ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

Qu'est-ce qu'une entreprise selon le RGPD ? La CJUE durcit le calcul des amendes

Qu'est-ce qu'une entreprise selon le RGPD ?
Catégories :
, ,

Le 13 février 2025, la Cour de justice de l'Union européenne (CJUE) a rendu une décision dans l'affaire C-383/23 qui pourrait avoir des conséquences importantes pour le calcul des amendes en vertu du règlement général sur la protection des données (RGPD). La décision était centrée sur la question de savoir si le terme "entreprise" de l'article 83, paragraphes 4 à 6 du RGPD devait être interprété au sens du droit de la concurrence de l'UE. Dans ce cas, le chiffre d'affaires total d'un groupe pourrait être pris en compte dans le calcul d'une amende si une filiale enfreint le RGPD.

Contexte de l'affaire

L'affaire concerne la chaîne danoise de magasins de meubles ILVA A/S, une filiale du groupe Lars Larsen. ILVA a été inculpée par le parquet danois pour avoir enfreint le règlement général sur la protection des données (RGPD). L'entreprise aurait conservé les données personnelles d'au moins 350.000 anciens clients pendant une période excessivement longue. Cela aurait été fait sans base légale et contrairement aux exigences du RGPD en matière de minimisation et de limitation du stockage des données.

Après enquête, l'autorité danoise de protection des données Datatilsyn a conclu que l'infraction devait être considérée comme grave. Elle a recommandé une amende de 1,5 million de couronnes danoises (environ 201 000 euros). Le calcul de cette amende n'était pas uniquement basé sur le chiffre d'affaires d'ILVA, mais incluait le chiffre d'affaires total de la société mère Lars Larsen Group. L'autorité a fait valoir que l'unité économique était déterminante pour le montant de l'amende. L'effet dissuasif ne peut être garanti que si l'amende est calculée sur la base du chiffre d'affaires total du groupe.

Le tribunal de première instance, le Ret i Aarhus (tribunal d'Aarhus, Danemark), a toutefois considérablement réduit l'amende à 100.000 DKK (environ 13.400 euros). Il a motivé sa décision par le fait que seule l'ILVA en tant que personne morale faisait l'objet de la procédure et non l'ensemble du groupe. En outre, le tribunal a admis que l'ILVA avait agi dans ce cas par négligence, mais pas intentionnellement.

Le ministère public danois a fait appel de ce jugement devant le Vestre Landsret (tribunal de grande instance pour l'ouest du Danemark). Il a fait valoir que le terme "entreprise" de l'article 83, paragraphes 4 à 6, du RGPD devait être interprété conformément à la notion d'entreprise en droit de l'Union. Selon elle, le chiffre d'affaires total de l'entité économique, c'est-à-dire du groupe, doit être pris en compte dans le calcul de l'amende. Cela a finalement conduit à la soumission de l'affaire à la CJUE afin d'obtenir une clarification contraignante de cette question juridique.

Ces questions juridiques ont été portées devant la CJCE

Le Vestre Landsret a posé deux questions préjudicielles centrales à la CJCE :

  1. Le terme "entreprise" de l'article 83, paragraphes 4 à 6, du RGPD doit-il être compris en conformité avec le droit de la concurrence de l'UE, c'est-à-dire qu'il englobe toute entité économique, indépendamment de sa forme juridique ?
  2. Dans l'affirmative, le calcul de l'amende doit-il prendre en compte le chiffre d'affaires annuel total de l'entité économique ou uniquement celui de la filiale spécifique ?

Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - quel pouvoir discrétionnaire pour une autorité de protection des données ?

CJCE : les entreprises doivent être interprétées selon le droit de la concurrence

La CJUE a décidé que le terme "entreprise" de l'article 83, paragraphes 4 à 6 du RGPD devait être interprété conformément au droit de la concurrence. La Cour suit ainsi sa jurisprudence antérieure concernant la responsabilité des entreprises en matière de droit de la concurrence, conformément aux articles 101 et 102 du TFUE.

