Type To Search

Type To Search

Écrivez votre recherche

20 JuinPôle Privacy

Notion d’entreprise et RGPD – Manquement d’une filiale, une sanction groupe ?

Dans le cadre de leur mise en conformité au RGPD, de nombreuses entreprises, alertées par le risque d’une sanction pouvant atteindre 4 % du chiffre d’affaires mondial, ont cherché à limiter leurs expositions. Certaines ont ainsi mis en place des modèles de gouvernance complexes, visant parfois à contourner, de manière essentiellement formelle, la prise en compte du chiffre d’affaires consolidé du groupe, en jouant sur la notion de responsable de traitement. Mise à part, dans son considérant 150 [1], le RGPD restait silencieux quant à l’application précise de la notion d’Entreprise du droit de la concurrence. Il faudra attendre, les recommandations de l’European Data Protection Board (ci-après : «EDPB») [2] ainsi que deux arrêts de la CJUE (d’une part Deutsche Wohnen en décembre 2023 [3] puis ILVA [4] en février 2025) pour clarifier le cadre juridique. 

Désormais, les conditions de l’application de la notion d’entreprise en matière de protection des données sont claires (I) et permettent d’en évaluer les conséquences (II). 

  1. Contours de la notion d’Entreprise  

Notion fondamentale en droit de la concurrence et source d’une jurisprudence dense, la CJUE s’est progressivement tournée vers une notion fonctionnelle d’entreprise, s’affranchissant du statut juridique de ces entreprises (voir en ce sens les arrêts Hydrotherm [5] et Höfner [6]). Une Entreprise désigne «Toute entité exerçant une activité économique indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé.» [7]. 

L’unité économique se caractérise par une unité de comportement sur le marché. Pour l’établir, le juge va devoir établir deux éléments :  

 1.     Existence d’une influence déterminante établie via un faisceau d’indices autour des liens économiques, organisationnels et juridiques [8] 

  2.     Et que cette influence soit réellement exercée [9]; 

L’existence d’une influence déterminante est présumée lorsqu’une société mère détient, directement ou indirectement via ses filiales, l’intégralité du capital de sa filiale (présomption réfragable dite “Azko “[10]).  

Il faut souligner que pour déterminer une influence, les juges prennent en compte différents éléments tels que le pouvoir de coordination, les liens capitalistiques, la détention de participations, l’objet du pacte d’actionnaire (tel que «assurer une direction et gestion unique des sociétés du groupe»), encore la vérification que les associés et gestionnaires d’une société sont aussi associés et gestionnaires d’autres sociétés du groupe.

  1.  Conséquences de la notion d’entreprise en matière de protection des données; 

L’arrêt ILVA clarifie l’application de la notion : «le terme “entreprise”, figurant à ces dispositions (article 83, paragraphe 1 à 4), correspond à la notion d’“entreprise”, au sens des articles 101 et 102 TFUE, de sorte que, lorsqu’une amende pour violation du règlement 2016/679  est imposée à un responsable du traitement de données à caractère personnel, qui est ou fait partie d’une entreprise, le montant maximal de l’amende est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise. La notion d’“entreprise” doit également être prise en compte afin d’apprécier la capacité économique réelle ou matérielle du destinataire de l’amende et ainsi vérifier si l’amende est à la fois effective, proportionnée et dissuasive.» [11]  

En conséquence, les montages juridiques et de gouvernance ne protègent plus mécaniquement un groupe :  

  1.     S’agissant de la détermination du montant de l’assiette de la sanction, le chiffre d’affaires de l’Entreprise peut être retenu pour fixer le plafond de l’amende ; 

  2.     Sur l’évaluation de la proportionnalité et du caractère dissuasif de l’amende retenue, l’autorité de protection des données pourra s’appuyer sur les résultats de l’Entreprise et non de la filiale seule pour apprécier la capacité économique réelle ou matérielle du destinataire de l’amende; 

  3.     Sur les débiteurs de l’amende, une possibilité est envisagée par l’EDPB, la capacité d’infliger l’amende aux entités juridiques de l’entité économique, qui seraient alors conjointement et solidairement responsable du paiement de l’amende. 

Enfin, on peut envisager une logique similaire pour d’autres réglementations, telles que l’IA Act [12] qui dans son chapitre XII, abandonne la référence aux fournisseurs, distributeurs, déployeurs mais désigne des entreprises… 

__________________________________________________________________________ 

Références : 

  1. RGPD considérant – 150 : « (…)Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne.(…) » ; 
  2. EDPB, Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD Version 2.1 Adoptées le 24 mai 2023 ;
  3. CJUE, Grande Chambre, 5 décembre 2023 , aff. C-807/21, Deutsche Wohnen ; 
  4. CJUE, 5e ch., 13 févr. 2025, aff. C-383/23, ILVA A/S ; 
  5. CJCE, 4e ch.,12 juillet 1984, aff. 170/83,  Hydrotherm Gerätebau GmbH contre Firma Compact del Dott. Ing. Mario Andreoli & C. Sas ; 
  6. CJCE, 6e ch., 23 avril 1991, aff.C-41/90,Klaus Höfner et Fritz Elser contre Macrotron GmbH, point 21 ; 
  7. CJUE, Grande Chambre, 6 octobre 2021, aff. C882/19, Sumal S.L. contre Mercedes Benz Trucks España S.L., point 41 ; 
  8. CJUE, 5e ch., 13 févr. 2025, aff. C-383/23, ILVA A/S, point 37 ; 
  9. CJUE, 9e ch., 26 sept. 2013, aff. C-179/12 P, The Dow Chemical point 55 ;
  10. CJCE, 3e ch., 10 sept. 2009, aff. C-97/08 P, Akzo Nobel, point 60 ;
  11. CJUE, 5e ch., 13 févr. 2025, aff. C-383/23, ILVA A/S  ;
  12. Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 20
Par Pôle Privacy

Un site repensé, une expérience enrichie

14 mai 2025

Du même pôle