CONCLUSIONS DE L’AVOCATE GÉNÉRALE
MME LAILA MEDINA
présentées le 12 septembre 2024 ( 1 )
Affaire C‑383/23
Anklagemyndigheden
contre
ILVA A/S
[demande de décision préjudicielle formée par le Vestre Landsret (cour d’appel de la région Ouest, Danemark)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 83 – Amendes administratives – Amendes autres que les amendes administratives – Notion d’“entreprise” – Articles 101 et 102 TFUE – Société mère et filiale – Violation du règlement 2016/679 par une filiale – Calcul du montant de l’amende – Prise en compte du chiffre d’affaires total du groupe dont fait partie la société concernée – Procès pénal »
1. Par sa demande de décision préjudicielle, le Vestre Landsret (cour d’appel de la région Ouest, Danemark) sollicite une interprétation de l’article 83, paragraphes 4 à 6, du règlement (UE) 2016/679 ( 2 ). Cette demande a été introduite dans le cadre d’une procédure pénale que l’Anklagemyndigheden (ministère public, Danemark) a engagée à l’encontre de la société ILVA A/S ( 3 ) pour avoir manqué, en sa qualité de responsable du traitement des données à caractère personnel ne concernant pas moins de
350000 anciens clients, aux obligations qui lui incombent en vertu de l’article 5, paragraphe 1, sous e), de l’article 5, paragraphe 2, et de l’article 6 du RGPD.
2. L’affaire porte sur la question de savoir si la notion d’« entreprise » figurant à l’article 83, paragraphes 4 à 6, du RGPD doit, à la lumière du considérant 150 de ce règlement, être interprétée en ce sens qu’elle correspond à la définition qui en est retenue en droit de la concurrence de l’Union (articles 101 et 102 TFUE). Cette question soulève celle de savoir si, en cas d’imposition d’une amende à une entreprise pour violation du RGPD, il convient de tenir compte du chiffre d’affaires annuel
total de l’entité économique (ou du groupe) dont fait partie la société contrevenante, et non pas seulement du chiffre d’affaires annuel total de cette société elle-même.
3. La particularité de la présente affaire réside dans le fait que, dans la procédure au principal, l’amende n’a pas été imposée par l’autorité nationale de contrôle des données dans le cadre de ses pouvoirs de contrôle, mais par un tribunal dans le cadre d’une procédure pénale. En effet, le législateur européen a inséré dans le RGPD une disposition spécifique à cet égard, qui est notamment applicable au Danemark.
I. Le cadre juridique
A. Le droit de l’Union
4. Selon les considérants 150 et 151 du RGPD :
« (150) Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les
caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 [TFUE]. [...]
(151) Les systèmes juridiques du Danemark et de l’Estonie ne permettent pas d’imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l’amende est imposée par les juridictions nationales compétentes sous la forme d’une sanction pénale et, en Estonie, l’amende est imposée par l’autorité de contrôle dans le cadre d’une procédure de délit, à condition qu’une telle application
des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C’est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l’autorité de contrôle qui est à l’origine de l’amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives. »
5. L’article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », prévoit :
« 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, [sous] a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
[...]
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
[...]
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
[...]
6. Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
[...]
8. L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.
[...] »
B. Le droit danois
6. Le lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (loi no 502 sur les dispositions complémentaires au règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), du 23 mai 2018, prévoit, à son article 41 :
« [Paragraphe 1.] Sauf sanction plus sévère prévue par une autre loi, est puni d’une peine d’amende ou d’emprisonnement pouvant aller jusqu’à six mois quiconque viole les dispositions
[...]
4) relatives aux principes fondamentaux du traitement, notamment les conditions relatives au consentement, énoncés aux articles 5 à 7 et 9 du [RGPD],
[...]
Paragraphe 3. Les dispositions de l’article 83, paragraphe 2, du [RGPD] sont applicables en cas d’imposition d’une amende en application des paragraphes 1 et 2.
[...]
Paragraphe 6. La responsabilité pénale d’une société notamment (d’une personne morale) peut être constatée en application des dispositions du chapitre 5 du code pénal. [...]
[...] »
II. Les faits à l’origine du litige au principal et les questions préjudicielles
7. ILVA est accusée devant les juridictions danoises d’avoir manqué – de mai 2018 à janvier 2019 – aux obligations que l’article 5, paragraphe 1, sous e), l’article 5, paragraphe 2, et l’article 6 du RGPD lui imposent en tant que responsable du traitement au sujet de la conservation des données à caractère personnel relatives à ses anciens clients.
8. ILVA exploite une chaîne de magasins de meubles et fait partie du groupe Lars Larsen Group A/S (ci-après le « groupe Lars Larsen »). Le chiffre d’affaires total du groupe au cours de l’exercice 2016/2017 s’est élevé à 6,57 milliards de couronnes danoises (DKK) (environ 881 millions d’euros). De ce total, le chiffre d’affaires de la filiale ILVA représente 1,8 milliard de DKK (environ 241 millions d’euros).
9. Sur recommandation du Datatilsynet (autorité de protection des données, Danemark), qui est l’« autorité de contrôle » en vertu du RGPD, le ministère public a requis contre ILVA l’imposition d’une amende de 1,5 million de DKK (environ 201000 euros). La base de chiffre d’affaires retenue pour calculer le montant de cette amende est constituée non pas du chiffre d’affaires d’ILVA, mais du chiffre d’affaires total de l’ensemble du groupe Lars Larsen.
10. Par jugement du 12 février 2021, le Retten i Aarhus (tribunal d’Aarhus, Danemark) a reconnu ILVA coupable des faits qui lui étaient reprochés, mais a estimé qu’elle avait agi par négligence, contrairement à ce qu’avait allégué le ministère public. Ce tribunal a condamné ILVA à une amende de 100000 DKK (environ 13400 euros). Cette juridiction a en outre estimé que, dans la mesure où les charges n’avaient été retenues que contre ILVA et non pas contre l’ensemble du groupe Lars Larsen, il n’était
pas nécessaire de prendre en compte le chiffre d’affaires de ce groupe pour calculer le montant de l’amende. Il a également relevé qu’ILVA exerçait une activité indépendante de vente au détail et que le groupe Lars Larsen n’avait pas créé cette filiale dans le seul but de lui attribuer le traitement des données à caractère personnel du groupe.
11. Le ministère public a interjeté appel de ce jugement devant le Vestre Landsret (cour d’appel de la région Ouest), qui est la juridiction de renvoi. Cette juridiction cherche à savoir si le terme « entreprise » figurant à l’article 83, paragraphes 4 à 6, du RGPD doit être compris en ce sens que, pour fixer une amende en cas de violation du RGPD par une société, il convient de tenir compte du chiffre d’affaires du groupe dont fait partie la société concernée.
12. C’est ce que soutient le ministère public. Ce dernier fait valoir qu’il résulte du considérant 150 du RGPD que ce terme doit être compris conformément aux articles 101 et 102 TFUE.
13. ILVA plaide au contraire en ce sens que, lors de la fixation d’une amende pour violation du RGPD par une entreprise, il n’y a pas lieu de tenir compte du chiffre d’affaires total du groupe dont l’entreprise fait partie. En l’espèce, les charges n’ont été retenues que contre ILVA, qui est une filiale, et non contre la société mère.