Dans les motifs détaillés de son arrêt, la CJUE a souligné que le RGPD ne devait pas être considéré isolément. Il doit être compris dans le contexte des dispositions économiques du droit de l'Union. Cela signifie que le terme "entreprise" ne se limite pas uniquement aux personnes morales individuelles, mais qu'il englobe l'ensemble de l'entité économique, qui peut également comprendre les sociétés mères et les filiales.

La CJUE a en outre précisé qu'une amende pour infraction au RGPD ne peut pas être calculée uniquement sur la base du chiffre d'affaires de la filiale directement responsable. Au contraire, le chiffre d'affaires total du groupe est pertinent, dans la mesure où la société concernée fait partie intégrante de l'entité économique et où la société mère exerce une influence sur ses décisions commerciales.

Un aspect central de l'arrêt était la question de savoir si et dans quelle mesure la réalité économique l'emporte sur la considération juridique. La Cour a réaffirmé que le principe de "l'unité économique" était déjà ancré dans le droit de la concurrence de l'UE et qu'il s'appliquait de la même manière à l'application du RGPD. Cela empêche les entreprises d'éviter des amendes moins élevées grâce à des structurations internes complexes.

Enfin, la CJUE s'est penchée sur l'impact sur l'effet dissuasif des amendes prévues par le RGPD. Une amende qui ne prendrait en compte que le chiffre d'affaires d'une filiale pourrait constituer une sanction relativement faible pour les grands groupes et n'aurait donc pas l'effet dissuasif souhaité. C'est pourquoi, selon lui, il est nécessaire de prendre en compte l'ensemble du groupe afin de s'assurer que les amendes sont proportionnées et efficaces.

La CJCE se montre pragmatique dans sa motivation

Dans son arrêt, la CJUE adopte une approche pragmatique visant à garantir une mise en œuvre efficace du RGPD, sans pour autant négliger les droits des entreprises concernées.

Le raisonnement de la CJCE se fonde sur les arguments suivants :

  1. Objectif d'harmonisation du RGPD : Le RGPD poursuit l'objectif d'une application uniforme du droit de la protection des données dans toute l'Union européenne. Pour garantir cela, les amendes doivent non seulement être efficaces et proportionnées, mais aussi avoir un effet dissuasif. La CJUE a souligné qu'il fallait éviter que les grands groupes contournent l'application des règles en matière d'amendes en structurant habilement leur entreprise et obtiennent ainsi des sanctions moins élevées.
  2. Parallèles avec le droit de la concurrence : La CJCE a fondé sa décision sur la notion d'entreprise en droit de l'Union, conformément aux articles 101 et 102 du TFUE. Selon cette conception, une entité économique est considérée comme un tout, quel que soit le nombre de personnes morales qui la composent. Cela signifie que la réalité économique prime sur la structure juridique formelle. L'objectif est d'éviter que les entreprises n'échappent à leur responsabilité en se répartissant les responsabilités en interne.
  3. Effet dissuasif des sanctions : La Cour a souligné qu'une amende calculée uniquement sur la base du chiffre d'affaires de la filiale directement concernée représente souvent une charge économique négligeable pour les grandes entreprises multinationales. Pour garantir un effet dissuasif suffisant, il convient donc de se baser sur le chiffre d'affaires de l'ensemble de l'entité économique. Cela permettrait également d'éviter que les groupes ne contournent les mécanismes de sanction du RGPD en créant de nombreuses petites filiales.
  4. Principe de proportionnalité : Dans le même temps, la CJCE a précisé que le principe de proportionnalité devait toujours être respecté lors du calcul concret de l'amende. Cela signifie que l'amende la plus élevée n'est pas automatiquement appliquée, mais que toutes les circonstances individuelles du cas d'espèce doivent être prises en compte, comme la nature, la gravité et la durée de l'infraction ainsi que la volonté de l'entreprise de coopérer avec les autorités de surveillance.

