Violation du RGPD par une filiale : les modalités de calcul de l’amende

L’entreprise : une unité économique pouvant inclure plusieurs entités juridiques

En vertu de l’article 83 du RGPD, les autorités de contrôle peuvent infliger des amendes administratives en cas de violation de certaines dispositions du règlement. Pour une entreprise, le montant maximal de cette amende est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent. Une question se posait néanmoins concernant la notion d’« entreprise » mentionnée dans ce texte : fallait-il tenir compte uniquement du chiffre d’affaires de la filiale ayant commis l’infraction ou de celui du groupe entier ?

Dans sa décision du 13 février 2025, la CJUE apporte des précisions essentielles sur l’interprétation de cette notion. La Cour indique ainsi que le terme « entreprise » doit être compris au sens des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE). Dans le droit européen de la concurrence, l’entreprise désigne une entité exerçant une activité économique, indépendamment de son statut juridique et de son mode de financement. Cette notion peut donc englober une unité économique juridiquement constituée de plusieurs personnes physiques ou morales.

Ainsi, lorsqu’une filiale fait l’objet d’une amende pour violation du RGPD et qu’elle forme avec son groupe une entreprise au sens du droit de la concurrence, la détermination du montant maximal de cette amende doit prendre en compte le chiffre d’affaires mondial du groupe entier, et non celui de la seule filiale.

Distinction entre plafond légal et montant effectif de l’amende

La CJUE distingue cependant la détermination du montant maximal de l’amende et le calcul de son montant effectif. Pour fixer le montant réel de la sanction, les autorités doivent tenir compte de nombreux éléments listés à l’article 83 du RGPD, tels que la gravité et la durée de la violation, le nombre de personnes concernées, l’intention ou la négligence, ou encore les mesures prises pour atténuer les dommages. Le chiffre d’affaires ne figure pas explicitement parmi ces critères.

La CJUE précise toutefois que le chiffre d’affaires du groupe peut être pris en considération pour évaluer la capacité économique réelle de la filiale destinataire de l’amende, sans pour autant constituer le critère principal de détermination du montant de la sanction.

Les trois points clés à retenir

La notion d’« entreprise » au sens du RGPD doit être interprétée selon le droit européen de la concurrence.
L’amende effective doit être proportionnée et prendre en compte plusieurs critères, listés à l’article 83 du RGPD, comme la gravité de la violation, le nombre de personnes concernées et les mesures prises pour atténuer les dommages.
Le chiffre d’affaires mondial du groupe peut être pris en compte, mais ne constitue pas le critère principal pour fixer le montant effectif de l’amende.