'affaire

L'affaire concerne la chaîne danoise de magasins de meubles ILVA A/S, une filiale du groupe Lars Larsen. ILVA a été poursuivie par le ministère public danois pour avoir enfreint le règlement général sur la protection des données (RGPD) a été mise en accusation. La société est accusée données à caractère personnel d'au moins 350.000 anciens clients sur une période excessivement longue. Cela se ferait sans base légale et contrairement aux exigences de la RGPD en ce qui concerne la minimisation et la limitation du stockage des données.

L'autorité danoise de protection des données Datatilsyn a conclu, après enquête, que le Violation devait être considérée comme grave. Elle a recommandé une amende de 1,5 million de couronnes danoises (environ 201 000 euros). Le calcul de cette amende n'était pas uniquement basé sur le chiffre d'affaires d'ILVA, mais incluait le chiffre d'affaires total de la société mère Lars Larsen Group. L'autorité a fait valoir que l'unité économique était déterminante pour le montant de l'amende. L'effet dissuasif ne peut être garanti que si l'amende est calculée sur la base du chiffre d'affaires total du groupe.

Le tribunal de première instance, le Ret i Aarhus (tribunal d'Aarhus, Danemark), a toutefois considérablement réduit l'amende à 100.000 DKK (environ 13.400 euros). Il a justifié cette décision par le fait que seule l'ILVA en tant que personne morale faisait l'objet de la procédure et non l'ensemble du groupe. En outre, le tribunal a admis que l'ILVA avait agi dans ce cas par négligence, mais pas intentionnellement.

Le ministère public danois a fait appel de ce jugement devant le Vestre Landsret (tribunal de grande instance pour l'ouest du Danemark). Il a fait valoir que le terme "entreprise" utilisé à l'article 83, paragraphes 4 à 6, de la loi sur la concurrence, n'était pas suffisamment précis. RGPD doit être interprétée conformément à la notion d'entreprise en droit de l'Union. Selon elle, le chiffre d'affaires total de l'entité économique, c'est-à-dire du groupe, doit être pris en compte dans le calcul de l'amende. Cela a finalement conduit à la présentation de l'affaire devant la CJCE afin d'obtenir une clarification contraignante de cette question juridique.

Ces questions juridiques ont été portées devant la CJCE

Le Vestre Landsret a posé deux questions préjudicielles centrales à la CJCE :

  1. La notion d'"entreprise" visée à l'article 83, paragraphes 4 à 6, est-elle RGPD doit-il être compris conformément au droit de la concurrence de l'UE, c'est-à-dire comprend-il toute entité économique, indépendamment de sa forme juridique ?
  2. Dans l'affirmative, le calcul de l'amende doit-il prendre en compte le chiffre d'affaires annuel total de l'entité économique ou uniquement celui de la filiale spécifique ?

Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - quel pouvoir discrétionnaire pour une autorité de protection des données ?

CJCE : les entreprises doivent être interprétées selon le droit de la concurrence

La CJCE a décidé que le terme "entreprise" de l'art. 83, paragraphes 4 à 6 RGPD doit être interprétée conformément au droit de la concurrence. La Cour suit ainsi sa jurisprudence antérieure relative à la responsabilité des entreprises en vertu du droit de la concurrence, conformément aux articles 101 et 102 du TFUE.

Dans les motifs détaillés de son arrêt, la CJCE a souligné que RGPD ne doit pas être considérée isolément. Elle doit être comprise dans le contexte des règles économiques du droit de l'Union. Cela signifie que la notion d'"entreprise" ne se limite pas aux seules personnes morales, mais qu'elle englobe l'ensemble de l'entité économique, qui peut inclure les sociétés mères et les filiales.

La CJUE a en outre précisé qu'une amende pour infraction au RGPD ne peut pas être calculée uniquement sur la base du chiffre d'affaires de la filiale directement responsable. Selon elle, c'est plutôt le chiffre d'affaires total du groupe qui est pertinent, à condition que la concernés société fait partie intégrante de l'entité économique et que la société mère exerce une influence sur ses décisions commerciales.

Un aspect central de l'arrêt était de savoir si et dans quelle mesure la réalité économique l'emportait sur la considération juridique. La Cour a réaffirmé que le principe de "l'unité économique" était déjà ancré dans le droit de la concurrence de l'UE et qu'il était nécessaire pour l'application des RGPD s'applique de la même manière. Cela empêche les entreprises de contourner des amendes moins élevées en mettant en place des structures internes complexes.

Enfin, la CJCE s'est penchée sur l'impact sur l'effet dissuasif des amendes en vertu de la RGPD. Une amende qui ne prendrait en compte que le chiffre d'affaires d'une filiale pourrait constituer une sanction relativement faible pour les grands groupes et n'aurait donc pas l'effet dissuasif souhaité. Une approche à l'échelle du groupe est donc nécessaire pour garantir que les amendes soient proportionnées et efficaces.

La CJCE se montre pragmatique dans sa motivation

Dans son arrêt, la CJCE adopte une approche pragmatique qui permet une mise en œuvre effective des RGPD sans pour autant négliger les droits des entreprises concernées.