Impact sur la pratique des entreprises

La décision de la CJUE a des conséquences importantes sur le calcul et l'imposition d'amendes dans le cadre du RGPD. Elle entraîne des changements considérables, en particulier pour les entreprises et les groupes opérant à l'échelle internationale. Les principales conséquences peuvent être divisées en plusieurs aspects centraux :

  1. Responsabilité élargie pour les groupes de sociétés : En confirmant le principe de l'unité économique, les sociétés mères sont potentiellement plus impliquées dans la responsabilité des violations de données commises par leurs filiales. Cela signifie que les violations seront considérées non seulement au niveau de l'entreprise, mais aussi au niveau du groupe, ce qui augmente considérablement l'exposition aux risques pour les groupes d'entreprises.
  2. Augmentation des amendes : Étant donné que le chiffre d'affaires total de l'entité économique peut servir de base de calcul pour les amendes, les pénalités pourraient dans la pratique être nettement plus élevées qu'auparavant. Cela pourrait avoir des conséquences financières importantes, en particulier pour les grandes entreprises multinationales dont le chiffre d'affaires total est élevé.
  3. Nouvelles stratégies de conformité : Les entreprises doivent veiller davantage à ce que toutes leurs filiales respectent des directives strictes en matière de protection des données. Il en résulte que la gestion de la protection des données doit être systématiquement étendue à l'ensemble des groupes d'entreprises. Les mécanismes d'audit interne et les structures de contrôle gagneront en importance afin d'empêcher les infractions à l'échelle du groupe.
  4. Pression accrue sur les structures des entreprises : Les groupes d'entreprises doivent définir plus clairement leurs responsabilités internes et s'assurer que la conformité au RGPD ne se limite pas à une seule entité juridique. La jurisprudence pourrait amener les entreprises à repenser la structure de leur groupe afin de mieux gérer les risques.
  5. Harmonisation des sanctions au sein de l'UE : En se référant au droit de la concurrence, la CJUE crée une plus grande harmonisation des sanctions pour les infractions au RGPD dans l'ensemble de l'Union européenne. Cela assure une application plus uniforme des règles et empêche les différents États membres de permettre une sanction moins sévère par des interprétations différentes.
  6. Dissuasion accrue pour les entreprises : Cette décision fait en sorte que les infractions à la protection des données ne puissent plus être compensées par des sanctions relativement faibles. Les entreprises doivent désormais veiller à ce que la conformité en matière de protection des données reste un élément central de la gestion de l'entreprise afin d'éviter des sanctions financières élevées.

Conclusion

L'arrêt de la CJUE dans l'affaire C-383/23 constitue une étape importante dans l'application du RGPD et renforce considérablement l'efficacité des règles de protection des données dans l'Union européenne. La décision montre que les principes du droit de la concurrence peuvent également s'appliquer aux sanctions prévues par la législation sur la protection des données, afin de garantir une sanction efficace et équitable des infractions.

L'inclusion du chiffre d'affaires du groupe comme base de calcul des amendes garantit que même les grands groupes d'entreprises sont tenus pour responsables de manière appropriée des infractions à la protection des données. Cela empêche les groupes d'éviter ou de minimiser les amendes par des structurations internes habiles. La décision contribue ainsi à établir une application uniforme et équitable du RGPD dans l'ensemble de l'UE.

En outre, l'arrêt envoie un signal clair aux entreprises que les violations de la protection des données peuvent avoir de graves conséquences financières. L'effet dissuasif de cette réglementation incitera les entreprises à intégrer davantage la conformité en matière de protection des données dans leurs stratégies commerciales et à s'assurer que toutes leurs filiales respectent les exigences du RGPD.

Dans l'ensemble, l'arrêt contribue à renforcer l'application du RGPD en établissant des critères clairs pour l'évaluation des amendes et en encourageant les entreprises à considérer la protection des données comme une obligation légale et éthique essentielle. Cette décision aura sans aucun doute un impact à long terme sur la conception des politiques de protection des données et des structures d'entreprise.

Source : Arrêt de la CJCE du 13 février 2025 (C-383/23)

Prendre contact
Les tags :
,
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench