### **Violation du RGPD : la Cour de justice de l’UE précise le calcul des amendes contre une filiale** --- ## **Un arrêt crucial pour l’application des sanctions du RGPD** Dans un **arrêt rendu le 13 février 2025**, la **Cour de justice de l’Union européenne (CJUE)** a clarifié l’interprétation du terme **« entreprise »** dans le cadre du **calcul des amendes administratives** pour violation du **Règlement général sur la protection des données (RGPD)**. L’affaire concernait **ILVA A/S**, une filiale d’un groupe danois, condamnée pour non-respect de ses obligations en matière de protection des données personnelles. Le principal point d’achoppement résidait dans la **méthode de calcul de l’amende** imposée par l’autorité de contrôle danoise. Faut-il se baser uniquement sur **le chiffre d’affaires de la filiale concernée** ou bien tenir compte de **l’ensemble du chiffre d’affaires du groupe** auquel elle appartient ? La **CJUE a tranché** : une amende **peut être calculée sur la base du chiffre d’affaires mondial total du groupe** lorsqu’une filiale fait partie d’une **unité économique intégrée**, conformément à la définition du droit de la concurrence de l’UE. --- ## **Une amende basée sur l’ensemble du groupe, pas uniquement la filiale** L’arrêt repose sur une **interprétation extensive de la notion d’« entreprise »**, en s’appuyant sur la jurisprudence en matière de **droit de la concurrence européen** (articles **101 et 102 TFUE**). Selon la Cour, une entreprise n’est pas uniquement une entité juridique distincte, mais une **unité économique globale** comprenant **la société mère et ses filiales**. ### **Quelles conséquences pour le calcul des amendes ?** - **Montant maximal des amendes** : L’article **83 du RGPD** prévoit des sanctions pouvant aller jusqu’à **4 % du chiffre d’affaires annuel mondial total**. La Cour précise que ce pourcentage peut être appliqué **au chiffre d’affaires global du groupe** et non à celui de la seule filiale en cause. - **Objectifs des sanctions** : La CJUE rappelle que les amendes doivent être **effectives, proportionnées et dissuasives**. Un simple calcul basé sur le chiffre d’affaires d’une filiale pourrait ne pas suffire à assurer un **effet réellement dissuasif** pour les grandes multinationales. ### **Une décision conforme à la volonté du législateur européen** Cette décision s’inscrit dans **la logique du RGPD**, qui vise à garantir que **les violations du droit à la protection des données soient sanctionnées à un niveau reflétant réellement l’importance économique des entreprises concernées**. Dans ce cadre, **l’autorité de contrôle peut donc tenir compte de la puissance financière du groupe entier** lorsqu’elle impose une amende à une filiale. --- ## **Un impact majeur pour les entreprises multinationales** ### **1. Renforcement de la responsabilité des groupes internationaux** Les grandes entreprises ne pourront plus se **cacher derrière des filiales juridiquement distinctes** pour échapper à des sanctions financières significatives en cas de violation du RGPD. Cela signifie que : - **Une filiale en infraction peut exposer l’ensemble du groupe** à une amende calculée sur la base du **chiffre d’affaires total mondial**. - **Les groupes doivent renforcer leur gouvernance interne et leur conformité RGPD** pour éviter que les erreurs d’une filiale n’entraînent des sanctions financières majeures. ### **2. Un changement stratégique dans la gestion des données personnelles** Cette décision va **inciter les groupes à renforcer leur conformité RGPD**, notamment en : ✅ **Harmonisant leurs politiques de protection des données** à l’échelle mondiale. ✅ **Renforçant les contrôles internes** sur leurs filiales. ✅ **Formant leurs employés** à l’application stricte du RGPD. ### **3. Une approche cohérente avec le droit de la concurrence** La CJUE applique ici **une logique proche de celle des sanctions pour pratiques anticoncurrentielles**. En droit de la concurrence, les amendes sont déjà **calculées sur la base du chiffre d’affaires global d’un groupe** lorsque **la filiale fautive ne jouit pas d’une autonomie économique réelle**. Le **RGPD s’aligne donc sur cette approche**, évitant ainsi que des multinationales échappent à des sanctions dissuasives en cloisonnant leurs responsabilités juridiques. --- ## **Un équilibre entre sanction et proportionnalité** Si cet arrêt ouvre la porte à des **amendes plus sévères** pour les groupes en infraction, la CJUE rappelle néanmoins que les **autorités de contrôle doivent respecter plusieurs critères dans la fixation du montant de la sanction**. ### **Critères à prendre en compte** L’article **83(2) du RGPD** impose aux autorités de considérer : 🔹 **La nature, la gravité et la durée de la violation**. 🔹 **Le nombre de personnes concernées et l’ampleur du dommage subi**. 🔹 **Le caractère intentionnel ou négligent de la violation**. 🔹 **Les mesures prises par l’entreprise pour atténuer l’impact de la violation**. 🔹 **Le degré de responsabilité du responsable du traitement**. 🔹 **Les précédentes infractions commises**. 🔹 **La coopération de l’entreprise avec les autorités**. Ce cadre garantit que **les amendes ne soient pas simplement punitives**, mais bien adaptées à la situation particulière de chaque cas. --- ## **Conclusion : un tournant dans l’application du RGPD** L’arrêt de la **CJUE du 13 février 2025** marque une **évolution majeure** dans l’interprétation du RGPD. Désormais, **les amendes infligées pour violation des règles de protection des données peuvent être calculées sur la base du chiffre d’affaires total du groupe concerné**, et non seulement sur celui de la filiale fautive. Cela **renforce considérablement la portée dissuasive des sanctions** et oblige les multinationales à **adopter une gouvernance plus stricte de la protection des données** à l’échelle mondiale. Les autorités de contrôle disposent ainsi d’un **levier plus puissant** pour garantir le respect du RGPD, tout en maintenant une approche **proportionnée et cohérente** avec les principes du droit de l’UE. 📌 **Lien vers l’arrêt de la CJUE** : [Consultable ici](https://curia.europa.eu/juris/document/document.jsf?text=&docid=295319&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=674404) **#rgpd #donnéespersonnelles #conformité #protectiondesdonnées #droitnumérique #cjue #euroscope**