14. La juridiction de renvoi estime que la réponse à cette question ne ressort pas clairement du RGPD.
15. C’est dans ces conditions que le Vestre Landsret (cour d’appel de la région Ouest) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Le terme “entreprise” figurant à l’article 83, paragraphes 4 à 6, du [RGPD] doit-il être compris comme une entreprise au sens des articles 101 et 102 TFUE, lus en combinaison avec le considérant 150 du [RGPD], et de la jurisprudence de la [Cour] dans le domaine du droit de la concurrence de l’Union, en ce sens que le terme “entreprise” couvre toute entité exerçant une activité économique, indépendamment de son statut juridique et de la manière dont elle est financée ?
2) Si la réponse à la première question est affirmative : l’article 83, paragraphes 4 à 6, du [RGPD] doit-il être interprété en ce sens que, lors de l’imposition d’une amende à une entreprise, il convient de prendre en compte le chiffre d’affaires annuel total de l’entité économique dont l’entreprise fait partie, ou bien seulement le chiffre d’affaires annuel total de l’entreprise elle-même ? »
III. La procédure devant la Cour
16. ILVA et la Commission européenne ont déposé des observations écrites. Une audience s’est tenue le 19 juin 2024, à laquelle les deux parties ont été représentées.
IV. Analyse
A. Introduction
17. Les dispositions spécifiques du RGPD pertinentes dans la présente affaire ( 4 ), qui sont notamment applicables au Danemark, ont pour toile de fond le fait que l’autorité de protection des données n’a pas, en principe, le pouvoir d’imposer d’amendes administratives pour des violations de la législation sur la protection des données. L’autorité de protection des données doit au contraire déposer plainte auprès de la police si elle l’estime nécessaire ( 5 ). La police mène alors une enquête et
détermine s’il y a lieu de procéder à une mise en cause formelle. Dans l’affirmative, l’affaire est renvoyée devant les tribunaux, qui l’examinent et déterminent le montant de l’amende.
B. Examen des questions préjudicielles
18. Il convient selon moi d’examiner les deux questions préjudicielles ensemble. Par ces questions, la juridiction de renvoi demande, en substance, si le terme « entreprise » figurant à l’article 83, paragraphes 4 à 6, du RGPD doit, à la lumière du considérant 150 de ce règlement, être interprété de telle sorte qu’il correspond à la notion d’« entreprise » au sens des articles 101 et 102 TFUE. Cette question soulève celle de savoir si, dans le cadre de l’imposition d’une amende à une entreprise pour
violation du RGPD, il est nécessaire de tenir compte du chiffre d’affaires annuel total de l’ensemble de l’entreprise (l’entité économique ou le groupe, en l’occurrence le groupe Lars Larsen, soit quelque 881 millions d’euros) dont fait partie la société contrevenante ( 6 ), et non pas seulement du chiffre d’affaires annuel total de cette société elle-même (ILVA, soit quelque 241 millions d’euros).
1. L’arrêt dans l’affaire Deutsche Wohnen
19. L’article 83 du RGPD fournit la base juridique à l’imposition d’amendes pour des violations de ce règlement. Si le RGPD ne contient aucune définition de la notion d’« entreprise » aux fins de son application, il ressort néanmoins du considérant 150 de ce règlement que les principes du droit de la concurrence de l’Union devraient être utilisés pour interpréter cette notion ( 7 ).
20. La Cour a récemment eu l’occasion d’interpréter certains paragraphes (mais pas tous) de l’article 83 du RGPD et d’aborder certains points liés aux questions posées dans la présente affaire.
21. Dans son arrêt Deutsche Wohnen ( 8 ), la Cour a notamment jugé qu’« il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de
l’exercice précédent de l’entreprise concernée ».
22. La Cour précise que le montant maximal de l’amende administrative est calculé sur la base du chiffre d’affaires annuel mondial total ( 9 ) de l’« entreprise », ce terme devant être entendu conformément au droit de la concurrence de l’Union (articles 101 et 102 TFUE). La Cour note ainsi que le législateur de l’Union a entendu établir une passerelle entre les règles du RGPD et celles du droit de la concurrence de l’Union lorsqu’il a fixé le montant maximal des amendes prévues par le RGPD.
23. En effet, l’article 83, paragraphes 4 à 6, du RGPD est à cet égard analogue à l’article 23, paragraphe 2, du règlement (CE) no 1/2003 ( 10 ), dans la mesure où ces deux dispositions fixent un plafond légal pour les amendes en vertu des règlements respectifs.
24. La Cour a poursuivi son raisonnement et examiné les conditions applicables à la détermination du montant de l’amende administrative. Elle a noté dans l’arrêt Deutsche Wohnen (point 58) que « seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée
au point 56 du présent arrêt [ ( 11 )], est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive ». Bien qu’elle ait à cet égard visé un « destinataire [de l’amende] », en soulignant ainsi le lien entre l’amende et la personne spécialement accusée de la violation du RGPD, la Cour est revenue plus loin sur la notion d’« entreprise » (« unité économique ») au sens du droit de la concurrence de
l’Union.
25. En outre, au point 59 de l’arrêt Deutsche Wohnen, la Cour a jugé que, « lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 de ce règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du
considérant 150 dudit règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’“entreprise”, au sens de ces articles 101 et 102 TFUE » ( 12 ).
26. J’en conclus qu’il découle de l’arrêt Deutsche Wohnen que, lorsqu’un responsable du traitement ou un sous-traitant qui est une entreprise (ou fait partie d’une entreprise) viole le RGPD, la référence au chiffre d’affaires annuel mondial total de l’« entreprise » doit, lors de la fixation du montant maximal de l’amende, s’entendre conformément aux articles 101 et 102 TFUE. Ce n’est cependant pas seulement la question du montant maximal de l’amende susceptible d’être imposée à ce responsable du
traitement ou à ce sous-traitant qui se trouve ainsi clarifiée. Cela signifie également que la jurisprudence très nuancée (et développée assez largement au cas par cas) qui concerne les notions d’« entreprise » et d’« unité économique » devient, dans une certaine mesure, également pertinente pour fixer les conditions de détermination de l’amende effective imposée pour cette violation spécifique du RGPD.
27. Dans les points suivants des présentes conclusions, j’analyserai l’incidence de la jurisprudence Deutsche Wohnen dans le contexte spécifique de la présente affaire, afin de proposer un cadre qui soit de nature à guider la juridiction de renvoi dans la détermination de l’amende d’ILVA.
2. Première étape de l’analyse après l’arrêt Deutsche Wohnen : analyse générale en vue d’établir le montant maximal de l’amende
28. Comme indiqué aux points 25 et 26 des présentes conclusions, il résulte du libellé de l’article 83 du RGPD, lu à la lumière du considérant 150 de ce règlement, et de la jurisprudence Deutsche Wohnen que, lorsque le responsable du traitement ou le sous-traitant est (ou fait partie d’)une « entreprise » au sens des articles 101 et 102 TFUE, il convient, pour déterminer le montant maximal de l’amende, de retenir le chiffre d’affaires total de cette entreprise considérée dans son ensemble.
29. Selon la jurisprudence de la Cour en matière de concurrence, la notion d’« entreprise »« comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement » ( 13 ).
30. Il ressort également de la jurisprudence de la Cour que la notion d’« entreprise » figurant aux articles 101 et 102 TFUE peut viser une seule unité économique, même si cette dernière est constituée de plusieurs personnes physiques ou morales. Le point de savoir si plusieurs entités forment une telle unité est en grande partie subordonné à celui consistant à vérifier si l’entité individuelle est libre dans sa capacité de décision ou si une entité principale, c’est‑à‑dire la société mère, exerce
une influence déterminante sur les autres. Les critères pour établir cette influence reposent sur les liens économiques, juridiques et organisationnels entre la société mère et sa filiale, par exemple le montant de la participation, les liens en matière de personnel ou d’organisation, les instructions et l’existence de contrats d’entreprise ( 14 ).
31. La Cour précise également dans sa jurisprudence que l’exercice effectif d’une influence déterminante de la société mère sur le comportement de la filiale peut être déduit d’un faisceau d’éléments concordants, même si aucun de ces éléments, pris isolément, ne suffit à établir l’existence d’une telle influence ( 15 ). Les juridictions de l’Union se sont à cet égard notamment appuyées sur le pouvoir de nomination des membres des divers conseils d’administration de la filiale ainsi que sur le
pouvoir de convoquer les actionnaires aux assemblées et de proposer la révocation des administrateurs ou de l’ensemble des conseils d’administration de la filiale ( 16 ).
32. Il est de jurisprudence constante que, dans le cas particulier où une société mère détient directement ou indirectement la totalité ou la quasi-totalité du capital de sa filiale ayant commis une infraction aux règles de concurrence, d’une part, cette société mère peut exercer une influence déterminante sur le comportement de cette filiale et, d’autre part, il existe une présomption réfragable selon laquelle ladite société mère exerce effectivement une telle influence ( 17 ).
33. Selon le point 2 de l’ordonnance de renvoi, ILVA fait partie du groupe Lars Larsen. Si la juridiction de renvoi devait constater que la société mère de ce groupe exerce une influence déterminante sur ILVA, l’« entreprise » au sens de l’article 83, paragraphe 5, du RGPD serait constituée par i) la société mère de ce groupe, ii) ILVA, et iii) toute autre société sur laquelle la société mère exerce également une influence déterminante. Cette dernière catégorie inclut potentiellement les autres
sociétés du groupe Lars Larsen.
34. Le « chiffre d’affaires » est expressément visé à l’article 83, paragraphes 4 à 6, du RGPD dans le cadre du calcul du montant maximal de l’amende pouvant être infligée aux entreprises. Ce montant maximal concerne les très grandes entreprises, puisque la limite ne s’applique pas si l’amende est inférieure au montant absolu visé dans ces trois paragraphes de l’article 83, à savoir 10 millions d’euros ou 20 millions d’euros. Le plafond fixé en fonction du chiffre d’affaires n’est donc pertinent que
pour les entreprises dont le chiffre d’affaires mondial total est supérieur à 500 millions d’euros ( 18 ).
35. Il s’ensuit que, si la juridiction de renvoi venait à constater que la société mère du groupe Lars Larsen exerce une influence déterminante sur ILVA, le montant maximal de l’amende à infliger dans l’affaire au principal serait alors, de manière abstraite, calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent par l’entreprise concernée, à savoir le groupe Lars Larsen (dont ILVA fait partie).
3. Seconde étape de l’analyse après l’arrêt Deutsche Wohnen : analyse en vue d’établir l’amende effective pour les violations commises dans l’affaire au principal
36. La question de la fixation du montant maximal de l’amende, telle qu’envisagée par le législateur de l’Union à l’article 83, paragraphes 4 à 6, du RGPD, ne doit être ni mélangée ni confondue avec la tâche ultérieure d’une autorité de contrôle ( 19 ), qui consiste à déterminer l’amende effective à imposer pour la ou les violations spécifiques du RGPD qui sont en cause.
37. À cette fin, il convient premièrement de noter que le paragraphe 1 de l’article 83 du RGPD énonce trois conditions essentielles ( 20 ) qui doivent être respectées par l’autorité de contrôle. Chacune de ces conditions exige de procéder à une mise en balance individuelle de l’ensemble des éléments de la violation en cause et de l’amende effective appropriée à imposer. En outre, le paragraphe 2 de l’article 83 oblige cette autorité à respecter un certain nombre d’exigences pour « décider s’il y a
lieu d’imposer une amende administrative et pour décider du montant [approprié] de l’amende administrative [effective] ». Aussi, pour comprendre pleinement l’application de l’article 83, paragraphes 4 à 6, du RGPD dans le contexte de la fixation de l’amende effective dans un cas individuel, ces paragraphes doivent être lus en conjonction avec les paragraphes 1 et 2 du même article. De façon plus importante, ce dernier énumère les facteurs spécifiques dont une autorité de contrôle doit tenir
compte pour déterminer le montant effectif de l’amende dans un cas donné.
38. Le libellé même du paragraphe 2 de l’article 83 du RGPD exige qu’il soit dûment tenu compte des multiples éléments de « chaque cas d’espèce », tout en laissant à l’autorité de contrôle le soin d’identifier les éléments spécifiques qui sont pertinents pour le cas dont elle est saisie et d’établir leur pertinence aux fins de la fixation de l’amende effective ( 21 ).
39. Contrairement à l’article 83, paragraphes 4 à 6, du RGPD (voir point 34 des présentes conclusions), ni le paragraphe 1, ni le paragraphe 2, ni le paragraphe 3 de cet article ( 22 ) ne comportent de référence au chiffre d’affaires de l’entreprise. Il s’ensuit que le législateur de l’Union a choisi de ne pas faire du « chiffre d’affaires » un facteur spécifique de détermination de l’amende effective. L’article 83, paragraphe 2, énumère d’autres facteurs ( 23 ) qui caractérisent le comportement
d’un responsable du traitement ou d’un sous-traitant accusé d’une violation, afin de garantir que chaque infraction soit appréciée sur la base de l’ensemble des circonstances individuelles pertinentes. L’on peut selon moi déduire des considérations qui précèdent que le législateur de l’Union a cherché à établir une distinction entre les facteurs qui constituent la base de la détermination du montant maximal de l’amende (première étape) et la liste des exigences qui s’imposent à l’autorité de
contrôle lorsqu’elle fixe l’amende effective (seconde étape).
40. Rappelons à cet égard que la Cour a souligné qu’« une sanction, même de caractère non pénal, ne peut être infligée que si elle repose sur une base légale claire et non ambiguë » ( 24 ). C’est a fortiori le cas dans une procédure pénale telle que celle de la présente affaire. Dans sa jurisprudence, la Cour se réfère au « principe de légalité [qui] exige que la loi définisse clairement les infractions et les peines qui les répriment » et aux « critères d’appréciation de la clarté de la loi selon
la jurisprudence de la Cour européenne des droits de l’homme » ( 25 ) (ci-après la « Cour EDH »).
41. La Commission soutient à cet égard, en substance, qu’il découle du RGPD que ce n’est pas seulement le montant maximal de l’amende qui doit être fondé sur le chiffre d’affaires de l’entreprise dont fait partie la société, mais aussi le calcul de l’amende effective. Les considérations exposées aux points 37 à 40 des présentes conclusions ne permettent toutefois pas de conclure que l’article 83, paragraphes 1 à 6, du RGPD doit être interprété en ce sens que les règles de fixation du montant maximal
de l’amende (première étape) doivent également être utilisées comme référence principale ou unique pour la fixation de l’amende effective (seconde étape).
42. Deuxièmement, dans le cadre de l’effet des retombées de la création d’une passerelle entre les deux domaines juridiques, c’est également du droit de la concurrence de l’Union que l’on peut déduire la nécessité d’établir une distinction entre le montant maximal d’une amende (première étape) et l’amende effective (seconde étape). En effet, tout comme il est procédé en vertu de l’article 83 du RGPD, la Commission utilise également, en droit de la concurrence de l’Union, le chiffre d’affaires pour
calculer le montant maximal de l’amende (qui est fixé à 10 % du chiffre d’affaires total de l’entreprise par infraction). Il n’en est pas moins important de souligner que l’amende de base n’est pas elle-même déterminée sur la base du chiffre d’affaires ( 26 ).
