La Cour de Justice de l’Union Européenne s’est récemment positionnée sur un sujet crucial en matière de RGPD : comment calculer le montant de l’amende pour une entité faisant partie d’un groupe de sociétés ? Doit-on tenir compte du chiffre d’affaires de l’entité objet de la sanction ou celui du groupe auquel elle appartient ?
L’affaire opposait une société danoise, exploitante d’une chaine de magasins et appartenant à un groupe de sociétés, à l’autorité de protection des données danoise. Cette dernière reprochait à la société un manquement au RGPD relativement à la conservation de données personnelles de ses clients. En conséquence, l’autorité a prononcé contre la société une amende administrative d’un montant équivalent à environ à 200.000 euros, montant calculé non seulement au regard du chiffre d’affaires réalisé par la société (équivalent à environ 280.000 euros), mais aussi à celui réalisé par le groupe auquel elle appartient (880.000 euros). Contestant une telle règle de calcul, la société a formé un recours. La juridiction de 1ère instance a réduit le montant de l’amende à 10.000 euros en considérant notamment qu’il n’y avait pas lieu de tenir compte du chiffre d’affaires du groupe. L’autorité de protection des données a remis en cause une telle position et fait appel de cette décision. C’est dans ce cadre que la CJUE a été saisie de la problématique.
Pour mémoire, le RGPD prévoit à son article 83 (§1 et §2) que l’autorité de protection des données doit veiller à ce que l’amende soit effective, proportionnée et dissuasive. A cette fin, l’autorité doit tenir compte de plusieurs éléments tels que la nature, la gravité et la durée de la violation, le nombre de personnes concernées affectées, le fait que la violation a été commise délibérément ou par négligence, etc. A cela s’ajoute la condition de la « capacité économique réelle ou matérielle » de l’organisme objet de la sanction[1]. Aussi, il est prévu à ce même article 83 (§4 et §6) que, pour certains manquements d’une particulière gravité, l’amende prononcée par une autorité de protection des données peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise.
Mais qu’entend-on par « entreprise » ?
La CJUE a jugé, à la lumière du considérant 150 du RGPD, qu’il faut entendre la notion d’ « entreprise » comme celle définie aux articles 101 et 102 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Il s’agit donc d’ « une unité économique », à avoir « une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé » et ce, « même si, du point de vue juridique, [elle] est constituée de plusieurs personnes physiques ou morale ».
La CJUE en a tiré deux conséquences :
- Le montant maximal de l’amende administrative encouru par une entité, « qui est ou fait partie d’une entreprise », est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’« entreprise » concernée, et ainsi du groupe auquel appartient l’entité ;
- Le montant final de l’amende, lequel doit être effectif, proportionné et dissuasif, est déterminé en tenant également compte de cette notion d’ « entreprise », et donc, encore une fois, du groupe auquel appartient l’entité destinataire de l’amende.
Que faut-il en retenir ?
Toute société faisant partie d’un groupe de sociétés et répondant aux critères de l’unité économique telle que définie par les règles de la concurrence (articles 101 et 102 du TFUE) s’expose à un risque d’amende d’un montant potentiellement conséquent dans la mesure où il est fixé notamment au regard du chiffre d’affaires réalisé par le groupe.
Il est donc plus que jamais temps pour les entreprises de s’assurer de leur conformité RGPD, avec l’appui de leur groupe, le cas échéant.
Source : CJUE 13 février 2025 (affaire C‑383/23)
[1] En ce sens, CJUE 5 décembre 2023, C-807/21.