Le montant maximal d’une amende pour violation du RGPD adressée à une filiale est déterminé par le chiffre d’affaires annuel mondial du groupe (13 février)
Arrêt ILVA (Amende pour violation du RGPD), aff. C-383/23
Saisie d’un renvoi préjudiciel par la cour d’appel de la région Ouest (Danemark), la Cour de justice de l’Union européenne s’est prononcée sur l’interprétation du terme « entreprise » figurant dans le règlement (UE) 2016/679. En l’espèce, l’entreprise requérante est une filiale d’un groupe danois qui s’est vu imposer une amende pour violation du RGPD. Le calcul du montant de l’amende par les autorités se fonde sur le chiffre d’affaires de la filiale ainsi que sur celui du groupe. La Cour interprète le règlement en ce sens que le terme « entreprise », figurant dans certaines de ses dispositions fixant les conditions générales pour imposer des amendes administratives, correspond à la notion d’« entreprise», au sens des articles 101 et 102 du TFUE sur l’interdiction des pratiques anticoncurrentielles. A ce titre, une entreprise désigne une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Ainsi, le montant maximal d’une amende imposée à un responsable du traitement de données à caractère personnel, qui est ou fait partie d’une entreprise, est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise. (EL)