43. Au contraire, l’amende de base est, en substance, déterminée sous forme de pourcentage de la valeur des ventes concernées (qui sont directement ou indirectement en relation avec l’infraction au droit de la concurrence), qui est multiplié par la durée (années ou périodes inférieures à une année), montant auquel l’on ajoute 15 à 25 % de la valeur des ventes concernées (à titre de dissuasion supplémentaire pour les ententes). Cette amende de base est ensuite augmentée sous l’effet de facteurs
aggravants ou réduite sous l’effet de facteurs atténuants. Ce montant est ensuite soumis au plafond global de 10 % du chiffre d’affaires (il existe une possibilité supplémentaire, le cas échéant, de réduire l’amende sur la base de la clémence, en vertu d’une transaction ou pour absence de capacité contributive). Cela montre clairement que ce sont les facteurs caractérisant directement l’infraction (tels que les ventes concernées, la durée de l’infraction et les circonstances particulières
caractérisant l’affaire) qui jouent un rôle central dans la fixation de l’amende effective, et non le chiffre d’affaires annuel mondial total.
44. Comme l’ont déjà souligné des auteurs de doctrine, « il n’y a pas de transposition directe de la méthodologie d’imposition des amendes utilisée par la Commission au titre des articles 101 [et] 102 TFUE au RGPD, car les amendes de l’Union en matière de concurrence visent à appréhender l’effet du comportement [anticoncurrentiel] sur le marché concerné et non à retenir le chiffre d’affaires en tant que tel. Par exemple, s’agissant des ententes, les amendes sont basées sur la valeur des ventes du
“produit cartellisé” et non pas sur le chiffre d’affaires mondial » ( 27 ).
45. En effet, la jurisprudence de la Cour confirme que la part du chiffre d’affaires global provenant de la vente des produits pour lesquels l’infraction a été commise (c’est-à-dire la « valeur des ventes ») est la mieux à même de refléter l’importance économique de cette infraction ( 28 ). La notion de « chiffre d’affaires » figurant dans le RGPD vise en revanche à refléter l’importance économique de l’entreprise ( 29 ). Ces deux approches ne sauraient être confondues, car elles poursuivent des
objectifs différents : la première vise à apprécier la gravité de l’infraction, tandis que la seconde vise à évaluer l’importance économique de l’entreprise.
46. Les considérations qui précèdent et la jurisprudence de la Cour (citée au point 40 des présentes conclusions) m’amènent ainsi à conclure que le principe de légalité doit venir encadrer les limites de l’incidence que la jurisprudence de l’Union en matière de concurrence exerce sur l’imposition d’amendes effectives pour des violations du RGPD. En particulier, il convient de veiller à ce que les amendes effectives imposées en vertu du RGPD soient calculées uniquement en fonction des actes de
l’auteur et tiennent pleinement compte de toutes les caractéristiques de la violation spécifique. Aussi l’interprétation des notions de « chiffre d’affaires » et d’« entreprise » lors de la fixation du montant maximal de l’amende ne saurait-elle être automatiquement transplantée dans le cadre du calcul de l’amende effective.
47. Pour qu’une amende réponde à l’objectif du RGPD – renforcer l’application des règles de ce règlement –, l’interprétation des termes « entreprise » et « chiffre d’affaires » lors de la fixation du montant de l’amende effective devrait, à la lumière de la jurisprudence de la Cour examinée aux points précédents des présentes conclusions, respecter les exigences suivantes. En déterminant l’amende effective, l’autorité de contrôle doit, premièrement, retenir comme base toutes les caractéristiques
propres au cas d’espèce, ainsi que l’exige l’article 83, paragraphe 2, du RGPD, y compris la relation au sein de l’« entreprise », telle que définie par la jurisprudence de l’Union en matière de concurrence. Deuxièmement, à la suite de la mise en balance de toutes les circonstances pertinentes, l’amende doit être effective, proportionnée et dissuasive. Enfin, mais ce n’en est pas moins un élément important, il convient, le cas échéant, de respecter les aspects du droit pénal qui sont pertinents
pour l’affaire.
48. Afin de répondre à ces exigences, je souhaite rappeler les points suivants.
49. Comme l’a fait remarquer l’avocat général Pitruzzella ( 30 ), en droit de l’Union, la signification et la portée de la notion d’« entreprise » sont inhérentes à la réglementation dans laquelle elle s’inscrit et aux objectifs différents que cette réglementation entend poursuivre. En droit de la concurrence, le caractère fonctionnel de la notion d’« entreprise » comporte deux aspects. En premier lieu, cette notion s’attache au type d’activité accomplie, et non aux caractéristiques des acteurs de
cette activité. La concurrence est constituée et influencée par des activités économiques. Pour cette raison, les articles 101 et 102 TFUE font référence, dans des termes généraux, aux « entreprises », en évitant toute référence à leur structure juridique. En second lieu, la qualification d’une activité d’économique – et, par conséquent, la qualification d’« entreprise » de l’entité qui l’exerce – aux fins de l’application du droit de la concurrence, dépend du contexte examiné. De la même
manière, l’identification des entités qui relèvent de la sphère de l’« entreprise » dépend de l’objet de l’infraction constatée.
50. Ces observations font à juste titre ressortir que, en droit de la concurrence de l’Union, primauté est donnée aux questions économiques, en faisant abstraction des structures juridiques de l’entité en cause. Le second aspect n’en vient pas moins poser certaines limites à cette analyse, en ce sens que l’identification de l’entité ou de la personne responsable de l’infraction, et, partant, l’amende effective, dépendent de l’infraction contestée elle-même.
51. Par conséquent, l’un des éléments qui caractérise le terme « entreprise » et dont il convient de tenir compte pour déterminer l’amende de base et son adaptation (afin de fixer l’amende effective) est le niveau auquel d’autres sociétés de cette entreprise ont participé à la violation du RGPD. Dans une jurisprudence nationale relative au droit de la concurrence de l’Union, on peut lire les considérations suivantes : « sur le plan conceptuel, la question de l’existence d’une “entreprise” est
distincte de celle de l’attribution de la responsabilité entre différentes sociétés au sein d’une “entreprise” » ( 31 ) et « une personne n’est pas ipso facto responsable d’une infraction à l’article 101 [TFUE] du seul fait qu’elle est membre d’une entreprise responsable de l’infraction au regard du droit de l’Union, dès lors que cette personne n’a ni participé à l’infraction ni exercé une influence déterminante sur le comportement que d’autres membres de l’entreprise y ayant participé ont eu
sur le marché en cause [...] [D]ans de telles circonstances, il est peu probable que ladite personne soit effectivement considérée comme faisant partie de cette “entreprise” » ( 32 ).
52. À mon avis, ces arguments sont aussi pertinents aux fins de déterminer les personnes qui relèvent de la notion d’« entreprise » en vue d’établir l’amende effective pour violation du RGPD, et ce tout particulièrement lorsque l’autorité de contrôle a expressément établi l’absence d’implication de la société mère dans la violation en cause en tant que responsable du traitement ou que sous-traitante ( 33 ), comme c’est le cas dans l’affaire au principal.
53. Même si le législateur de l’Union a, dans une mesure limitée, jeté un pont entre les deux domaines du droit de l’Union aux fins de la fixation d’amendes maximales, les règles du RGPD et les règles de concurrence de l’Union n’en poursuivent pas moins clairement des objectifs distincts. Le régime du RGPD est différent de celui des règles de concurrence de l’Union et repose sur la notion de responsabilité du responsable du traitement (et du sous-traitant) pour le traitement licite des données à
caractère personnel. En d’autres termes, alors que le droit de la concurrence de l’Union vise les « entreprises » (il exprime son interdiction par référence à une « entreprise »), le RGPD se concentre sur les « responsables du traitement » et les « sous-traitants ». Je rappelle également que, puisque la thèse de l’« unité économique » ne peut être détachée de la logique générale du droit de la concurrence de l’Union et de son objet, la Cour a précédemment refusé d’étendre son application par
analogie à d’autres domaines du droit de l’Union, par exemple à la responsabilité extracontractuelle fondée sur l’article 340, deuxième alinéa, TFUE ( 34 ).
54. Ces considérations font clairement apparaître les raisons pour lesquelles la Cour a nettement restreint les implications qu’exerce le droit de la concurrence de l’Union sur l’application du RGPD (et sur les amendes imposées en vertu du RGPD, en particulier). Dans son arrêt Deutsche Wohnen (point 53), la Cour a jugé que la notion d’« entreprise », au sens des articles 101 et 102 TFUE, « n’a pas d’incidence sur le point de savoir si et dans quelles conditions une amende administrative peut être
imposée en application de l’article 83 du RGPD à un responsable du traitement qui est une personne morale, cette question étant réglementée de manière exhaustive par l’article 58, paragraphe 2, et l’article 83, paragraphes 1 à 6, de ce règlement ». Elle a poursuivi en relevant (au point 54) que cette notion « n’est en effet pertinente que pour déterminer le montant de l’amende administrative imposée au titre de l’article 83, paragraphes 4 à 6, du RGPD [qui traite de l’amende maximale] à un
responsable du traitement » (mise en italique par mes soins). De surcroît, en jugeant (au point 53) que la question de savoir si et dans quelles conditions une amende administrative peut être imposée est « réglementée de manière exhaustive par l’article 58, paragraphe 2, et l’article 83, paragraphes 1 à 6, de ce règlement » (mise en italique par mes soins), la Cour a encore précisé que, lors de la détermination de l’amende effective, les exigences de l’article 83, paragraphes 1 à 6, du RGPD
doivent être appliquées dans leur intégralité et qu’aucun de ces paragraphes n’a la primauté sur les autres.
55. Aussi le « chiffre d’affaires » de l’« entreprise » n’est-il que l’un des multiples éléments dont il convient de tenir compte pour mettre en œuvre la responsabilité d’un responsable du traitement (ou d’un sous-traitant) et imposer une amende au titre du RGPD qui soit efficace, proportionnée et dissuasive.
56. Il est vrai que, dans sa jurisprudence, la Cour indique que, en droit de la concurrence de l’Union, dans certaines situations, il peut être justifié de tenir compte du chiffre d’affaires d’une entreprise – mais seulement comme un élément pertinent parmi d’autres – pour calculer le montant de l’amende effective (par exemple, en augmentant l’amende de base à des fins de dissuasion) ( 35 ).
57. J’en déduis qu’il devrait être possible de recourir à la notion d’« entreprise » au sens des articles 101 et 102 TFUE lors de la fixation de l’amende effective, mais uniquement lorsque ce recours est dûment justifié à des fins de dissuasion et d’efficacité de l’amende. En effet, l’utilisation de cette notion doit à cet égard être nuancée et individualisée dans chaque cas d’espèce. Plus précisément, elle peut être utilisée comme mécanisme d’adaptation lors de l’examen des caractéristiques propres
à un cas individuel, une fois que l’amende prévue à l’article 83, paragraphe 2, du RGPD a été établie. Il incombe donc à la juridiction de renvoi de déterminer si, en l’espèce, il existe des circonstances qui justifieraient une telle augmentation de l’amende, notamment à des fins de dissuasion.
58. La question de l’individualisation des amendes prévues par le RGPD ( 36 ) a également été abordée par le Comité européen de la protection des données (ci‑après le « comité ») ( 37 ). Dans ses lignes directrices sur le calcul des amendes au titre du RGPD ( 38 ), élaborées conformément à l’article 70, paragraphe 1, sous k), du RGPD, le comité vise à uniformiser les pouvoirs des autorités de contrôle en matière d’imposition d’amendes au titre du RGPD dans l’ensemble de l’Union. En particulier, le
comité déclare estimer que « trois éléments constituent le point de départ d’un calcul ultérieur : la classification des violations par nature en vertu de l’article 83, paragraphes 4 à 6, du RGPD, la gravité de la violation [...] et le chiffre d’affaires de l’entreprise en tant qu’élément pertinent à prendre en considération en vue d’imposer une amende effective, dissuasive et proportionnée, en application de l’article 83, paragraphe 1, du RGPD ». S’il est vrai que ces lignes directrices ne
lient pas la Cour, ces considérations n’en font pas moins ressortir que seule une approche globale embrassant tous les éléments pertinents propres à un cas d’espèce peut garantir que l’amende réponde aux exigences essentielles de l’article 83 de ce règlement, en particulier que l’amende réellement imposée soit effective, proportionnée et dissuasive.
59. Par conséquent, afin de déterminer le montant de l’amende effective, j’invite la Cour à juger qu’il y a lieu de considérer les aspects suivants comme pertinents en appliquant la notion d’« entreprise » dans le cadre de la fixation de l’amende effective en vertu de l’article 83 du RGPD. Premièrement, il convient d’apprécier si la société mère a exercé son pouvoir de décision en ce qui concerne les activités spécifiques du responsable du traitement ou du sous-traitant en cause dans la ou les
violations du RGPD. Deuxièmement, il convient d’examiner si le traitement spécifique de données auquel il a été procédé en violation du RGPD concerne la société en cause et/ou l’ensemble du groupe. Troisièmement, il est nécessaire d’établir si plus d’une société faisant partie du groupe ont été impliquées dans la ou les violations du RGPD.
60. À cet égard, j’estime pertinente la liste non exhaustive des éléments suivants : i) dans la présente affaire ( 39 ) – contrairement à celle ayant donné lieu à l’arrêt Deutsche Wohnen –, il apparaît que le groupe Lars Larsen ou sa société mère n’étaient pas impliqués dans la procédure pénale ; ii) les charges n’ont été retenues que contre ILVA et non contre le groupe ( 40 ), et iii) la violation du RGPD dans la procédure principale n’a concerné que les clients d’ILVA et leurs données, et il
n’existe aucune indication en ce sens que la violation aurait été commise au niveau du groupe Lars Larsen lui-même ou que le traitement d’ILVA était lié aux autres sociétés du groupe. Il convient de souligner que, dans l’affaire ayant donné lieu à l’arrêt Deutsche Wohnen, la « société concernée » assumait l’entière responsabilité du traitement des données, c’est-à-dire également le traitement des données des autres sociétés du groupe ( 41 ).
61. C’est toutefois à la juridiction de renvoi – seule compétente pour statuer sur les faits – qu’il appartient de procéder aux vérifications nécessaires à cet égard et d’examiner ces éléments ainsi que la pertinence et le poids qu’il convient de leur accorder dans le cadre de la fixation du montant approprié de l’amende effective d’ILVA.
4. Observations finales
62. Bien que la juridiction de renvoi n’ait pas posé de questions à cet égard, il me paraît utile, pour lui fournir une réponse complète, d’examiner brièvement certains aspects spécifiques de la présente affaire.
63. L’interprétation de l’article 83, paragraphes 1 à 6, du RGPD dans l’affaire au principal doit notamment être effectuée en combinaison avec l’article 83, paragraphe 9, du même règlement ( 42 ), une question que la Cour n’a pas traitée dans son arrêt Deutsche Wohnen ( 43 ). Aussi le régime applicable à la fixation d’une amende effective d’un montant approprié, au titre de l’article 83 du RGPD, doit‑elle faire l’objet, dans la présente affaire, d’une interprétation qui soit compatible avec les
garanties essentielles d’un procès pénal.
64. Dans le cadre de l’analyse de l’incidence de l’article 83, paragraphe 9, du RGPD sur la présente affaire, il convient également de tenir compte du considérant 151 de ce règlement, selon lequel « [l]es systèmes juridiques du Danemark et de l’Estonie [ ( 44 )] ne permettent pas d’imposer des amendes administratives comme le prévoit le présent règlement ». Ce considérant fournit en outre des orientations au sujet de la compatibilité des différentes procédures avec les trois conditions essentielles
de l’amende effective imposée au titre du régime du RGPD, lesquelles conditions sont que, « [e]n tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives ». Il convient donc d’examiner brièvement l’incidence du droit de l’Union sur les amendes imposées dans le cadre de procédures pénales afin de s’assurer que ces trois conditions sont également remplies dans un cas spécifique tel que celui-ci.
65. Lors de l’audience, ILVA s’est appuyée, d’une part, sur l’article 41 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »). Cet article est intitulé « Droit à une bonne administration » et souligne en particulier, dans son paragraphe 2, sous c), « l’obligation pour l’administration de motiver ses décisions », mais ILVA n’a pas avancé d’arguments spécifiques à cet égard.
66. Elle s’est également appuyée, d’autre part, sur l’article 49 de la Charte. En effet, j’estime qu’il convient, pour l’interprétation de l’article 83, paragraphes 1 à 6, du RGPD, de tenir compte de cet article de la Charte, qui est intitulé « Principes de légalité et de proportionnalité des délits et des peines » et qui est donc pertinent pour l’affaire au principal. L’article 49, paragraphe 3, de la Charte dispose notamment que « [l]’intensité des peines ne doit pas être disproportionnée par
rapport à l’infraction ».
67. En effet, il ressort de la jurisprudence de la Cour que le principe de proportionnalité fait partie des principes généraux du droit de l’Union qui se trouvent à la base des traditions constitutionnelles communes aux États membres et qui doivent être respectés par une réglementation nationale entrant dans le champ d’application du droit de l’Union ou mettant en œuvre ce dernier. Le principe de proportionnalité impose aux États membres d’adopter des mesures propres à réaliser les objectifs
poursuivis et n’allant pas au-delà de ce qui est nécessaire pour les atteindre ( 45 ).
68. La sévérité d’une sanction doit correspondre à la gravité de l’infraction concernée, une telle exigence découlant tant de l’article 52, paragraphe 1, de la Charte que du principe de proportionnalité des peines inscrit à l’article 49, paragraphe 3, de celle-ci ( 46 ).
69. Il résulte des explications relatives à la Charte ( 47 ) que, conformément à l’article 52, paragraphe 3, de la Charte, dans la mesure où le droit garanti à son article 49 correspond également à un droit garanti par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, son sens et sa portée sont les mêmes que ceux que prévoit cette convention. Partant, les exigences de la Cour EDH en matière de proportionnalité des sanctions
sont applicables à un cas tel que celui en cause au principal, par les effets conjugués de l’article 17, paragraphe 1, de l’article 51, paragraphe 1, et de l’article 52, paragraphes 1 et 3, de la Charte ( 48 ).
70. Dans sa jurisprudence, la Cour précise clairement que le principe de proportionnalité exige, d’une part, que la sanction infligée corresponde à la gravité de l’infraction et, d’autre part, que, lors de la détermination de la sanction ainsi que de la fixation du montant de l’amende, il soit tenu compte des circonstances individuelles du cas d’espèce ( 49 ). En ce qui concerne ce second élément, la Cour souligne que la juridiction de renvoi doit tenir compte des critères objectifs tels que la
gravité et la durée de l’infraction ainsi que des éventuelles circonstances aggravantes et atténuantes, afin de garantir le caractère effectif, dissuasif et proportionné de cette amende ( 50 ).
71. Par ailleurs, dans sa jurisprudence, la Cour EDH procède dans de tels cas à une mise en balance des différents intérêts en jeu et tient compte de la nature, de la gravité et de l’effet dissuasif de la peine infligée au requérant. Elle indique clairement que l’obligation faite aux États d’appliquer le droit pénal et d’infliger des sanctions ( 51 ) afin de protéger le public ( 52 ) fait naître une obligation correspondante de veiller à ce que les sanctions imposées ne soient pas excessives.
72. La Cour EDH a estimé que le « juste équilibre à préserver sera détruit si l’individu concerné supporte une charge spéciale et exorbitante » ; ainsi, « une responsabilité financière découlant d’une amende peut saper la garantie qu’offre cette disposition, dès lors qu’elle fait peser une charge excessive sur la personne ou porte gravement atteinte à sa situation financière » ( 53 ).
73. Il s’ensuit que les aspects procéduraux spécifiques de l’affaire au principal, ainsi que le droit de l’Union et la jurisprudence de la Cour EDH concernant les amendes infligées dans le cadre de procédures pénales, imposent à la juridiction de renvoi de tenir compte de tous les éléments pertinents de l’affaire en fixant l’amende effective pour des violations du RGPD. Les garanties procédurales d’une personne accusée ainsi que le principe de proportionnalité, tels qu’interprétés dans la
jurisprudence de la Cour et celle de la Cour EDH, exigent que les sanctions correspondent à la gravité de l’infraction et que les caractéristiques propres au cas d’espèce soient prises en compte.
74. Eu égard à ces exigences, il incombe à la juridiction de renvoi de veiller au respect du principe de proportionnalité dans la fixation de l’amende effective, en ménageant un juste équilibre entre les impératifs de l’intérêt général de la communauté en matière de protection des données à caractère personnel et ceux de la sauvegarde des droits fondamentaux ( 54 ) du responsable du traitement, du sous-traitant ou de l’entreprise dont il fait partie.
V. Conclusion
75. Je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Vestre Landsret (cour d’appel de la région Ouest, Danemark) :
L’article 83, paragraphes 4 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
doit être interprété en ce sens que :
lorsque des amendes sont imposées à un responsable du traitement ou à un sous‑traitant qui est une entreprise (ou fait partie d’une entreprise), la notion d’« entreprise » doit être interprétée en ce sens qu’elle correspond à la notion d’« entreprise » au sens des articles 101 et 102 TFUE, aux fins de la fixation du montant maximal de l’amende. Il est ainsi tenu compte du chiffre d’affaires annuel mondial total de l’entreprise dont fait partie le responsable du traitement ou le sous-traitant.
Cependant, lors de la détermination de l’amende effective à imposer, la notion d’« entreprise » doit être interprétée en conjonction avec l’article 83, paragraphes 1 et 2, du règlement 2016/679 et être utilisée comme un élément pertinent parmi d’autres lors de l’examen des circonstances propres au cas d’espèce. Ces circonstances peuvent à cet égard concerner le pouvoir de décision de la société mère, l’étendue du traitement de données qui viole les règles de ce règlement et le nombre d’entités
de l’entreprise impliquées dans la violation.
En outre, lorsqu’une telle amende est imposée par une juridiction nationale dans le cadre d’un procès pénal, en conjonction avec l’article 83, paragraphe 9, du règlement 2016/679, l’amende effective doit être appréciée à la lumière des principes qui sont applicables en droit pénal. Dans ce contexte, il incombe à la juridiction nationale de veiller au respect du principe de proportionnalité dans la fixation de l’amende effective, en ménageant un juste équilibre entre les impératifs de l’intérêt
général de la communauté en matière de protection des données à caractère personnel et ceux de la sauvegarde des droits fondamentaux du responsable du traitement, du sous-traitant ou de l’entreprise dont il fait partie.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
( 3 ) Dans les sources nationales, l’affaire au principal est également désignée sous le nom d’affaire « IDdesign A/S », car il s’agit de l’ancienne dénomination sociale d’ILVA.
( 4 ) En particulier, considérant 151 et article 83, paragraphe 9, du RGPD.
( 5 ) Voir Overby, T., « The Danish adaptation of the GDPR », Blog Droit Européen, juin 2018, p. 4 et 5.
( 6 ) La formulation spécifique de la seconde question préjudicielle (voir point 15 des présentes conclusions) apparaît entachée d’une erreur matérielle. L’on peut toutefois déduire du contexte que la juridiction de renvoi a entendu viser non pas le choix entre « l’entité économique dont l’entreprise fait partie » et « l’entreprise elle-même », mais entre « l’entité économique dont la société fait partie » et « la société elle-même » (c’est-à-dire la personne morale qui a violé le RGPD).
( 7 ) Ce considérant est cité au point 4 des présentes conclusions.
( 8 ) Arrêt du 5 décembre 2023 (C‑807/21, ci-après l’« arrêt Deutsche Wohnen » ou la « jurisprudence Deutsche Wohnen , EU:C:2023:950, point 57). Voir également arrêt connexe, rendu le même jour, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949).
( 9 ) Ainsi qu’il ressort de la jurisprudence de la Cour, « le chiffre d’affaires, bien que vague et imparfait, reste un critère adéquat pour apprécier la taille et le pouvoir économique des entreprises concernées ». Voir arrêt du 8 décembre 2011, KME Germany e.a./Commission (C‑272/09 P, EU:C:2011:810, point 52).
( 10 ) Règlement du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles [101 et 102 TFUE] (JO 2003, L 1, p. 1).
( 11 ) Arrêt du 6 octobre 2021, Sumal (C‑882/19, EU:C:2021:800, point 41 et jurisprudence citée).
( 12 ) En ce qui concerne la jurisprudence nationale, voir jugement du 11 novembre 2020 du Landgericht Bonn (tribunal régional de Bonn, Allemagne) (DE:LGBN:2020:1111.29OWI1.20.00), et arrêt du 19 juin 2020 du Conseil d’État (France) (FR:CECHR:2020:430810.20200619). Tous deux, en substance, se conforment à l’interprétation de la Cour (même s’ils sont antérieurs à son arrêt dans l’affaire Deutsche Wohnen). Pour l’interprétation opposée, voir arrêt du 19 août 2019 du Bundesverwaltungsgericht (tribunal
administratif fédéral, Autriche) (AT:BVWG:2019:W211.2208885.1.00), et jugement du 18 février 2021 du Landgericht Berlin (tribunal régional de Berlin, Allemagne) (DE:LGBE:2021:0218.526OWI.LG212JS.OW.00 ; il s’agit du jugement qui a finalement donné lieu à l’arrêt de la Cour dans l’affaire Deutsche Wohnen). Pour la jurisprudence postérieure et l’application de l’arrêt de la Cour, voir arrêt du 27 mars 2024 du Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche)
(AT:BVWG:2024:W214.2243436.1.00).
( 13 ) Voir arrêt du 23 avril 1991, Höfner et Elser (C‑41/90, EU:C:1991:161, point 21). Voir également, par exemple, arrêts du 12 septembre 2000, Pavlov e.a. (C‑180/98 à C‑184/98, EU:C:2000:428, point 74) ; du 12 juillet 2012, Compass-Datenbank (C‑138/11, EU:C:2012:449, point 35), et du 27 avril 2017, Akzo Nobel e.a./Commission (C‑516/15 P, EU:C:2017:314, point 47).
( 14 ) Voir, par exemple, arrêt du 20 janvier 2011, General Química e.a./Commission (C‑90/09 P, EU:C:2011:21, point 37). Le principal critère pour l’établir est l’« influence déterminante », qui doit être construite sur le fondement de preuves factuelles (liens économiques, organisationnels et juridiques).
( 15 ) Arrêt du 27 janvier 2021, The Goldman Sachs Group/Commission (C‑595/18 P, EU:C:2021:73, point 67 et jurisprudence citée).
( 16 ) Arrêt du 27 janvier 2021, The Goldman Sachs Group/Commission (C‑595/18 P, EU:C:2021:73, point 71).
( 17 ) Arrêt du 27 janvier 2021, The Goldman Sachs Group/Commission (C‑595/18 P, EU:C:2021:73, point 32 et jurisprudence citée).
( 18 ) Un montant correspondant à 2 % du chiffre d’affaires mondial total d’une entreprise n’excède 10 millions d’euros que si le chiffre d’affaires de l’entreprise est supérieur à 500 millions d’euros. De même, un montant correspondant à 4 % du chiffre d’affaires mondial total d’une entreprise ne dépasse 20 millions d’euros que si le chiffre d’affaires de l’entreprise est supérieur à 500 millions d’euros.
( 19 ) Tout au long des présentes conclusions, je ferai à cet égard référence à l’« autorité de contrôle », mais, eu égard au contexte spécifique de l’affaire au principal, il est clair que les même considérations s’appliquent, par extension, à la juridiction de renvoi (l’amende étant infligée à ILVA par celle-ci, et non par l’autorité de contrôle).
( 20 ) « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives » (mise en italique par mes soins).
( 21 ) Voir, à cet égard, jurisprudence citée au point 40 des présentes conclusions.
( 22 ) Cette dernière disposition concerne les situations où plusieurs dispositions du RGPD sont violées simultanément.
( 23 ) Certains de ces facteurs sont la nature, la gravité et la durée de la violation, le fait qu’elle a été commise délibérément ou par négligence, les mesures prises pour atténuer le préjudice subi, les violations commises précédemment par le responsable du traitement ou le sous-traitant, le degré de coopération avec l’autorité de contrôle, les catégories de données à caractère personnel concernées, etc.
( 24 ) Arrêt du 25 septembre 1984, Könecke (117/83, EU:C:1984:288, point 11).
( 25 ) Arrêt du 18 juillet 2013, Schindler Holding e.a./Commission (C‑501/11 P, EU:C:2013:522, point 57 et jurisprudence citée).
( 26 ) Voir points 13 (concernant le « montant de base de l’amende ») et 32 (« Seuil légal maximal ») des lignes directrices de la Commission pour le calcul des amendes infligées en application de l’article 23, paragraphe 2, sous a), du règlement (CE) no 1/2003 (JO 2006, C 210, p. 2) (ci-après les « lignes directrices de 2006 pour le calcul des amendes »).
( 27 ) Yaros, O., et al., « GDPR fines – Lessons from competition law », Mayer Brown, décembre 2018, p. 4.