Le raisonnement de la CJCE se fonde sur les arguments suivants :

  1. Objectif d'harmonisation de la RGPD: Le site RGPD poursuit l'objectif d'une application uniforme du droit de la protection des données dans toute l'Union européenne. Pour garantir cela, les amendes doivent non seulement être efficaces et proportionnées, mais aussi avoir un effet dissuasif. La CJUE a souligné la nécessité d'empêcher les grands groupes de contourner l'application des règles relatives aux amendes en structurant habilement leur entreprise, ce qui leur permettrait d'obtenir des amendes moins élevées.
  2. Parallèles avec le droit de la concurrence : La CJCE a fondé sa décision sur la notion d'entreprise en droit de l'Union, conformément aux articles 101 et 102 du TFUE. Selon cette conception, une entité économique est considérée comme un tout, quel que soit le nombre de personnes morales qui la composent. Cela signifie que la réalité économique prime sur la structure juridique formelle. L'objectif est d'éviter que les entreprises ne s'isolent en répartissant en interne la responsabilité de la Responsabilité civile se priver.
  3. Effet dissuasif des sanctions : La Cour a souligné qu'une amende calculée uniquement sur la base du chiffre d'affaires de la filiale directement concernée représente souvent une charge économique négligeable pour les grandes entreprises multinationales. Pour garantir un effet dissuasif suffisant, il convient donc de se baser sur le chiffre d'affaires de l'ensemble de l'entité économique. Cela permettrait également d'éviter que les groupes ne contournent les mécanismes de sanction du RGPD en créant de nombreuses petites filiales.
  4. Principe de proportionnalité : Dans le même temps, la CJCE a précisé que le principe de proportionnalité devait toujours être respecté lors du calcul concret de l'amende. Cela signifie que l'amende la plus élevée n'est pas automatiquement appliquée, mais que toutes les circonstances individuelles du cas d'espèce doivent être prises en compte, comme la nature, la gravité et la durée de l'infraction ainsi que la volonté de l'entreprise de coopérer avec les autorités de surveillance.

Impact sur la pratique des entreprises

La décision de la CJCE a des implications importantes pour le calcul et l'imposition d'amendes dans le cadre de la RGPD. Elle entraîne des changements considérables, en particulier pour les entreprises et les groupes opérant à l'échelle internationale. Les principales conséquences peuvent être regroupées en plusieurs aspects essentiels :

  1. étendu Responsabilité civile pour les grands groupes : En confirmant le principe d'unité économique, les sociétés mères seront potentiellement plus Responsabilité civile pour les violations de données de leurs filiales. Cela signifie que les violations sont considérées non seulement au niveau de l'entreprise, mais aussi au niveau du groupe, ce qui augmente considérablement l'exposition au risque pour les groupes d'entreprises.
  2. Augmentation des amendes : Étant donné que le chiffre d'affaires total de l'entité économique peut servir de base de calcul pour les amendes, les pénalités pourraient dans la pratique être nettement plus élevées qu'auparavant. Cela pourrait avoir des conséquences financières importantes, en particulier pour les grandes entreprises multinationales dont le chiffre d'affaires total est élevé.
  3. Nouvelles stratégies de conformité : Les entreprises doivent veiller davantage à ce que toutes leurs filiales respectent des directives strictes en matière de protection des données. Il en résulte que la gestion de la protection des données doit être systématiquement étendue à l'ensemble des groupes d'entreprises. Les mécanismes d'audit interne et les structures de contrôle gagneront en importance afin d'empêcher les infractions à l'échelle du groupe.
  4. Pression accrue sur les structures des entreprises : Les groupes d'entreprises doivent définir plus clairement leurs responsabilités internes et s'assurer que la conformité au RGPD ne se limite pas à une seule entité juridique. La jurisprudence pourrait amener les entreprises à repenser la structure de leur groupe afin de mieux gérer les risques.
  5. Harmonisation des sanctions au sein de l'UE : En se référant au droit de la concurrence, la CJUE crée une plus grande harmonisation des sanctions pour les infractions au RGPD dans l'ensemble de l'Union européenne. Cela assure une application plus uniforme des règles et empêche les différents États membres de permettre une sanction moins sévère par des interprétations différentes.
  6. Dissuasion accrue pour les entreprises : Cette décision fait en sorte que les infractions à la protection des données ne puissent plus être compensées par des sanctions relativement faibles. Les entreprises doivent désormais veiller à ce que la conformité en matière de protection des données reste un élément central de la gestion de l'entreprise afin d'éviter des sanctions financières élevées.

Conclusion

L'arrêt de la CJCE dans l'affaire C-383/23 représente un jalon important dans l'application de la RGPD et renforce considérablement l'efficacité des règles de protection des données dans l'Union européenne. Cette décision montre que les principes du droit de la concurrence peuvent également s'appliquer aux sanctions prévues par la législation sur la protection des données, afin de garantir une sanction efficace et équitable des infractions.

L'inclusion du chiffre d'affaires du groupe comme base de calcul des amendes garantit que même les grands groupes d'entreprises sont tenus pour responsables de manière appropriée des infractions à la protection des données. Cela empêche les groupes d'éviter ou de minimiser les amendes par des structurations internes habiles. La décision contribue ainsi à garantir une application uniforme et équitable des RGPD dans toute l'UE.

En outre, l'arrêt envoie un signal clair aux entreprises que les violations de la protection des données peuvent avoir de graves conséquences financières. Son effet dissuasif incitera les entreprises à intégrer davantage la conformité en matière de protection des données dans leurs stratégies commerciales et à s'assurer que toutes leurs filiales se conforment à la RGPD correspondent.

Dans l'ensemble, l'arrêt contribue à faciliter l'application des RGPD de renforcer la protection des consommateurs en fixant des critères clairs pour l'évaluation des amendes et en encourageant les entreprises à le faire, Protection des données comme une obligation légale et éthique centrale. Cette décision aura sans aucun doute un impact à long terme sur la conception des politiques de protection des données et des structures d'entreprise.

Source : Arrêt de la CJCE du 13 février 2025 (C-383/23)

Prendre contact
Les tags :
,
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages