Analyse de l’arrêt CJUE du 13 février 2025, aff. n° C-383/23
I. La consécration d’une approche économique de l’entreprise en matière de sanctions RGPD
L’arrêt rendu par la Cour de Justice de l’Union européenne le 13 février 2025 dans l’affaire ILVA A/S marque une étape significative dans l’appréhension du concept d’entreprise en droit de la protection des données. La Cour y développe une interprétation téléologique de l’article 83 du RGPD en s’inspirant des concepts établis en droit de la concurrence, dépassant ainsi les frontières classiques entre les différentes branches du droit européen.
Au cœur du litige se trouvait la question fondamentale de savoir si, pour déterminer le montant d’une amende infligée à une filiale pour violation du RGPD, il convenait de prendre en considération uniquement le chiffre d’affaires de cette entité juridique spécifique ou celui de l’ensemble du groupe auquel elle appartient. La société ILVA A/S, filiale du groupe Lars Larsen Group, soutenait que seul son propre chiffre d’affaires (environ 241 millions d’euros) devait être pris en compte, tandis que le ministère public danois estimait que le calcul devait se fonder sur le chiffre d’affaires global du groupe (environ 881 millions d’euros).
La Cour, s’appuyant sur le considérant 150 du RGPD et l’interprétation qu’elle avait déjà esquissée dans l’arrêt Deutsche Wohnen (C-807/21), consacre une approche fonctionnelle et économique de l’entreprise. Elle affirme que « le terme « entreprise », figurant à ces dispositions, correspond à la notion d’ »entreprise », au sens des articles 101 et 102 TFUE ». Cette assimilation conceptuelle implique une vision de l’entreprise comme « unité économique » qui transcende les distinctions formelles entre personnes morales au sein d’un même groupe.
Cette conception, bien établie en droit de la concurrence, se voit ainsi transposée dans le domaine de la protection des données personnelles. La Cour précise au point 22 que cette notion « comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement », et qu’elle « désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales ».
La portée de cette interprétation est double. D’une part, elle détermine le plafond des amendes susceptibles d’être prononcées, qui peut atteindre, selon la gravité de l’infraction, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise entendue comme unité économique. D’autre part, elle fournit un élément d’appréciation de la capacité économique réelle du destinataire de l’amende, permettant ainsi aux autorités de contrôle et aux juridictions nationales d’évaluer si la sanction satisfait aux exigences d’efficacité, de proportionnalité et de dissuasion posées par l’article 83, paragraphe 1, du RGPD.
Cette approche s’inscrit dans une perspective pragmatique qui vise à garantir l’effectivité du régime de sanctions prévu par le RGPD. Elle prévient les stratégies d’organisation juridique qui pourraient permettre à des groupes de minimiser l’impact financier des violations en concentrant les activités de traitement de données dans des filiales au chiffre d’affaires limité.
II. Implications pratiques et perspectives théoriques : vers une responsabilisation accrue des groupes de sociétés
Dans une perspective pratique, cet arrêt comporte des conséquences significatives pour les entreprises et leurs conseils. Il impose d’abord une réévaluation du risque juridique et financier lié aux violations du RGPD au sein des groupes de sociétés. Le calcul du risque maximal doit désormais intégrer le chiffre d’affaires consolidé du groupe, ce qui peut représenter une augmentation considérable par rapport aux évaluations antérieures.
Cette approche incite également à repenser les stratégies de gouvernance des données au niveau du groupe. La mise en place de programmes de conformité centralisés et harmonisés devient cruciale pour prévenir les violations et minimiser les risques de sanctions. Les sociétés mères ont désormais un intérêt économique direct à superviser les pratiques de traitement des données de leurs filiales, puisque le montant des amendes encourues sera proportionné à la puissance financière de l’ensemble du groupe.
Sur un plan théorique plus profond, cet arrêt illustre une tendance à la « dépassement de la personnalité morale » dans certains domaines du droit européen. Sans remettre en cause explicitement le principe d’autonomie juridique des personnes morales, la Cour privilégie une approche fonctionnelle qui s’attache à la réalité économique sous-jacente. Cette perspective, déjà bien ancrée en droit de la concurrence, s’étend désormais au droit de la protection des données, suggérant une certaine porosité entre ces branches du droit.
L’approche adoptée par la Cour reflète une tension inhérente entre la structure juridique formelle des groupes de sociétés et leur réalité économique. Si l’arrêt ne va pas jusqu’à établir une responsabilité juridique directe de la société mère pour les manquements de sa filiale – seule ILVA était poursuivie en l’espèce –, il instaure néanmoins une forme de « solidarité économique » au sein du groupe face aux sanctions. Cette approche pourrait annoncer une évolution plus générale dans l’appréhension juridique des groupes de sociétés en droit européen.
L’arrêt ILVA soulève également des questions quant à l’articulation entre sanctions administratives et pénales. La Cour affirme que son interprétation s’applique également lorsque les violations du RGPD sont sanctionnées par des amendes imposées par les juridictions nationales en tant que sanctions pénales, comme c’est le cas au Danemark. Elle souligne toutefois que, dans ce contexte, les juridictions nationales doivent respecter les règles applicables en matière pénale, notamment les droits procéduraux des accusés et le principe de proportionnalité des peines.
Cette décision s’inscrit dans une tendance plus large du droit européen à appréhender les réalités économiques au-delà des structures juridiques formelles. Elle témoigne d’une volonté de doter les autorités de contrôle d’instruments efficaces pour garantir le respect des normes de protection des données, même face aux acteurs économiques les plus puissants.
Pour les praticiens, cet arrêt souligne l’importance d’une approche globale de la conformité au RGPD au sein des groupes de sociétés. Il incite à considérer la protection des données comme un enjeu de gouvernance au niveau du groupe, nécessitant une coordination étroite entre les différentes entités juridiques qui le composent. Le risque financier accru pourrait également justifier des investissements plus importants dans les mesures techniques et organisationnelles visant à assurer la conformité.
En définitive, l’arrêt ILVA représente une avancée significative dans l’interprétation du régime de sanctions prévu par le RGPD. En adoptant une conception économique de l’entreprise inspirée du droit de la concurrence, la Cour dote les autorités de protection des données d’un levier puissant pour garantir l’effectivité du règlement. Cette approche, qui transcende les frontières traditionnelles entre personnes morales, pourrait préfigurer des évolutions similaires dans d’autres domaines du droit européen où l’effectivité des sanctions constitue un enjeu majeur.