( 28 ) Arrêt du 12 novembre 2014, Guardian Industries et Guardian Europe/Commission (C‑580/12 P, EU:C:2014:2363, point 59).
( 29 ) Les lignes directrices de 2006 pour le calcul des amendes prévoient, à leur point 30, que « [l]a Commission portera une attention particulière au besoin d’assurer que les amendes présentent un effet suffisamment dissuasif ; à cette fin, elle peut augmenter l’amende à imposer aux entreprises dont le chiffre d’affaires, au-delà des biens et services auxquelles l’infraction se réfère, est particulièrement important » (mise en italique par mes soins). Voir, en ce sens, arrêt du 6 février 2014,
Elf Aquitaine/Commission (T‑40/10, non publié, EU:T:2014:61, points 350 à 357 et jurisprudence citée).
( 30 ) Il a soutenu ces arguments dans ses conclusions dans l’affaire Sumal (C‑882/19, EU:C:2021:293, points 23 à 25).
( 31 ) Voir, par exemple, jurisprudence pré-Brexit du 14 juillet 2016 du Competition Appeal Tribunal (tribunal de la concurrence, Royaume-Uni) dans l’affaire Sainsbury’s Supermarkets v Mastercard Inc. [2016] CAT 11, point 363 (20-22).
( 32 ) Jurisprudence pré-Brexit du 14 juillet 2016 du Competition Appeal Tribunal (tribunal de la concurrence, Royaume-Uni) dans l’affaire Sainsbury’s Supermarkets v Mastercard Inc. [2016] CAT 11, point 363 (23).
( 33 ) Il ressort des documents dont dispose la Cour qu’il en est allé ainsi en l’espèce, puisqu’aucune charge n’a été retenue par le ministère public à l’encontre de la société mère « en l’absence d’éléments en ce sens », et dans la mesure où la filiale (ILVA) « exerce une activité de vente au détail [...] et où il est inexact que la société mère a créé une filiale dans le seul but de lui attribuer le traitement des données du groupe ». Voir points 5 et 21 de l’ordonnance de renvoi.
( 34 ) Dans son arrêt du 5 septembre 2019, Union européenne/Guardian Europe et Guardian Europe/Union européenne (C‑447/17 P et C‑479/17 P, EU:C:2019:672, points 105 et 106), la Cour a dit pour droit que la notion d’« entreprise », au sens de la théorie de l’« unité économique », est utilisée spécifiquement afin de mettre en œuvre les dispositions pertinentes du droit de la concurrence de l’Union et, notamment, aux fins de la désignation de l’auteur d’une infraction aux articles 101 et 102 TFUE.
Cette notion n’est pas, en revanche, applicable dans le cadre d’un recours en indemnité, fondé sur l’article 340, deuxième alinéa, TFUE. En effet, un tel recours est une action de droit commun, régie par des règles de procédure générales, soumises, en l’occurrence, au droit des sociétés, indépendantes de la logique de la responsabilité au regard du droit des ententes.
( 35 ) Arrêt du 17 juin 2010, Lafarge/Commission (C‑413/08 P, EU:C:2010:346, point 102 et jurisprudence citée). Voir également note en bas de page 29 des présentes conclusions.
( 36 ) C’est-à-dire la recherche d’un équilibre entre l’amende et la situation particulière de l’auteur de la violation.
( 37 ) Le comité est un organe indépendant de l’Union possédant la personnalité juridique, dont l’objectif est de veiller à l’application cohérente du RGPD et de promouvoir la coopération entre les autorités de l’Union de protection des données.
( 38 ) Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD, version 2.1, adoptées le 24 mai 2023, point 48.
( 39 ) L’ordonnance de renvoi dans la présente affaire (p. 3) relève qu’« [i]l découle du principe de l’acte d’accusation énoncé [dans le droit national] que le tribunal ne peut prononcer une condamnation pour une infraction qui ne figure pas dans l’acte d’accusation. Il serait contraire au principe énoncé dans cette disposition d’attacher de l’importance à des circonstances relatives à une autre personne morale non poursuivie lors de la fixation de la peine aggravée ».
( 40 ) Tandis que les lignes directrices nationales en matière d’amendes précisent que « si le responsable du traitement des données est une filiale d’un groupe, il convient d’examiner si la société mère peut également se voir imputer une responsabilité pénale ». Voir Bødevejledning – Udmåling af bøder til virksomheder (Lignes directrices sur les amendes – Évaluation des amendes pour les entreprises), janvier 2021, p. 3.
( 41 ) En effet, dans l’affaire ayant donné lieu à l’arrêt Deutsche Wohnen, les violations avaient été commises au niveau de l’ensemble du groupe dont faisait partie la société concernée. Voir aussi les différences factuelles entre cette affaire et la présente, notamment au vu des points 10 à 12 de l’arrêt Deutsche Wohnen.
( 42 ) Rappelons que cette disposition prévoit notamment que, « [s]i le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soient effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de
cause, les amendes imposées sont effectives, proportionnées et dissuasives ».
( 43 ) Du fait que cette disposition était dénuée de pertinence pour la résolution de l’affaire ayant conduit à l’arrêt Deutsche Wohnen.
( 44 ) Il semble que, en Irlande, les amendes administratives imposées par l’autorité de contrôle des données doivent être confirmées par un tribunal. Voir Data Protection Act 2018, articles 141 à 143. En outre, la République de Slovénie paraît ne pas autoriser non plus les amendes administratives, à la lumière d’une décision du Vrhovno sodišče (Cour suprême, Slovénie) du 16 mars 2021.
( 45 ) Voir, en ce sens, arrêt du 4 octobre 2018, Link Logistik N&N (C‑384/17, ci-après l’« arrêt Link Logistik , EU:C:2018:810, point 40 et jurisprudence citée).
( 46 ) Arrêt Link Logistik, point 42 et jurisprudence citée.
( 47 ) JO 2007, C 303, p. 17.
( 48 ) Voir également arrêt Link Logistik, point 43.
( 49 ) Arrêt Link Logistik, point 45.
( 50 ) Voir, en ce sens, arrêt du 10 novembre 2022, Zenith Media Communications (C‑385/21, EU:C:2022:866, point 41).
( 51 ) Voir, par exemple, Cour EDH, 4 décembre 2003, M.C. c. Bulgarie (CE:ECHR:2003:1204JUD003927298).
( 52 ) Voir, par exemple, Cour EDH, 16 décembre 1999, T. c. Royaume-Uni (CE:ECHR:1999:1216JUD002472494, § 97), citant les arrêts de la Cour EDH du 23 septembre 1998, A. c. Royaume-Uni (CE:ECHR:1998:0923JUD002559994, § 22), et du 28 octobre 1998, Osman c. Royaume-Uni (CE:ECHR:1998:1028JUD002345294, § 115).
( 53 ) Voir, par exemple, Cour EDH, 27 octobre 2015, Konstantin Stefanov c. Bulgarie (CE:ECHR:2015:1027JUD003539905, § 55).
( 54 ) Cour EDH, 27 octobre 2015, Konstantin Stefanov c. Bulgarie, CE:ECHR:2015:1027JUD003539905, § 54, 55, 66, 67, 69 et 70. Voir également Cour EDH, 5 juillet 2001, Phillips c. Royaume-Uni (CE:ECHR:2001:0705JUD004108798, § 35), et Cour EDH, 24 juin 2021, Imeri c. Croatie (CE:ECHR:2021:0624JUD007766814, § 71).
